R3tr0 Ransomware

Az R3tr0 ransomware a fájltitkosító rosszindulatú programok újonnan felfedezett törzse. Az R3tr0 ransomware a Dharma ransomware klónok szélesebb családjába tartozik.

Amikor egy célrendszerre telepítik, a zsarolóprogram a várt módon viselkedik – titkosítja a fájlok többségét, magára hagyva a rendszerhez nélkülözhetetlen fájlokat. A titkosított fájltípusok közé tartoznak a médiafájlok, dokumentumok, archívumok és adatbázisfájlok.

A titkosítást követően a fájlnevek módosulnak, és több karakterláncot is hozzáfűznek hozzájuk, beleértve az áldozat azonosítóját, a ransomware üzemeltetője által használt e-mail címet és a „.r3tr0” kiterjesztést. Ily módon a "picture.jpg" nevű fájlból "kép.jpg.id-[alfanumerikus azonosítókarakterlánc] lesz." [r3trocrypt@tuta.io].r3tr0.

A váltságdíjat bedobták néhány fájlba, mind egyszerű szövegű, mind egy HTML-fájlba, Info.txt és Info.hta néven.

A váltságdíjról szóló értesítés teljes szövege a HTA fájlban a következő:

RETROTITKOSÍTVA

r3tr0

Ne aggódjon, az összes fájlt visszaküldheti!

Ha vissza szeretnéd őket állítani, írd meg a következő mailre: r3tr0crypt at tuta dot io AZ IDŐD -

Ha 12 órán belül nem válaszol e-mailben, írjon nekünk egy másik e-mailt: r3tr0crypt at msgsafe dot io

FIGYELEM!

Javasoljuk, hogy közvetlenül forduljon hozzánk, hogy elkerülje az ügynökök túlfizetését

Ne nevezze át a titkosított fájlokat.

Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.

Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.

A váltságdíj üzenete a TXT fájlban a következő:

minden adatát zároltuk

Vissza akarsz térni?

írjon e-mailt r3tr0crypt a tuta dot io címre vagy r3tr0crypt az msgsafe dot io címre