R3tr0 Ransomware
R3tr0 ransomware yra naujai atrasta failus šifruojančios kenkėjiškos programos. „R3tr0“ išpirkos reikalaujanti programa priklauso platesnei „Dharma“ išpirkos reikalaujančių programų klonų šeimai.
Įdiegta tikslinėje sistemoje, išpirkos reikalaujanti programinė įranga elgiasi taip, kaip tikėtasi – ji užšifruoja daugumą failų, palikdama sistemai svarbius failus ramybėje. Šifruoti failų tipai apima medijos failus, dokumentus, archyvus ir duomenų bazių failus.
Užšifravus failų pavadinimai pakeičiami, prie jų pridedamos kelios eilutės, įskaitant aukos ID, ransomware operatoriaus naudojamą el. pašto adresą ir plėtinį „.r3tr0“. Tokiu būdu failas pavadinimu „picture.jpg“ pavirs į „picture.jpg.id-[raidinis ir skaitinis ID eilutė].[r3trocrypt@tuta.io].r3tr0.
Išpirkos raštelis yra įtrauktas į keletą failų, tiek paprasto teksto, tiek HTML failų, pavadintų Info.txt ir Info.hta.
Visas išpirkos rašto tekstas HTA faile yra toks:
RETROKRIPTUOTA
r3tr0
Nesijaudinkite, galite grąžinti visus failus!
Jei norite juos atkurti, parašykite į paštą: r3tr0crypt at tuta dot io JŪSŲ ID -
Jei per 12 valandų neatsakėte paštu, parašykite mums kitu paštu: r3tr0crypt adresu msgsafe dot io
DĖMESIO!
Rekomenduojame susisiekti tiesiogiai su mumis, kad agentai nepermokėtų
Nepervardykite užšifruotų failų.
Nebandykite iššifruoti savo duomenų naudodami trečiosios šalies programinę įrangą, nes tai gali sukelti nuolatinį duomenų praradimą.
Jūsų failų iššifravimas padedant trečiosioms šalims gali padidinti kainą (jie prideda savo mokestį prie mūsų) arba galite tapti sukčiavimo auka.
Išpirkos pranešimas TXT faile yra toks:
visi jūsų duomenys buvo užrakinti
Nori grįžti?
parašykite el. laišką r3tr0crypt adresu tuta dot io arba r3tr0crypt adresu msgsafe dot io