R3tr0 Ransomware
Az R3tr0 ransomware a fájltitkosító rosszindulatú programok újonnan felfedezett törzse. Az R3tr0 ransomware a Dharma ransomware klónok szélesebb családjába tartozik.
Amikor egy célrendszerre telepítik, a zsarolóprogram a várt módon viselkedik – titkosítja a fájlok többségét, magára hagyva a rendszerhez nélkülözhetetlen fájlokat. A titkosított fájltípusok közé tartoznak a médiafájlok, dokumentumok, archívumok és adatbázisfájlok.
A titkosítást követően a fájlnevek módosulnak, és több karakterláncot is hozzáfűznek hozzájuk, beleértve az áldozat azonosítóját, a ransomware üzemeltetője által használt e-mail címet és a „.r3tr0” kiterjesztést. Ily módon a "picture.jpg" nevű fájlból "kép.jpg.id-[alfanumerikus azonosítókarakterlánc] lesz." [r3trocrypt@tuta.io].r3tr0.
A váltságdíjat bedobták néhány fájlba, mind egyszerű szövegű, mind egy HTML-fájlba, Info.txt és Info.hta néven.
A váltságdíjról szóló értesítés teljes szövege a HTA fájlban a következő:
RETROTITKOSÍTVA
r3tr0
Ne aggódjon, az összes fájlt visszaküldheti!
Ha vissza szeretnéd őket állítani, írd meg a következő mailre: r3tr0crypt at tuta dot io AZ IDŐD -
Ha 12 órán belül nem válaszol e-mailben, írjon nekünk egy másik e-mailt: r3tr0crypt at msgsafe dot io
FIGYELEM!
Javasoljuk, hogy közvetlenül forduljon hozzánk, hogy elkerülje az ügynökök túlfizetését
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.
A váltságdíj üzenete a TXT fájlban a következő:
minden adatát zároltuk
Vissza akarsz térni?
írjon e-mailt r3tr0crypt a tuta dot io címre vagy r3tr0crypt az msgsafe dot io címre