Raf Ransomware
Après avoir analysé le code sous-jacent de la menace Raf Ransomware, les chercheurs en cybersécurité ont déterminé qu'il s'agissait d'une variante de la famille Makop Ransomware. Les appareils infectés par la menace seront soumis au cryptage des données, ce qui aura pour conséquence qu'une grande partie des fichiers qui y sont stockés ne seront plus accessibles ou utilisables.
Dans le cadre des actions invasives effectuées par la menace, les noms des fichiers verrouillés seront également modifiés de manière significative. En effet, les victimes remarqueront que leurs fichiers ont désormais une chaîne d'identification, une adresse e-mail et une nouvelle extension de fichier ajoutée à leurs noms d'origine. L'adresse e-mail en question est "khakuta@msgsafe.io", tandis que l'extension de fichier est ".Raf". Une note de rançon sera déposée sur le bureau des appareils piratés sous la forme d'un fichier texte nommé "readme-warning.txt".
Détails de la note de rançon
Le message demandant une rançon de la menace suit un format Q&A (question et réponse). Il révèle que les victimes de Raf Ransomware devraient payer une rançon en utilisant la crypto-monnaie Bitcoin. Les utilisateurs concernés sont également autorisés à envoyer 2 fichiers cryptés à déverrouiller gratuitement. Cependant, les fichiers choisis doivent répondre à plusieurs exigences. Tout d'abord, ils doivent avoir des extensions simples, telles que jpg, xls, doc et similaires. Deuxièmement, ils ne doivent pas dépasser 1 Mo. Pour envoyer les fichiers et recevoir des instructions supplémentaires, les victimes disposent de deux adresses e-mail qui agissent comme des canaux de communication : « khakuta@msgsafe.io » et « wisetech01@msgsafe.io ».
La note de rançon complète de la menace est :
'::: Les salutations :::
Petite FAQ :
.1.
Q : Que se passe-t-il ?
R : Vos fichiers ont été cryptés et portent désormais l'extension "Raf". La structure du fichier n'a pas été endommagée, nous avons tout fait pour que cela ne se produise pas..2.
Q : Comment récupérer des fichiers ?
R : Si vous souhaitez décrypter vos fichiers, vous devrez payer en bitcoins..3.
Q : Qu'en est-il des garanties ?
A: C'est juste une entreprise. Nous ne nous soucions absolument pas de vous et de vos offres, sauf d'obtenir des avantages. Si nous ne faisons pas notre travail et nos responsabilités, personne ne coopérera avec nous. Ce n'est pas dans notre intérêt.
Pour vérifier la capacité de retour des fichiers, vous pouvez nous envoyer 2 fichiers avec des extensions SIMPLES (jpg, xls, doc, etc… pas des bases de données !) et des tailles réduites (max 1 Mo), nous les décrypterons et vous les renverrons . C'est notre garantie..4.
Q : Comment vous contacter ?
R : Vous pouvez nous écrire sur notre boîte mail : khakuta@msgsafe.io ou wisetech01@msgsafe.io.5.
Q : Comment le processus de décryptage se déroulera-t-il après le paiement ?
A: Après paiement, nous vous enverrons notre programme de scanner-décodeur et des instructions d'utilisation détaillées. Avec ce programme, vous pourrez décrypter tous vos fichiers cryptés..6.
Q : Si je ne veux pas payer de mauvaises personnes comme vous ?
A: Si vous ne coopérez pas avec notre service - pour nous, cela n'a pas d'importance. Mais vous perdrez votre temps et vos données, car nous seuls avons la clé privée. En pratique, le temps est beaucoup plus précieux que l'argent.
:::IL FAUT SE MÉFIER:::
N'essayez PAS de modifier les fichiers cryptés par vous-même !
Si vous essayez d'utiliser un logiciel tiers pour restaurer vos données ou des solutions antivirus, veuillez faire une sauvegarde de tous les fichiers cryptés !
Toute modification des fichiers cryptés peut entraîner des dommages à la clé privée et, par conséquent, la perte de toutes les données.'
