Rtg Ransomware utilizza la nota di riscatto russa

Durante una revisione di routine di nuovi campioni di file, il nostro team di ricerca ha fatto una scoperta significativa: il ransomware Rtg, una variante appartenente alla famiglia del ransomware Xorist. Questo programma dannoso funziona crittografando i dati e quindi richiedendo un riscatto per la chiave di decrittazione.

Dopo aver testato il ransomware Rtg sulla nostra macchina sperimentale, abbiamo osservato che crittografava efficacemente i file e ne modificava i nomi aggiungendo un'estensione ".rtg". Ad esempio, un file originariamente chiamato "1.jpg" ora appare come "1.jpg.rtg", "2.png" come "2.png.rtg" e così via.

Al completamento del processo di crittografia, il ransomware ha generato richieste di riscatto identiche in due formati: un file di testo denominato "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" e una finestra pop-up. In particolare, il testo nella finestra pop-up potrebbe apparire come incomprensibile incomprensibile su sistemi privi dell'alfabeto cirillico installato, a seconda della versione del sistema operativo.

Il messaggio di riscatto afferma esplicitamente che i file della vittima sono stati crittografati in modo sicuro. Alla vittima viene concessa una finestra di 24 ore per entrare in contatto con gli aggressori; in caso contrario, la chiave di decrittazione cruciale richiesta per il ripristino dei dati verrà eliminata in modo permanente.

Nota di riscatto Rtg scritta in russo

Il testo completo della nota di riscatto Rtg recita come segue:

Ваши файлы были зашифрованны. Per fare in modo che i tuoi file vengano trasmessi, non devi fare clic su un nome, su un indirizzo di posta, che non ti interessa.

risk94043@rambler.ru

Questa è l'unica cosa che non ha bisogno di un'altra chiave di scelta tra i vari file

Le mie domande:
t1503@bk.ru
или
ooosk-ural@yandex.ru

Se non ti piace più, guardalo con altri punti.!

In che modo Ransomware Like Rtg viene distribuito online?

I ransomware come Rtg sono in genere distribuiti online attraverso vari metodi, sfruttando le vulnerabilità e sfruttando i comportamenti umani. Ecco alcuni metodi di distribuzione comuni utilizzati dal ransomware, incluso Rtg:

• E-mail di phishing: le e-mail di phishing sono uno dei modi più diffusi in cui viene distribuito il ransomware. I criminali informatici inviano e-mail ingannevoli fingendo di provenire da fonti legittime, inducendo i destinatari a fare clic su collegamenti dannosi o a scaricare allegati infetti. Queste e-mail contengono spesso messaggi urgenti o allettanti per indurre gli utenti ad agire.
• Siti Web e download dannosi: il ransomware può essere distribuito tramite siti Web compromessi o collegamenti di download falsi. Gli utenti possono scaricare inconsapevolmente software infetto, applicazioni crackate o falsi aggiornamenti, portando all'installazione di ransomware sui propri sistemi.
• Kit di exploit: i criminali informatici utilizzano i kit di exploit per colpire le vulnerabilità note nel software o nei browser. Quando un utente visita un sito Web compromesso, l'exploit kit identifica e sfrutta automaticamente queste vulnerabilità per distribuire il payload del ransomware.
• Malvertising: annunci pubblicitari dannosi, o malvertising, possono essere inseriti in siti Web legittimi per reindirizzare gli utenti a siti Web dannosi che ospitano ransomware. Questi annunci possono apparire su siti Web o reti pubblicitarie popolari, rendendoli difficili da evitare.
• Download drive-by: i download drive-by si verificano quando gli utenti visitano siti Web compromessi o dannosi e il ransomware viene scaricato ed eseguito automaticamente a loro insaputa o senza il loro consenso.