R3tr0 Ransomware
R3tr0 ransomware is een nieuw ontdekte vorm van bestandsversleutelende malware. De R3tr0-ransomware behoort tot de bredere familie van Dharma-ransomwareklonen.
Bij implementatie op een doelsysteem gedraagt de ransomware zich zoals verwacht - het versleutelt de meeste bestanden en laat alleen essentiële systeembestanden achter. Versleutelde bestandstypes omvatten mediabestanden, documenten, archieven en databasebestanden.
Eenmaal gecodeerd, worden bestandsnamen gewijzigd, waarbij verschillende strings worden toegevoegd, waaronder de slachtoffer-ID, de e-mail die wordt gebruikt door de ransomware-operator en de extensie ".r3tr0". Op deze manier zal een bestand met de naam "picture.jpg" veranderen in "picture.jpg.id-[alfanumerieke ID string].[r3trocrypt@tuta.io].r3tr0.
Het losgeldbriefje wordt in een aantal bestanden geplaatst, zowel platte tekst als een HTML-bestand, genaamd Info.txt en Info.hta.
De volledige tekst van de losgeldbrief in het HTA-bestand luidt als volgt:
RETRO-ENCRYPTED
r3tr0
Maak je geen zorgen, je kunt al je bestanden teruggeven!
Als u ze wilt herstellen, schrijft u naar de e-mail: r3tr0crypt at tuta dot io UW ID -
Als je niet binnen 12 uur per post hebt geantwoord, schrijf ons dan via een andere mail: r3tr0crypt op msgsafe dot io
AANDACHT!
We raden u aan rechtstreeks contact met ons op te nemen om te voorkomen dat agenten te veel betalen
Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te ontsleutelen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij.
Het losgeldbericht in het TXT-bestand is als volgt:
al uw gegevens zijn bij ons vergrendeld
Wil je terugkeren?
schrijf e-mail r3tr0crypt op tuta dot io of r3tr0crypt op msgsafe dot io