基於 Babuk 代碼的 RA Group 勒索軟件

RA Group是一種勒索軟件，可以進行數據加密、修改文件名並發送特定的勒索字條。每次攻擊都涉及針對目標組織或公司量身定制的名為“How To Restore Your Files.txt”的定制贖金票據。相同級別的定制可以應用於附加到加密文件的文件名的文件擴展名。

從 RA Group 勒索軟件中觀察到的文件擴展名之一是“.GAGUP”。值得注意的是，RA Group 以使用基於 Babuk 勒索軟件組洩露的源代碼構建的加密器而聞名，該勒索軟件組已於 2021 年停止運營。

贖金票據用於告知受害者其數據的加密以及攻擊者在其服務器上複製數據以確保其完整性和機密性的行為（如果他們的要求得到滿足）。

該說明解釋說，攻擊者已經獲取了受害者的數據並加密了他們的服務器，強調了解密加密文件的可能性。它提到在滿足攻擊者的要求後，保存的數據將被永久刪除，並列出了攻擊者訪問過的各種類型的數據。

受害者被指示聯繫攻擊者並為解密過程付款。通信最好通過 qTox 進行，並提供 qTox ID 供受害者使用。該說明警告不要通過其他渠道聯繫攻擊者，這表明攻擊者只對金錢收益感興趣。

此外，贖金票據指出，如果在三天內沒有建立聯繫，樣本文件將被公開披露。如果 7 天內沒有回复，所有文件將向公眾發布。要訪問更多信息，建議受害者使用 Tor 瀏覽器。

RA Group 贖金演員依靠 Tox Chat 進行聯繫

RA Group勒索信全文如下：

RA集團

通知
當您閱讀這封信時，您的數據已被加密。
我們已將所有數據複製到我們的服務器。
但請放心，如果您按照我的意願行事，您的數據將不會洩露或公開。

我們做了什麼？
我們獲取了您的數據並對您的服務器進行了加密，加密的文件可以被解密。
我們已經妥善保存了您的數據，如果您符合我們的要求，我們將刪除保存的數據。
我們獲取了以下數據：
[編輯] 文檔
供應商信息
客戶信息、付款信息
員工信息，工資單
會計
銷售稅
財務報表
財務年報、季報
[編輯] 合同
商業計劃
合同
發票
頂點信息
員工內部電子郵件備份

我們想要什麼？
聯繫我們，支付解密費用。

如何联系我們？
我們使用 qTox 聯繫，您可以從 qTox 辦公室網站獲得更多信息：
hxxps://qtox.github.io

我們的 qTox ID 是：
（字母數字字符串）

我們沒有其他聯繫方式。
如果 3 天內沒有聯繫，我們將公開示例文件。
如果 7 天內沒有聯繫，我們將公開該文件。

推薦
不要通過其他公司聯繫我們，他們只是賺取差價。

信息發布
示例文件：

全部文件：

您可以使用 Tor 瀏覽器打開 .onion url。
Ger 來自 Tor 辦公室網站的更多信息：
hxxps://www.torproject.org

您可以做些什麼來保護您的數據免受 RA Group 之類的勒索軟件的侵害？

保護您的數據免受 RA Group 等勒索軟件攻擊對於保護您的信息和防止潛在損害至關重要。以下是您可以採取的一些措施來增強數據保護：

備份您的數據：定期備份您的重要數據，並確保備份安全地離線存儲或存儲在單獨的網絡中。這樣，即使您的數據被勒索軟件加密，您也可以從備份中恢復數據而無需支付贖金。

讓您的軟件保持最新狀態：及時安裝軟件更新和安全補丁。過時的軟件通常包含可被勒索軟件利用的漏洞。盡可能啟用自動更新以確保及時保護。

使用強大的安全解決方案：在您的所有設備上部署可靠的防病毒或反惡意軟件。保持這些安全解決方案更新並定期執行掃描以檢測任何潛在威脅。

格外小心電子郵件附件和鏈接：打開電子郵件附件或單擊鏈接時要小心，尤其是來源不明的鏈接。勒索軟件通常通過網絡釣魚郵件傳播，因此在打開郵件之前，請驗證發件人的身份並使用安全軟件掃描附件。

啟用強而獨特的密碼：為所有帳戶使用強密碼並避免重複使用它們。考慮使用密碼管理器來安全地存儲和管理您的密碼。盡可能啟用多重身份驗證 (MFA) 以添加額外的安全層。