Rtg Ransomware använder rysk Ransom Note

Under en rutinmässig granskning av nya filprover gjorde vårt forskarteam en betydande upptäckt: Rtg ransomware, en variant som tillhör Xorist ransomware-familjen. Detta skadliga program fungerar genom att kryptera data och sedan kräva lösensummor för dekrypteringsnyckeln.

När vi testade Rtg ransomware på vår experimentella maskin, observerade vi att det effektivt krypterade filer och modifierade deras filnamn genom att lägga till ett ".rtg"-tillägg. Till exempel skulle en fil som ursprungligen hette "1.jpg" nu visas som "1.jpg.rtg", "2.png" som "2.png.rtg" och så vidare.

När krypteringsprocessen slutförts genererade ransomware identiska lösensedlar i två format: en textfil märkt "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" och ett popup-fönster. Noterbart kan texten i popup-fönstret verka som obegripligt trassel på system som saknar det kyrilliska alfabetet installerat, beroende på OS-versionen.

I lösenmeddelandet står det uttryckligen att offrets filer är säkert krypterade. Offret får ett 24-timmarsfönster för att få kontakt med angriparna; annars kommer den avgörande dekrypteringsnyckeln som krävs för dataåterställning att raderas permanent.

Rtg Ransom Note Skrivet på ryska

Den fullständiga texten i Rtg-lösennotan lyder som följer:

Ваши файлы были зашифрованны. Для того что бы расшифровать свои файлы, Вам необходимо написать нам, на адрес почты, которезаный укамо.

resk94043@rambler.ru

Ждем ответа сегодня, если не получим ответа , удаляем ключи расшифровки Ваших файлов

Мы Вам написали:
t1503@bk.ru
или
ooosk-ural@yandex.ru

Если не получили письмо, Ждем ответа с другой почты.!

Hur distribueras Ransomware Like Rtg online?

Ransomware som Rtg distribueras vanligtvis online genom olika metoder, utnyttjar sårbarheter och drar fördel av mänskliga beteenden. Här är några vanliga distributionsmetoder som används av ransomware, inklusive Rtg:

• Nätfiske-e-post: Nätfiske-e-post är ett av de vanligaste sätten att distribuera ransomware. Cyberkriminella skickar vilseledande e-postmeddelanden som låtsas komma från legitima källor, lockar mottagare att klicka på skadliga länkar eller ladda ner infekterade bilagor. Dessa e-postmeddelanden innehåller ofta brådskande eller lockande meddelanden för att lura användare att vidta åtgärder.
• Skadliga webbplatser och nedladdningar: Ransomware kan distribueras via komprometterade webbplatser eller falska nedladdningslänkar. Användare kan omedvetet ladda ner infekterad programvara, knäckta applikationer eller falska uppdateringar, vilket leder till installation av ransomware på deras system.
• Exploateringssatser: Cyberkriminella använder exploateringssatser för att rikta in sig på kända sårbarheter i programvara eller webbläsare. När en användare besöker en komprometterad webbplats identifierar och utnyttjar exploateringspaketet automatiskt dessa sårbarheter för att leverera lösenprogramvaran.
• Malvertising: Skadlig reklam, eller malvertising, kan injiceras på legitima webbplatser för att omdirigera användare till skadliga webbplatser som är värd för ransomware. Dessa annonser kan visas på populära webbplatser eller annonsnätverk, vilket gör dem svåra att undvika.
• Drive-by-nedladdningar: Drive-by-nedladdningar sker när användare besöker komprometterade eller skadliga webbplatser, och ransomwaren laddas ned och körs automatiskt utan deras vetskap eller samtycke.