Ransomware R3tr0
Ransomware R3tr0 to nowo odkryta odmiana złośliwego oprogramowania szyfrującego pliki. Ransomware R3tr0 należy do szerszej rodziny klonów ransomware Dharma.
Po wdrożeniu w systemie docelowym oprogramowanie ransomware zachowuje się zgodnie z oczekiwaniami — szyfruje większość plików, pozostawiając w spokoju pliki kluczowe dla systemu. Zaszyfrowane typy plików obejmują pliki multimedialne, dokumenty, archiwa i pliki baz danych.
Po zaszyfrowaniu nazwy plików są zmieniane, dodając do nich kilka ciągów, w tym identyfikator ofiary, adres e-mail używany przez operatora ransomware i rozszerzenie „.r3tr0”. W ten sposób plik o nazwie „picture.jpg” zamieni się w „picture.jpg.id-[ciąg alfanumeryczny identyfikatora].[r3trocrypt@tuta.io].r3tr0.
Żądanie okupu jest umieszczane w kilku plikach, zarówno w postaci zwykłego tekstu, jak i pliku HTML, o nazwach Info.txt i Info.hta.
Pełny tekst żądania okupu w pliku HTA wygląda następująco:
RETRO-SZYFROWANE
r3tr0
Nie martw się, możesz zwrócić wszystkie swoje pliki!
Jeśli chcesz je przywrócić, napisz na maila: r3tr0crypt at tuta dot io TWÓJ ID -
Jeśli nie odpowiesz pocztą w ciągu 12 godzin, napisz do nas innym mailem: r3tr0crypt na msgsafe dot io
UWAGA!
Zalecamy bezpośredni kontakt z nami, aby uniknąć przepłacania agentów
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać danych za pomocą oprogramowania firm trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików za pomocą osób trzecich może spowodować wzrost ceny (doliczają swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.
Wiadomość z żądaniem okupu w pliku TXT wygląda następująco:
wszystkie Twoje dane zostały nam zablokowane
Chcesz wrócić?
napisz e-mail r3tr0crypt w tuta dot io lub r3tr0crypt w msgsafe kropka io