Программа-вымогатель R3tr0
Программа-вымогатель R3tr0 — это недавно обнаруженный штамм вредоносного ПО, шифрующего файлы. Программа-вымогатель R3tr0 принадлежит к более широкому семейству клонов программ-вымогателей Dharma.
При развертывании в целевой системе программа-вымогатель ведет себя так, как ожидалось — она шифрует большинство файлов, оставляя в покое важные для системы файлы. Зашифрованные типы файлов включают мультимедийные файлы, документы, архивы и файлы баз данных.
После шифрования имена файлов изменяются, к ним добавляется несколько строк, включая идентификатор жертвы, адрес электронной почты, используемый оператором программы-вымогателя, и расширение «.r3tr0». Таким образом, файл с именем «picture.jpg» превратится в «picture.jpg.id-[буквенно-цифровая строка идентификатора].[r3trocrypt@tuta.io].r3tr0.
Записка о выкупе содержится в нескольких файлах, как в текстовом, так и в HTML-файле, с именами Info.txt и Info.hta.
Полный текст примечания о выкупе в файле HTA выглядит следующим образом:
РЕТРО-ШИФРОВАННЫЙ
р3тр0
Не волнуйтесь, вы можете вернуть все свои файлы!
Если хотите их восстановить, пишите на почту: r3tr0crypt at tuta dot io ВАШ ID -
Если вам не ответили по почте в течение 12 часов, напишите нам на другую почту: r3tr0crypt на msgsafe dot io
ВНИМАНИЕ!
Мы рекомендуем вам связаться с нами напрямую, чтобы избежать переплаты агентам
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.
Сообщение о выкупе в файле TXT выглядит следующим образом:
все ваши данные были заблокированы нами
Вы хотите вернуться?
напишите письмо r3tr0crypt на tuta dot io или r3tr0crypt на msgsafe dot io