Rar1 Ransomware vraagt om losgeld in Monero
Rar1 is de naam die is gegeven aan een nieuw ontdekte vorm van bestandsversleutelende malware. De nieuwe variant lijkt niet tot een specifieke grotere ransomware-familie te behoren.
Rar1 versleutelt bestanden op het doelsysteem zodra het erop is geïmplementeerd. Bestanden die door de ransomware zijn vervormd, worden onbruikbaar. Getroffen extensies zijn onder meer populaire media-, archief-, document- en databasebestandstypen.
In tegenstelling tot de meeste andere ransomwarevarianten, verandert Rar1 de bestandsnamen van versleutelde bestanden volledig en vervangt ze door willekeurige reeksen van alfanumerieke tekens met schijnbaar willekeurige lengtes. Zodra de naam van het basisbestand is gewijzigd, wordt de extensie ".rar1" toegevoegd. Er lijkt geen specifiek verband te zijn tussen de oorspronkelijke naamlengte van versleutelde bestanden en de willekeurige tekenreeksen waarnaar ze worden hernoemd bij versleuteling.
De ransomware deponeert zijn losgeldbrief in een bestand met de naam "READ_TO_DECRYPT.txt". Het losgeldbriefje vraagt om betaling in cryptocurrency, meer bepaald 2 Monero-munten.
Het volledige losgeld nota gaat als volgt:
Uw bestanden zijn versleuteld
Stuur 2 XMR naar de volgende portemonnee [alfanumerieke tekenreeks]
En neem na betaling contact op met a94673838 op proton dot me
Verkrijg het wachtwoord om het bestand te decoderen
Uw machinecode is: