R3tr0 Ransomware

R3tr0 ransomware är en nyupptäckt stam av filkrypterande skadlig programvara. R3tr0 ransomware tillhör den bredare familjen av Dharma ransomware-kloner.

När den distribueras på ett målsystem beter sig ransomware som förväntat - den krypterar majoriteten av filerna och lämnar systemviktiga filer ifred. Krypterade filtyper inkluderar mediafiler, dokument, arkiv och databasfiler.

När de väl är krypterade ändras filnamnen genom att lägga till flera strängar till dem, inklusive offer-ID, e-postmeddelandet som används av ransomware-operatören och tillägget ".r3tr0". På detta sätt kommer en fil med namnet "picture.jpg" att förvandlas till "picture.jpg.id-[alfanumerisk ID-sträng].[r3trocrypt@tuta.io].r3tr0.

Lösenedeln släpps i ett par filer, både vanlig text och en HTML-fil, som heter Info.txt och Info.hta.

Den fullständiga texten i lösennotan i HTA-filen lyder som följer:

RETROKRYPTERAD

r3tr0

Oroa dig inte, du kan returnera alla dina filer!

Om du vill återställa dem, skriv till mejlet: r3tr0crypt at tuta dot io DITT ID -

Om du inte har svarat per post inom 12 timmar, skriv till oss via en annan mail:r3tr0crypt på msgsafe dot io

UPPMÄRKSAMHET!

Vi rekommenderar att du kontaktar oss direkt för att undvika överbetalande agenter

Byt inte namn på krypterade filer.

Försök inte att dekryptera dina data med programvara från tredje part, det kan orsaka permanent dataförlust.

Dekryptering av dina filer med hjälp av tredje part kan orsaka ökat pris (de lägger till sin avgift till vår) eller så kan du bli offer för en bluff.

Lösenmeddelandet i TXT-filen är som följer:

all din data har låsts till oss

Vill du återvända?

skriv e-post r3tr0crypt på tuta dot io eller r3tr0crypt på msgsafe dot io