RA Group Ransomware Babuk kód alapján
Az RA Group a ransomware egy olyan típusa, amely adattitkosítást végez, módosítja a fájlneveket, és konkrét váltságdíjat küld. Minden támadás egy személyre szabott váltságdíj-jegyzetet tartalmaz, melynek címe „Hogyan állítsa vissza a Files.txt fájlt”, amely a megcélzott szervezetre vagy vállalatra szabott. Ugyanilyen szintű testreszabás vonatkozhat a titkosított fájlok fájlnevéhez fűzött fájlkiterjesztésekre is.
Az RA Group ransomware által észlelt egyik fájlkiterjesztés a „.GAGUP” volt. Nevezetesen, az RA Group arról ismert, hogy a működését 2021-ben beszüntető Babuk ransomware csoport kiszivárgott forráskódjára épült titkosítót használ.
A váltságdíj feljegyzés arra szolgál, hogy tájékoztassák az áldozatot adatainak titkosításáról és a támadók azon tevékenységéről, amikor az adatokról másolatot készítenek a szerverükön, hogy biztosítsák az adatok integritását és bizalmas kezelését, amennyiben követeléseik teljesülnek.
A feljegyzés kifejti, hogy a támadók lefoglalták az áldozat adatait, és titkosították szervereiket, kiemelve a titkosított fájlok visszafejtésének lehetőségét. Megemlíti, hogy a mentett adatok véglegesen törlődnek a támadók követelményeinek teljesítésekor, és felsorolja a támadók által elért különféle típusú adatokat.
Az áldozatot felszólítják, hogy lépjen kapcsolatba a támadókkal, és fizessen a visszafejtési folyamatért. A kommunikáció lehetőleg qTox-on keresztül történik, az áldozat rendelkezésére bocsátott qTox azonosítóval. A feljegyzés óva int attól, hogy más csatornákon keresztül lépjen kapcsolatba a támadókkal, és arra utal, hogy a támadók kizárólag pénzbeli haszonszerzésben érdekeltek.
Ezenkívül a váltságdíj feljegyzésében az szerepel, hogy a mintafájlokat nyilvánosságra hozzák, ha három napon belül nem sikerül felvenni a kapcsolatot. Ha hét napon belül nem érkezik válasz, az összes fájlt nyilvánosságra hozzák. További információk eléréséhez az áldozatnak azt tanácsoljuk, hogy használja a Tor böngészőt.
Az RA Group Ransom Actor a Tox Chatre támaszkodik a kapcsolatfelvételhez
Az RA Group váltságdíjról szóló értesítés teljes szövege a következő:
RA csoport
Értesítés
Az Ön adatai titkosítva lettek, amikor elolvasta ezt a levelet.
Minden adatot átmásoltunk a szerverünkre.
De ne aggódjon, az adatait nem sértik fel és nem teszik nyilvánossá, ha azt csináljátok, amit én akarok.Mit csináltunk?
Elvettük az adatait és titkosítottuk a szervereit, a titkosított fájlok visszafejthetők.
Adatait megfelelően elmentettük, ha megfelel a követelményeinknek, töröljük a mentett adatokat.
A következő adatokat vettük fel:
[szerkesztve] Dokumentumok
szállítói információk
ügyfélinformációk, fizetési információk
munkavállalói információk, bérszámfejtés
könyvelés
forgalmi adó
pénzügyi kimutatások
pénzügyi éves jelentés, negyedéves jelentés
[szerkesztve] SZERZŐDÉS
üzleti terv
szerződés
számlákat
vtex info
alkalmazott belső e-mail biztonsági mentésAmit akarunk?
Lépjen kapcsolatba velünk, fizessen a visszafejtésért.Hogyan lépjen kapcsolatba velünk?
A kapcsolatfelvételhez a qTox-ot használjuk, további információkat a qTox iroda weboldaláról kaphat:
hxxps://qtox.github.ioA qTox azonosítónk:
(alfanumerikus karakterlánc)Nincs más kapcsolatunk.
Ha 3 napon belül nincs kapcsolatfelvétel, a mintafájlokat nyilvánosságra hozzuk.
Ha 7 napon belül nem érkezik kapcsolatfelvétel, akkor a fájlt nyilvánosságra hozzuk.Ajánlom
Ne vegye fel velünk a kapcsolatot más cégeken keresztül, ők csak keresik a különbözetet.Információ kiadás
Mintafájlok:Minden fájl:
A Tor Browser segítségével megnyithatja a .onion URL-t.
További információ a Tor Office webhelyéről:
hxxps://www.torproject.org
Mit tehet, hogy megvédje adatait a Ransomware-től, mint az RA Group?
Adatainak védelme a zsarolóvírus-támadásokkal szemben, mint például az RA Group, kulcsfontosságú az adatok védelme és az esetleges károk megelőzése érdekében. Íme néhány intézkedés, amelyet megtehet adatvédelmének fokozása érdekében:
Biztonsági másolat készítése az adatokról: Rendszeresen készítsen biztonsági másolatot fontos adatairól, és gondoskodjon a biztonsági másolatok biztonságos tárolásáról offline vagy külön hálózaton. Így még akkor is, ha adatait ransomware titkosítja, a váltságdíj fizetése nélkül visszaállíthatja azokat biztonsági másolatokból.
Tartsa naprakészen a szoftvert: A szoftverfrissítéseket és biztonsági javításokat azonnal telepítse. Az elavult szoftverek gyakran tartalmaznak olyan sebezhetőségeket, amelyeket a zsarolóprogramok kihasználhatnak. Ha lehetséges, engedélyezze az automatikus frissítéseket az időben történő védelem érdekében.
Használjon robusztus biztonsági megoldásokat: Telepítsen megbízható víruskereső vagy kártevőirtó szoftvert minden eszközén. Tartsa naprakészen ezeket a biztonsági megoldásokat, és végezzen rendszeres vizsgálatokat az esetleges fenyegetések észlelése érdekében.
Legyen különösen óvatos az e-mail mellékletekkel és hivatkozásokkal: Legyen óvatos, amikor megnyitja az e-mail mellékleteket vagy rákattint a hivatkozásokra, különösen ismeretlen forrásból. A zsarolóvírus gyakran adathalász e-maileken keresztül terjed, ezért ellenőrizze a feladó személyazonosságát, és ellenőrizze a mellékleteket biztonsági szoftverrel, mielőtt megnyitná azokat.
Erős és egyedi jelszavak engedélyezése: Használjon erős jelszavakat minden fiókjához, és kerülje azok újrafelhasználását. Fontolja meg a jelszókezelő használatát, amellyel biztonságosan tárolhatja és kezelheti jelszavait. Ha lehetséges, engedélyezze a többtényezős hitelesítést (MFA), hogy további biztonsági réteget adjon hozzá.