R3tr0 Ransomware
O ransomware R3tr0 é uma variedade recém-descoberta de malware de criptografia de arquivos. O ransomware R3tr0 pertence à família mais ampla de clones de ransomware Dharma.
Quando implantado em um sistema de destino, o ransomware se comporta conforme o esperado - ele criptografa a maioria dos arquivos, deixando os arquivos essenciais do sistema em paz. Tipos de arquivos criptografados incluem arquivos de mídia, documentos, arquivos e arquivos de banco de dados.
Uma vez criptografados, os nomes dos arquivos são alterados, acrescentando várias strings a eles, incluindo o ID da vítima, o e-mail usado pelo operador do ransomware e a extensão ".r3tr0". Desta forma, um arquivo chamado "picture.jpg" se transformará em "picture.jpg.id-[string de ID alfanumérica].[r3trocrypt@tuta.io].r3tr0.
A nota de resgate é colocada dentro de alguns arquivos, tanto em texto simples quanto em um arquivo HTML, denominados Info.txt e Info.hta.
O texto completo da nota de resgate no arquivo HTA é o seguinte:
RETRO-CRIPTADO
r3tr0
Não se preocupe, você pode devolver todos os seus arquivos!
Se você quiser restaurá-los, escreva para o e-mail: r3tr0crypt at tuta dot io YOUR ID -
Se você não respondeu por correio dentro de 12 horas, escreva-nos por outro correio: r3tr0crypt at msgsafe dot io
ATENÇÃO!
Recomendamos que você entre em contato conosco diretamente para evitar o pagamento excessivo de agentes
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, isso pode causar perda permanente de dados.
A descriptografia de seus arquivos com a ajuda de terceiros pode causar aumento de preço (eles adicionam sua taxa à nossa) ou você pode se tornar vítima de um golpe.
A mensagem de resgate no arquivo TXT é a seguinte:
todos os seus dados nos foram bloqueados
Você quer voltar?
escreva o email r3tr0crypt em tuta dot io ou r3tr0crypt em msgsafe dot io