R3tr0 Ransomware
Eine neue Variante der Ransomware-Familie Dharma wird von Cyberkriminellen verwendet, um die Daten ihrer Opfer zu sperren. Die Bedrohung wird als R3tr0 Ransomware verfolgt, kann aber auch als RETRO-ENCRYPTED auftreten. Die Malware ist mit einer nicht zu knackenden Verschlüsselungsroutine ausgestattet, die alle wichtigen Dateien des Opfers – Datenbanken, Archive, Dokumente, Bilder usw. – betreffen kann.
Der Name jeder verschlüsselten Datei wird ebenfalls drastisch geändert. Die Bedrohung fügt zunächst eine für das jeweilige Opfer spezifische ID-Zeichenfolge hinzu. Es folgt eine E-Mail-Adresse unter der Kontrolle der Angreifer – in diesem Fall „r3tr0crypt@tuta.io“. Schließlich wird an die gesperrten Dateien „.r3tr0“ als neue Dateierweiterung angehängt. Wie es für eine Dharma-basierte Bedrohung typisch ist, hinterlässt R3tr0 Ransomware zwei Lösegeldforderungen als „Info.hta“- und „info.txt“-Dateien auf den angegriffenen Geräten.
Die Textdatei enthält eine gekürzte Version der Lösegeldforderung, wobei die Benutzer einfach darauf verwiesen werden, die beiden E-Mail-Adressen der Angreifer zu kontaktieren. Die vollständigen Anweisungen finden Sie im Popup-Fenster, das aus der .hta-Datei generiert wird. Hier wiederholten die Bedrohungsakteure erneut ihre E-Mails an „r3tr0crypt@tuta.io“ und „r3tr0crypt@msgsafe.io“. Sie warnen ihre Opfer auch davor, dass das Umbenennen oder der Versuch, die Daten mit Tools von Drittanbietern zu entschlüsseln, die Daten dauerhaft beschädigen und die Dateien nicht wiederherstellbar machen könnten.
Der vollständige Text der Lösegeldforderung lautet:
RETRO-VERSCHLÜSSELT
r3tr0
Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, schreiben Sie an die E-Mail: r3tr0crypt@tuta.io IHRE ID -
Wenn Sie nicht innerhalb von 12 Stunden per E-Mail geantwortet haben, schreiben Sie uns eine andere E-Mail: r3tr0crypt@msgsafe.io
AUFMERKSAMKEIT!
Wir empfehlen Ihnen, sich direkt mit uns in Verbindung zu setzen, um überbezahlte Agenten zu vermeiden
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Drittanbietern kann zu erhöhten Kosten führen (sie fügen ihre Gebühr zu unserer hinzu) oder Sie können Opfer eines Betrugs werden.
Die Anweisungen in der Textdatei lauten:
Alle Ihre Daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie eine E-Mail an r3tr0crypt@tuta.io oder r3tr0crypt@msgsafe.io
