Программа-вымогатель Rtg использует российскую записку о выкупе

Во время обычного просмотра новых образцов файлов наша исследовательская группа сделала важное открытие: программа-вымогатель Rtg, вариант, принадлежащий к семейству программ-вымогателей Xorist. Эта вредоносная программа работает путем шифрования данных, а затем требует выкуп за ключ дешифрования.

При тестировании программы-вымогателя Rtg на нашей экспериментальной машине мы заметили, что она эффективно шифрует файлы и изменяет их имена, добавляя расширение «.rtg». Например, файл с первоначальным названием «1.jpg» теперь будет отображаться как «1.jpg.rtg», «2.png» как «2.png.rtg» и т. д.

По завершении процесса шифрования программа-вымогатель генерировала идентичные заметки о выкупе в двух форматах: текстовый файл с пометкой «КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt» и всплывающее окно. Примечательно, что текст во всплывающем окне может выглядеть как неразборчивая тарабарщина в системах, в которых не установлена кириллица, в зависимости от версии ОС.

В сообщении о выкупе прямо говорится, что файлы жертвы были надежно зашифрованы. Жертве дается 24 часа, чтобы вступить в контакт с нападавшими; в противном случае важнейший ключ дешифрования, необходимый для восстановления данных, будет безвозвратно удален.

Записка о выкупе Rtg, написанная на русском языке

Полный текст записки о выкупе Rtg выглядит следующим образом:

Ваши файлы были зашифрованы. Для того что бы расшифровать свои файлы, Вам необходимо написать нам, на адрес почты, который указан ниже.

resk94043@rambler.ru

Ждем ответа сегодня, если нет ответа , удаляем ключи расшифровки Ваших файлов

Мы Вам написали:
t1503@bk.ru
или
oosk-ural@yandex.ru

Если не получили письмо, Ждем ответа с другой почты.!

Как программы-вымогатели, такие как Rtg, распространяются в Интернете?

Программы-вымогатели, такие как Rtg, обычно распространяются в Интернете различными способами, используя уязвимости и поведение людей. Вот некоторые распространенные методы распространения, используемые программами-вымогателями, включая Rtg:

• Фишинговые электронные письма. Фишинговые электронные письма являются одним из наиболее распространенных способов распространения программ-вымогателей. Киберпреступники рассылают вводящие в заблуждение электронные письма, выдаваемые за законные источники, заманивая получателей переходом по вредоносным ссылкам или загрузкой зараженных вложений. Эти электронные письма часто содержат срочные или заманчивые сообщения, чтобы заставить пользователей действовать.
• Вредоносные веб-сайты и загрузки: программы-вымогатели могут распространяться через взломанные веб-сайты или поддельные ссылки для загрузки. Пользователи могут неосознанно загружать зараженное программное обеспечение, взломанные приложения или поддельные обновления, что приводит к установке программ-вымогателей в их системах.
• Наборы эксплойтов. Киберпреступники используют наборы эксплойтов для обнаружения известных уязвимостей в программном обеспечении или браузерах. Когда пользователь посещает скомпрометированный веб-сайт, набор эксплойтов автоматически определяет и использует эти уязвимости для доставки полезной нагрузки программы-вымогателя.
• Вредоносная реклама. Вредоносная реклама или вредоносная реклама могут внедряться на законные веб-сайты для перенаправления пользователей на вредоносные веб-сайты, на которых размещаются программы-вымогатели. Эти объявления могут появляться на популярных веб-сайтах или в рекламных сетях, что затрудняет их избегание.
• Попутные загрузки. Попутные загрузки происходят, когда пользователи посещают скомпрометированные или вредоносные веб-сайты, а программы-вымогатели автоматически загружаются и выполняются без их ведома или согласия.