Rtg Ransomware gebruikt Russische losgeldbrief
Tijdens een routinecontrole van nieuwe bestandsvoorbeelden deed ons onderzoeksteam een belangrijke ontdekking: de Rtg-ransomware, een variant die behoort tot de Xorist-ransomwarefamilie. Dit kwaadaardige programma werkt door gegevens te versleutelen en vervolgens losgeld te eisen voor de decoderingssleutel.
Bij het testen van de Rtg-ransomware op onze experimentele machine, merkten we dat deze effectief bestanden versleutelde en hun bestandsnamen wijzigde door een ".rtg"-extensie toe te voegen. Een bestand met de oorspronkelijke naam "1.jpg" zou nu bijvoorbeeld verschijnen als "1.jpg.rtg", "2.png" als "2.png.rtg", enzovoort.
Na voltooiing van het coderingsproces genereerde de ransomware identieke losgeldnota's in twee formaten: een tekstbestand met de naam "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" en een pop-upvenster. Met name kan de tekst in het pop-upvenster verschijnen als onbegrijpelijk gebrabbel op systemen waarop het Cyrillische alfabet niet is geïnstalleerd, afhankelijk van de versie van het besturingssysteem.
In het losgeldbericht staat expliciet dat de bestanden van het slachtoffer veilig zijn versleuteld. Het slachtoffer krijgt 24 uur de tijd om contact op te nemen met de aanvallers; anders wordt de cruciale decoderingssleutel die nodig is voor gegevensherstel permanent verwijderd.
Rtg losgeldnotitie geschreven in het Russisch
De volledige tekst van de Rtg-losgeldbrief luidt als volgt:
Er zijn verschillende soorten voedsel. Als u een van de beste manieren vindt om een product te kopen, kunt u uw geld verdienen hoe dan ook.
resk94043@rambler.ru
Als u een product koopt, kunt u de kosten van het programma wijzigen
Wat zijn de volgende opties:
t1503@bk.ru
en
ooosk-ural@yandex.ruAls u een product koopt, kunt u uw bestelling plaatsen.!
Hoe wordt ransomware zoals Rtg online verspreid?
Ransomware zoals Rtg wordt meestal online verspreid via verschillende methoden, waarbij misbruik wordt gemaakt van kwetsbaarheden en misbruik wordt gemaakt van menselijk gedrag. Hier zijn enkele veelgebruikte distributiemethoden die worden gebruikt door ransomware, waaronder Rtg:
- Phishing-e-mails: phishing-e-mails zijn een van de meest voorkomende manieren waarop ransomware wordt verspreid. Cybercriminelen sturen misleidende e-mails die doen alsof ze afkomstig zijn van legitieme bronnen, waardoor de ontvangers worden verleid om op kwaadaardige links te klikken of geïnfecteerde bijlagen te downloaden. Deze e-mails bevatten vaak urgente of aanlokkelijke berichten om gebruikers te verleiden tot actie.
- Kwaadaardige websites en downloads: Ransomware kan worden verspreid via gecompromitteerde websites of valse downloadlinks. Gebruikers kunnen onbewust geïnfecteerde software, gekraakte applicaties of valse updates downloaden, wat leidt tot de installatie van ransomware op hun systemen.
- Exploitkits: cybercriminelen gebruiken exploitkits om zich te richten op bekende kwetsbaarheden in software of browsers. Wanneer een gebruiker een gecompromitteerde website bezoekt, identificeert en exploiteert de exploitkit deze kwetsbaarheden automatisch om de ransomware-payload te leveren.
- Malvertising: Kwaadaardige advertenties, of malvertising, kunnen in legitieme websites worden geïnjecteerd om gebruikers om te leiden naar kwaadaardige websites die ransomware hosten. Deze advertenties kunnen op populaire websites of advertentienetwerken verschijnen, waardoor ze moeilijk te vermijden zijn.
- Drive-by downloads: Drive-by downloads vinden plaats wanneer gebruikers gecompromitteerde of kwaadaardige websites bezoeken en de ransomware automatisch wordt gedownload en uitgevoerd zonder hun medeweten of toestemming.