RA World Ransomware wykorzystuje długi list z żądaniem okupu

Podczas rutynowego sprawdzania przesłanych nowych plików nasz zespół odkrył oprogramowanie ransomware RA World. Ten typ złośliwego oprogramowania działa poprzez szyfrowanie plików, zmuszając ofiary do dokonania płatności za ich odszyfrowanie.

W naszym środowisku testowym firma RA World szyfrowała pliki i dodała do nazw plików rozszerzenie „.RAWLD”. W rezultacie plik pierwotnie nazwany „1.jpg” został przekształcony w „1.jpg.RAWLD”, a plik „2.png” stał się „2.png.RAWLD” i tak dalej. Po zakończeniu procesu szyfrowania została wygenerowana wiadomość z żądaniem okupu zatytułowana „Ostrzeżenie o naruszeniu danych.txt”. Treść tej wiadomości wskazuje, że RA World stosuje strategię znaną jako podwójne wymuszenie.

Notatka z żądaniem okupu od RA World informuje ofiarę, że jej pliki zostały zarówno zaszyfrowane, jak i skradzione, podając rodzaje wyekstrahowanych danych. Aby odszyfrować pliki i zapewnić usunięcie pobranych plików z serwerów atakujących, należy dokonać płatności. Niezastosowanie się do żądania okupu może skutkować opublikowaniem przez cyberprzestępców skradzionych treści i powiadomieniem zainteresowanych stron o naruszeniu bezpieczeństwa.

Jeżeli w ciągu trzech dni nie zostanie nawiązana komunikacja z atakującymi, niektóre pliki zostaną upublicznione. Po siedmiu dniach dane będą wyciekać partiami, a wiadomość o kompromisie zostanie rozpowszechniona. Ponadto każde opóźnienie w kontakcie doprowadzi do eskalacji kwoty okupu.

Pełna treść listu z żądaniem okupu RA World

Pełny tekst żądania okupu RA World brzmi następująco:

RA World

Notification
Your data are stolen and encrypted when you read this letter.
We have copied all data to our server.
Don't worry, your data will not be compromised if you do what I want.
But if you don't pay, we will release the data, contact your customers and regulators and destroy your system again.

What we do?
We stole all laboratory reports from your servers.
We stole all important files from your file server.
We stole some important databases from your sql server.
We encrypt all your files.

What we want?
Contact us, pay for ransom.
If you pay, we will provide you the programs for decryption and we will delete your data.
If not, we will leak your datas and your company will appear in the list below.
If not, we will email to your customers and report to supervisory authority.

Jak się z nami skontaktować?
Do kontaktu używamy qTox i Telegram, więcej informacji można uzyskać na stronie internetowej biura qTox:
hxxps://qtox.github.io

Nasz identyfikator qTox to:
(ciąg alfanumeryczny)

Konto telegramowe:
@Połącz_202308
Link:hxxps://t.me/Connect_202308

Nie mamy innego kontaktu.
W przypadku braku kontaktu w ciągu 3 dni udostępnimy przykładowe pliki do wiadomości publicznej.
W przypadku braku kontaktu w ciągu 7 dni przestaniemy się komunikować i udostępnimy dane partiami.
Im dłuższy czas, tym wyższy okup.

Strona Światowego Biura RA:
[Stały adres] -
[Adres tymczasowy] -

Link do publikacji informacji:
Przykładowe pliki:

Lista ofiar niepłacenia
Ty też tu będziesz, jeśli nie zapłacisz!

Ich pliki można pobrać z naszej strony:
[Stały adres] -
[Adres tymczasowy] -

Możesz użyć przeglądarki Tor, aby otworzyć adres URL .onion.
Ger więcej informacji ze strony internetowej biura Tor:
hxxps://www.torproject.org

Jak chronić swoje dane przed oprogramowaniem ransomware?

Ochrona danych przed oprogramowaniem ransomware wymaga połączenia środków zapobiegawczych, edukacji użytkowników i proaktywnych praktyk bezpieczeństwa. Oto kilka skutecznych strategii ochrony danych przed atakami oprogramowania ransomware:

Regularnie twórz kopie zapasowe:
Regularnie twórz kopie zapasowe ważnych danych i przechowuj je w trybie offline lub w bezpiecznym środowisku chmury. Dzięki temu nawet jeśli Twoje podstawowe dane zostaną naruszone, będziesz mógł je przywrócić z czystej kopii zapasowej.

Zaktualizuj oprogramowanie i systemy:
Aktualizuj swój system operacyjny, oprogramowanie antywirusowe i aplikacje. Regularne stosowanie poprawek zabezpieczeń pomaga chronić przed znanymi lukami, które może wykorzystać oprogramowanie ransomware.

Użyj niezawodnego oprogramowania zabezpieczającego:
Zainstaluj renomowane oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem, aby wykrywać i blokować zagrożenia oprogramowaniem ransomware. Upewnij się, że oprogramowanie jest regularnie aktualizowane, aby chronić się przed nowymi zagrożeniami.

Włącz filtrowanie poczty e-mail:
Korzystaj z rozwiązań do filtrowania wiadomości e-mail, aby blokować złośliwe załączniki i łącza. Wiele ataków oprogramowania ransomware rozpoczyna się od wiadomości e-mail typu phishing, więc odfiltrowanie tych zagrożeń w bramie pocztowej może być skuteczną obroną.