Программа-вымогатель R3tr0

Программа-вымогатель R3tr0 — это недавно обнаруженный штамм вредоносного ПО, шифрующего файлы. Программа-вымогатель R3tr0 принадлежит к более широкому семейству клонов программ-вымогателей Dharma.

При развертывании в целевой системе программа-вымогатель ведет себя так, как ожидалось — она шифрует большинство файлов, оставляя в покое важные для системы файлы. Зашифрованные типы файлов включают мультимедийные файлы, документы, архивы и файлы баз данных.

После шифрования имена файлов изменяются, к ним добавляется несколько строк, включая идентификатор жертвы, адрес электронной почты, используемый оператором программы-вымогателя, и расширение «.r3tr0». Таким образом, файл с именем «picture.jpg» превратится в «picture.jpg.id-[буквенно-цифровая строка идентификатора].[r3trocrypt@tuta.io].r3tr0.

Записка о выкупе содержится в нескольких файлах, как в текстовом, так и в HTML-файле, с именами Info.txt и Info.hta.

Полный текст примечания о выкупе в файле HTA выглядит следующим образом:

РЕТРО-ШИФРОВАННЫЙ

р3тр0

Не волнуйтесь, вы можете вернуть все свои файлы!

Если хотите их восстановить, пишите на почту: r3tr0crypt at tuta dot io ВАШ ID -

Если вам не ответили по почте в течение 12 часов, напишите нам на другую почту: r3tr0crypt на msgsafe dot io

ВНИМАНИЕ!

Мы рекомендуем вам связаться с нами напрямую, чтобы избежать переплаты агентам

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

Сообщение о выкупе в файле TXT выглядит следующим образом:

все ваши данные были заблокированы нами

Вы хотите вернуться?

напишите письмо r3tr0crypt на tuta dot io или r3tr0crypt на msgsafe dot io