Rtg Ransomware bruker russisk løsepengenotat

Under en rutinegjennomgang av nye fileksempler, gjorde forskningsteamet vårt en betydelig oppdagelse: Rtg-ransomware, en variant som tilhører Xorist-ransomware-familien. Dette ondsinnede programmet fungerer ved å kryptere data og deretter kreve løsepenger for dekrypteringsnøkkelen.

Da vi testet Rtg-ransomware på vår eksperimentelle maskin, observerte vi at den effektivt krypterte filer og endret filnavnene deres ved å legge til en ".rtg"-utvidelse. For eksempel vil en fil som opprinnelig het "1.jpg" nå vises som "1.jpg.rtg", "2.png" som "2.png.rtg" og så videre.

Etter fullføring av krypteringsprosessen genererte løsepengevaren identiske løsepenger i to formater: en tekstfil merket "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" og et popup-vindu. Spesielt kan teksten i popup-vinduet vises som uforståelig sludder på systemer som mangler det kyrilliske alfabetet installert, avhengig av OS-versjonen.

I løsepengemeldingen står det eksplisitt at offerets filer er sikkert kryptert. Offeret får et 24-timers vindu for å komme i kontakt med angriperne; ellers vil den avgjørende dekrypteringsnøkkelen som kreves for datagjenoppretting slettes permanent.

Rtg løsepengenotat Skrevet på russisk

Den fullstendige teksten til Rtg løsepengenotatet lyder som følger:

Ваши файлы были зашифрованны. Для того что бы расшифровать свои файлы.

resk94043@rambler.ru

Ждем ответа сегодня, если не получим ответа , удаляем ключи расшифровки Ваших файлов

Мы Вам написали:
t1503@bk.ru
или
ooosk-ural@yandex.ru

Если не получили письмо, Ждем ответа с другой почты.!

Hvordan distribueres Ransomware Like Rtg på nettet?

Ransomware som Rtg distribueres vanligvis online gjennom ulike metoder, utnytter sårbarheter og utnytter menneskelig atferd. Her er noen vanlige distribusjonsmetoder brukt av løsepengeprogramvare, inkludert Rtg:

• Phishing-e-poster: Phishing-e-poster er en av de mest utbredte måtene løsepengeprogramvare distribueres på. Nettkriminelle sender villedende e-poster som utgir seg for å være fra legitime kilder, og lokker mottakere til å klikke på ondsinnede lenker eller laste ned infiserte vedlegg. Disse e-postene inneholder ofte presserende eller fristende meldinger for å lure brukere til å handle.
• Ondsinnede nettsteder og nedlastinger: Ransomware kan distribueres gjennom kompromitterte nettsteder eller falske nedlastingslenker. Brukere kan ubevisst laste ned infisert programvare, knekte applikasjoner eller falske oppdateringer, noe som fører til installasjon av løsepengevare på systemene deres.
• Utnyttelsessett: Nettkriminelle bruker utnyttelsessett for å målrette mot kjente sårbarheter i programvare eller nettlesere. Når en bruker besøker et kompromittert nettsted, identifiserer og utnytter utnyttelsessettet automatisk disse sårbarhetene for å levere løsepengelasten.
• Malvertising: Ondsinnede annonser, eller malvertising, kan injiseres på legitime nettsteder for å omdirigere brukere til ondsinnede nettsteder som er vert for løsepengevare. Disse annonsene kan vises på populære nettsteder eller annonsenettverk, noe som gjør dem vanskelige å unngå.
• Drive-by-nedlastinger: Drive-by-nedlastinger skjer når brukere besøker kompromitterte eller ondsinnede nettsteder, og løsepengevaren lastes ned og kjøres automatisk uten deres viten eller samtykke.