Rtg Ransomware usa nota de resgate russa

Durante uma revisão de rotina de novas amostras de arquivos, nossa equipe de pesquisa fez uma descoberta significativa: o ransomware Rtg, uma variante pertencente à família de ransomware Xorist. Este programa malicioso opera criptografando dados e exigindo resgates pela chave de descriptografia.

Ao testar o ransomware Rtg em nossa máquina experimental, observamos que ele efetivamente criptografou arquivos e modificou seus nomes de arquivo adicionando uma extensão ".rtg". Por exemplo, um arquivo originalmente denominado "1.jpg" agora apareceria como "1.jpg.rtg", "2.png" como "2.png.rtg" e assim por diante.

Após a conclusão do processo de criptografia, o ransomware gerou notas de resgate idênticas em dois formatos: um arquivo de texto chamado "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" e uma janela pop-up. Notavelmente, o texto na janela pop-up pode aparecer como um jargão ininteligível em sistemas que não possuem o alfabeto cirílico instalado, dependendo da versão do sistema operacional.

A mensagem de resgate afirma explicitamente que os arquivos da vítima foram criptografados com segurança. A vítima tem uma janela de 24 horas para entrar em contato com os agressores; caso contrário, a chave de descriptografia crucial necessária para a recuperação de dados será excluída permanentemente.

Nota de resgate RTG escrita em russo

O texto completo da nota de resgate Rtg é o seguinte:

Ваши файлы были зашифрованны. Для того что бы расшифровать свои файлы, Вам необходимо написать нам, на адрес почты, который указ ан ниже.

resk94043@rambler.ru

Ждем ответа сегодня, если не получим ответа , удаляем ключи расшифровки Ваших файлов

Мы Вам написали:
t1503@bk.ru
или
ooosk-ural@yandex.ru

Если не получили письмо, Ждем ответа с другой почты.!

Como o Ransomware Like Rtg é distribuído online?

Ransomware como o Rtg normalmente é distribuído online por meio de vários métodos, explorando vulnerabilidades e tirando vantagem de comportamentos humanos. Aqui estão alguns métodos de distribuição comuns usados por ransomware, incluindo Rtg:

• E-mails de phishing: os e-mails de phishing são uma das formas mais comuns de distribuição de ransomware. Os cibercriminosos enviam e-mails enganosos fingindo ser de fontes legítimas, induzindo os destinatários a clicar em links maliciosos ou baixar anexos infectados. Esses e-mails geralmente contêm mensagens urgentes ou atraentes para induzir os usuários a agir.
• Sites e downloads maliciosos: o ransomware pode ser distribuído por meio de sites comprometidos ou links de download falsos. Os usuários podem, sem saber, baixar software infectado, aplicativos crackeados ou atualizações falsas, levando à instalação de ransomware em seus sistemas.
• Kits de exploração: os cibercriminosos usam kits de exploração para atingir vulnerabilidades conhecidas em software ou navegadores. Quando um usuário visita um site comprometido, o kit de exploração identifica e explora automaticamente essas vulnerabilidades para fornecer a carga útil do ransomware.
• Malvertising: Anúncios maliciosos, ou malvertising, podem ser injetados em sites legítimos para redirecionar os usuários para sites maliciosos que hospedam ransomware. Esses anúncios podem aparecer em sites populares ou redes de anúncios, tornando-os difíceis de evitar.
• Drive-by downloads: drive-by downloads ocorrem quando os usuários visitam sites comprometidos ou maliciosos, e o ransomware é automaticamente baixado e executado sem seu conhecimento ou consentimento.