R3tr0 ransomware
Il ransomware R3tr0 è un ceppo di malware per la crittografia dei file scoperto di recente. Il ransomware R3tr0 appartiene alla famiglia più ampia di cloni di ransomware Dharma.
Quando viene distribuito su un sistema di destinazione, il ransomware si comporta come previsto: crittografa la maggior parte dei file, lasciando soli i file essenziali per il sistema. I tipi di file crittografati includono file multimediali, documenti, archivi e file di database.
Una volta crittografati, i nomi dei file vengono modificati, aggiungendovi diverse stringhe, tra cui l'ID vittima, l'e-mail utilizzata dall'operatore ransomware e l'estensione ".r3tr0". In questo modo, un file chiamato "picture.jpg" si trasformerà in "picture.jpg.id-[stringa ID alfanumerica].[r3trocrypt@tuta.io].r3tr0.
La richiesta di riscatto viene rilasciata all'interno di un paio di file, sia di testo normale che HTML, denominati Info.txt e Info.hta.
Il testo completo della richiesta di riscatto nel file HTA è il seguente:
RETRO-CRIPTATA
r3tr0
Non preoccuparti, puoi restituire tutti i tuoi file!
Se vuoi ripristinarli scrivi alla mail: r3tr0crypt at tuta dot io IL TUO ID -
Se non hai risposto via e-mail entro 12 ore, scrivici con un'altra e-mail: r3tr0crypt a msgsafe dot io
ATTENZIONE!
Ti consigliamo di contattarci direttamente per evitare di pagare in eccesso gli agenti
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o puoi diventare vittima di una truffa.
Il messaggio di riscatto nel file TXT è il seguente:
tutti i tuoi dati ci sono stati bloccati
Vuoi tornare?
scrivi e-mail r3tr0crypt su tuta dot io o r3tr0crypt su msgsafe dot io