Az Rtg Ransomware orosz Ransom Note-ot használ
Az új fájlminták rutinszerű felülvizsgálata során kutatócsoportunk jelentős felfedezést tett: az Rtg ransomware-t, a Xorist ransomware család egyik változatát. Ez a rosszindulatú program úgy működik, hogy titkosítja az adatokat, majd váltságdíjat követel a visszafejtési kulcsért.
Kísérleti gépünkön az Rtg ransomware tesztelésekor azt tapasztaltuk, hogy hatékonyan titkosította a fájlokat, és egy „.rtg” kiterjesztéssel módosította a fájlneveiket. Például egy eredetileg „1.jpg” nevű fájl most „1.jpg.rtg”, „2.png” „2.png.rtg” és így tovább.
A titkosítási folyamat befejeztével a ransomware két formátumban generált azonos váltságdíj-jegyzeteket: egy "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" feliratú szövegfájlt és egy felugró ablakot. Nevezetesen, az operációs rendszer verziójától függően a felugró ablak szövege értelmezhetetlen halandzsának tűnhet azokon a rendszereken, amelyeken nincs telepítve a cirill ábécé.
A váltságdíjüzenet kifejezetten kijelenti, hogy az áldozat fájljai biztonságosan titkosítva vannak. Az áldozat 24 órás időtartamot kap, hogy kapcsolatba lépjen a támadókkal; ellenkező esetben az adat-helyreállításhoz szükséges kulcsfontosságú visszafejtési kulcs véglegesen törlődik.
Rtg Váltságdíj megjegyzés Oroszul írva
Az Rtg váltságdíjról szóló értesítés teljes szövege a következő:
Ваши файлы были зашифрованны. Для того что бы расшифровать свои файлы, Вам необходимо написать нам, на адрес почты, который нижжен.
resk94043@rambler.ru
Ждем ответа сегодня, если не получим ответа , удаляем ключи расшифровки Ваших файлов
Мы Вам написали:
t1503@bk.ru
vagy
ooosk-ural@yandex.ruЕсли не получили письмо, Ждем ответа с другой почты.!
Hogyan terjeszthető online a Ransomware Like Rtg?
Az Rtg-hez hasonló zsarolóprogramokat általában különféle módszerekkel terjesztik online, kihasználva a sebezhetőségeket és kihasználva az emberi viselkedést. Íme néhány gyakori terjesztési módszer, amelyet a ransomware használ, beleértve az Rtg-t is:
- Adathalász e-mailek: Az adathalász e-mailek a zsarolóvírusok terjesztésének egyik legelterjedtebb módja. A kiberbűnözők megtévesztő e-maileket küldenek úgy, mintha törvényes forrásból származnának, és ráveszik a címzetteket, hogy rosszindulatú hivatkozásokra kattintsanak, vagy fertőzött mellékleteket töltsenek le. Ezek az e-mailek gyakran tartalmaznak sürgős vagy csábító üzeneteket, hogy cselekvésre rávegyék a felhasználókat.
- Rosszindulatú webhelyek és letöltések: A Ransomware terjeszthető feltört webhelyeken vagy hamis letöltési linkeken keresztül. A felhasználók tudtukon kívül letölthetnek fertőzött szoftvereket, feltört alkalmazásokat vagy hamis frissítéseket, ami zsarolóprogramok telepítéséhez vezethet a rendszerükre.
- Kizsákmányoló készletek: A kiberbűnözők kihasználó készleteket használnak a szoftverek vagy böngészők ismert sebezhetőségeinek megcélzására. Amikor egy felhasználó meglátogat egy feltört webhelyet, a kizsákmányoló készlet automatikusan azonosítja és kihasználja ezeket a sebezhetőségeket a zsarolóprogramok hasznos terhelése érdekében.
- Rosszindulatú hirdetések: Rosszindulatú hirdetéseket vagy rosszindulatú hirdetéseket lehet bevinni legitim webhelyekre, hogy a felhasználókat ransomware-t tartalmazó rosszindulatú webhelyekre irányítsák át. Ezek a hirdetések népszerű webhelyeken vagy hirdetési hálózatokon jelenhetnek meg, így nehéz elkerülni őket.
- Drive-by letöltések: Drive-by letöltések akkor fordulnak elő, amikor a felhasználók feltört vagy rosszindulatú webhelyeket keresnek fel, és a zsarolóprogram automatikusan letöltődik és végrehajtódik az ő tudta vagy beleegyezésük nélkül.