Rtg Ransomware wykorzystuje rosyjskie żądanie okupu

Podczas rutynowego przeglądu nowych próbek plików nasz zespół badawczy dokonał znaczącego odkrycia: oprogramowania ransomware Rtg, wariantu należącego do rodziny oprogramowania ransomware Xorist. Ten złośliwy program działa poprzez szyfrowanie danych, a następnie żądanie okupu za klucz odszyfrowywania.

Podczas testowania oprogramowania ransomware Rtg na naszej eksperymentalnej maszynie zaobserwowaliśmy, że skutecznie szyfrowało ono pliki i modyfikowało ich nazwy poprzez dodanie rozszerzenia „.rtg”. Na przykład plik pierwotnie nazwany „1.jpg” będzie teraz wyświetlany jako „1.jpg.rtg”, „2.png” jako „2.png.rtg” i tak dalej.

Po zakończeniu procesu szyfrowania oprogramowanie ransomware generowało identyczne żądania okupu w dwóch formatach: plik tekstowy oznaczony „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt” oraz wyskakujące okienko. W szczególności tekst w wyskakującym okienku może wyglądać jak niezrozumiały bełkot w systemach bez zainstalowanej cyrylicy, w zależności od wersji systemu operacyjnego.

Wiadomość z żądaniem okupu wyraźnie stwierdza, że pliki ofiary zostały bezpiecznie zaszyfrowane. Ofiara ma 24 godziny na nawiązanie kontaktu z napastnikami; w przeciwnym razie kluczowy klucz deszyfrujący wymagany do odzyskania danych zostanie trwale usunięty.

Żądanie okupu Rtg napisano w języku rosyjskim

Pełny tekst żądania okupu Rtg brzmi następująco:

Ваши файлы были зашифрованны. Для того что бы расшифровать свои файлы, Вам необходимо написать нам, на adreс почты, который указан н co.

resk94043@rambler.ru

Ждем ответа сегодня, если не получим ответа , удаляем ключи расшифровки Ваших файлов

Мы Вам написали:
t1503@bk.ru
lub
ooosk-ural@yandex.ru

Если не получили письмо, Ждем ответа с другой почты.!

W jaki sposób ransomware, takie jak Rtg, jest dystrybuowane online?

Ransomware, takie jak Rtg, jest zwykle dystrybuowane online za pomocą różnych metod, wykorzystując luki w zabezpieczeniach i zachowania ludzi. Oto kilka typowych metod dystrybucji używanych przez ransomware, w tym Rtg:

• E-maile phishingowe: e-maile phishingowe to jeden z najbardziej rozpowszechnionych sposobów dystrybucji oprogramowania ransomware. Cyberprzestępcy wysyłają oszukańcze wiadomości e-mail udające, że pochodzą z legalnych źródeł, nakłaniając odbiorców do kliknięcia złośliwych łączy lub pobrania zainfekowanych załączników. Te e-maile często zawierają pilne lub kuszące wiadomości, aby nakłonić użytkowników do podjęcia działania.
• Złośliwe strony internetowe i pliki do pobrania: Ransomware może być rozpowszechniane za pośrednictwem zainfekowanych stron internetowych lub fałszywych linków do pobierania. Użytkownicy mogą nieświadomie pobierać zainfekowane oprogramowanie, złamane aplikacje lub fałszywe aktualizacje, co prowadzi do instalacji ransomware w ich systemach.
• Zestawy exploitów: Cyberprzestępcy wykorzystują zestawy exploitów do atakowania znanych luk w oprogramowaniu lub przeglądarkach. Gdy użytkownik odwiedza zaatakowaną witrynę internetową, zestaw exploitów automatycznie identyfikuje i wykorzystuje te luki w celu dostarczenia ładunku ransomware.
• Złośliwe reklamy: Złośliwe reklamy lub złośliwe reklamy mogą zostać wstrzyknięte do legalnych witryn internetowych w celu przekierowania użytkowników do złośliwych witryn zawierających oprogramowanie ransomware. Reklamy te mogą pojawiać się w popularnych witrynach lub sieciach reklamowych, co utrudnia ich uniknięcie.
• Pobieranie automatyczne: Pobieranie automatyczne ma miejsce, gdy użytkownicy odwiedzają zainfekowane lub złośliwe strony internetowe, a oprogramowanie ransomware jest automatycznie pobierane i uruchamiane bez ich wiedzy i zgody.