Raf Ransomware
Nach der Analyse des zugrunde liegenden Codes der Raf Ransomware-Bedrohung haben Cybersicherheitsforscher festgestellt, dass es sich um eine Variante der Makop Ransomware- Familie handelt. Geräte, die mit der Bedrohung infiziert sind, werden einer Datenverschlüsselung unterzogen, was dazu führt, dass ein großer Teil der darauf gespeicherten Dateien nicht mehr zugänglich oder verwendbar ist.
Als Teil der invasiven Aktionen, die von der Bedrohung durchgeführt werden, werden auch die Namen der gesperrten Dateien in erheblichem Maße geändert. Tatsächlich werden die Opfer feststellen, dass ihre Dateien jetzt eine ID-Zeichenfolge, eine E-Mail-Adresse und eine neue Dateierweiterung haben, die ihren ursprünglichen Namen hinzugefügt wurde. Die betreffende E-Mail-Adresse lautet „khakuta@msgsafe.io“, während die Dateierweiterung „.Raf“ lautet. Auf dem Desktop der angegriffenen Geräte wird eine Lösegeldforderung in Form einer Textdatei mit dem Namen „readme-warning.txt“ abgelegt.
Details der Lösegeldforderung
Die Lösegeld fordernde Nachricht der Bedrohung folgt einem Q&A-Format (Frage und Antwort). Es zeigt, dass von Raf Ransomware-Opfern erwartet wird, dass sie ein Lösegeld mit der Bitcoin-Kryptowährung zahlen. Betroffene Benutzer dürfen auch 2 verschlüsselte Dateien zum kostenlosen Entsperren senden. Die ausgewählten Dateien müssen jedoch mehrere Anforderungen erfüllen. Erstens müssen sie einfache Erweiterungen wie jpg, xls, doc und ähnliches haben. Zweitens dürfen sie eine Größe von 1 MB nicht überschreiten. Um die Dateien zu senden und zusätzliche Anweisungen zu erhalten, bleiben den Opfern zwei E-Mail-Adressen, die als Kommunikationskanäle fungieren – „khakuta@msgsafe.io“ und „wisetech01@msgsafe.io“.
Die gesamte Lösegeldforderung der Bedrohung lautet:
'::: Grüße :::
Kleine FAQ:
.1.
F: Was ist passiert?
A: Ihre Dateien wurden verschlüsselt und haben jetzt die Erweiterung „Raf“. Die Dateistruktur wurde nicht beschädigt, wir haben alles getan, damit dies nicht passieren konnte..2.
F: Wie stellt man Dateien wieder her?
A: Wenn Sie Ihre Dateien entschlüsseln möchten, müssen Sie in Bitcoins bezahlen..3.
F: Was ist mit Garantien?
A: Es ist nur ein Geschäft. Wir kümmern uns absolut nicht um Sie und Ihre Geschäfte, außer um Vorteile zu erhalten. Wenn wir unsere Arbeit und unsere Verpflichtungen nicht erfüllen, wird niemand mit uns zusammenarbeiten. Es ist nicht in unserem Interesse.
Um die Möglichkeit der Rücksendung von Dateien zu prüfen, können Sie uns 2 beliebige Dateien mit EINFACHEN Erweiterungen (jpg, xls, doc usw. … keine Datenbanken!) und geringen Größen (max. 1 MB) senden, wir werden sie entschlüsseln und an Sie zurücksenden . Das ist unsere Garantie..4.
F: Wie kann ich mit Ihnen Kontakt aufnehmen?
A: Sie können uns an unsere Mailbox schreiben: khakuta@msgsafe.io oder wisetech01@msgsafe.io.5.
F: Wie wird der Entschlüsselungsprozess nach der Zahlung fortgesetzt?
A: Nach der Zahlung senden wir Ihnen unser Scanner-Decoder-Programm und eine detaillierte Gebrauchsanweisung zu. Mit diesem Programm können Sie alle Ihre verschlüsselten Dateien entschlüsseln..6.
F: Wenn ich schlechte Leute wie Sie nicht bezahlen möchte?
A: Wenn Sie mit unserem Service nicht zusammenarbeiten, spielt das für uns keine Rolle. Aber Sie verlieren Ihre Zeit und Daten, denn nur wir haben den privaten Schlüssel. In der Praxis ist Zeit viel wertvoller als Geld.
:::IN ACHT NEHMEN:::
Versuchen Sie NICHT, verschlüsselte Dateien selbst zu ändern!
Wenn Sie versuchen, Software von Drittanbietern zur Wiederherstellung Ihrer Daten oder Antivirenlösungen zu verwenden, erstellen Sie bitte eine Sicherungskopie aller verschlüsselten Dateien!
Jegliche Änderungen an verschlüsselten Dateien können eine Beschädigung des privaten Schlüssels und damit den Verlust aller Daten zur Folge haben.'
