Rtg Ransomware utilise une note de rançon russe

Lors d'un examen de routine de nouveaux échantillons de fichiers, notre équipe de recherche a fait une découverte importante : le rançongiciel Rtg, une variante appartenant à la famille des rançongiciels Xorist. Ce programme malveillant fonctionne en cryptant les données, puis en exigeant des rançons pour la clé de décryptage.

En testant le rançongiciel Rtg sur notre machine expérimentale, nous avons observé qu'il cryptait efficacement les fichiers et modifiait leurs noms de fichiers en ajoutant une extension ".rtg". Par exemple, un fichier nommé à l'origine "1.jpg" apparaîtrait désormais sous la forme "1.jpg.rtg", "2.png" sous la forme "2.png.rtg", etc.

À la fin du processus de cryptage, le ransomware a généré des notes de rançon identiques dans deux formats : un fichier texte intitulé "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" et une fenêtre contextuelle. Notamment, le texte dans la fenêtre contextuelle peut apparaître comme un charabia inintelligible sur les systèmes sur lesquels l'alphabet cyrillique n'est pas installé, selon la version du système d'exploitation.

Le message de rançon indique explicitement que les fichiers de la victime ont été cryptés en toute sécurité. La victime dispose d'une fenêtre de 24 heures pour entrer en contact avec les agresseurs ; sinon, la clé de déchiffrement cruciale requise pour la récupération des données sera définitivement supprimée.

Rtg Ransom Note écrite en russe

Le texte complet de la note de rançon Rtg se lit comme suit :

Ваши файлы были зашифрованны. Для того что бы расшифровать свои файлы, Вам необходимо написать нам, на адрес почты , который указан ниже.

resk94043@rambler.ru

Ждем ответа сегодня, если не получим ответа , удаляем ключи расшифровки Ваших файл ов

Ma réponse est :
t1503@bk.ru
или
ooosk-ural@yandex.ru

Если не получили письмо, Ждем ответа с другой почты.!

Comment les ransomwares comme Rtg sont-ils distribués en ligne ?

Les ransomwares comme Rtg sont généralement distribués en ligne par diverses méthodes, exploitant les vulnérabilités et tirant parti des comportements humains. Voici quelques méthodes de distribution courantes utilisées par les ransomwares, y compris Rtg :

• E-mails d'hameçonnage : les e-mails d'hameçonnage sont l'un des moyens les plus répandus de distribuer les rançongiciels. Les cybercriminels envoient des e-mails trompeurs prétendant provenir de sources légitimes, incitant les destinataires à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées. Ces e-mails contiennent souvent des messages urgents ou incitant les utilisateurs à agir.
• Sites Web et téléchargements malveillants : les rançongiciels peuvent être distribués via des sites Web compromis ou de faux liens de téléchargement. Les utilisateurs peuvent télécharger sans le savoir des logiciels infectés, des applications piratées ou de fausses mises à jour, entraînant l'installation de rançongiciels sur leurs systèmes.
• Kits d'exploitation : les cybercriminels utilisent des kits d'exploitation pour cibler les vulnérabilités connues des logiciels ou des navigateurs. Lorsqu'un utilisateur visite un site Web compromis, le kit d'exploitation identifie et exploite automatiquement ces vulnérabilités pour fournir la charge utile du ransomware.
• Publicités malveillantes : des publicités malveillantes, ou publicités malveillantes, peuvent être injectées dans des sites Web légitimes pour rediriger les utilisateurs vers des sites Web malveillants hébergeant des rançongiciels. Ces publicités peuvent apparaître sur des sites Web ou des réseaux publicitaires populaires, ce qui les rend difficiles à éviter.
• Téléchargements intempestifs : les téléchargements intempestifs se produisent lorsque les utilisateurs visitent des sites Web compromis ou malveillants, et le logiciel de rançon est automatiquement téléchargé et exécuté à leur insu ou sans leur consentement.