Raf Ransomware

Después de analizar el código subyacente de la amenaza Raf Ransomware, los investigadores de ciberseguridad determinaron que es una variante de la familia Makop Ransomware. Los dispositivos infectados con la amenaza estarán sujetos al cifrado de datos, lo que dará como resultado que una gran parte de los archivos almacenados en ellos ya no sean accesibles o utilizables.

Como parte de las acciones invasivas realizadas por la amenaza, los nombres de los archivos bloqueados también se modificarán de manera significativa. De hecho, las víctimas notarán que sus archivos ahora tienen una cadena de identificación, una dirección de correo electrónico y una nueva extensión de archivo agregada a sus nombres originales. La dirección de correo electrónico en cuestión es 'khakuta@msgsafe.io', mientras que la extensión del archivo es '.Raf'. Se colocará una nota de rescate en el escritorio de los dispositivos violados en forma de un archivo de texto llamado 'readme-warning.txt'.

Detalles de la nota de rescate

El mensaje de rescate de la amenaza sigue un formato de preguntas y respuestas (preguntas y respuestas). Revela que se espera que las víctimas de Raf Ransomware paguen un rescate utilizando la criptomoneda Bitcoin. Los usuarios afectados también pueden enviar 2 archivos cifrados para desbloquearlos de forma gratuita. Sin embargo, los archivos elegidos deben cumplir varios requisitos. Primero, deben tener extensiones simples, como jpg, xls, doc y similares. En segundo lugar, no deben exceder 1 MB de tamaño. Para enviar los archivos y recibir instrucciones adicionales, las víctimas tienen dos direcciones de correo electrónico que actúan como canales de comunicación: 'khakuta@msgsafe.io' y 'wisetech01@msgsafe.io'.

La nota de rescate completa de la amenaza es:

'::: Saludos :::

Pequeñas preguntas frecuentes:
.1.
P: ¿Qué pasa?
R: Sus archivos han sido encriptados y ahora tienen la extensión "Raf". La estructura del archivo no se dañó, hicimos todo lo posible para que esto no sucediera.

.2.
P: ¿Cómo recuperar archivos?
R: Si desea descifrar sus archivos, deberá pagar en bitcoins.

.3.
P: ¿Qué pasa con las garantías?
R: Es solo un negocio. Absolutamente no nos preocupamos por usted y sus ofertas, excepto obtener beneficios. Si no hacemos nuestro trabajo y responsabilidades, nadie cooperará con nosotros. No es de nuestro interés.
Para verificar la capacidad de devolver archivos, puede enviarnos 2 archivos con extensiones SIMPLES (jpg, xls, doc, etc... ¡no bases de datos!) y tamaños bajos (máximo 1 mb), los descifraremos y se los enviaremos . Esa es nuestra garantía.

.4.
P: ¿Cómo contactar con usted?
R: Puede escribirnos a nuestro buzón: khakuta@msgsafe.io o wisetech01@msgsafe.io

.5.
P: ¿Cómo procederá el proceso de descifrado después del pago?
R: Después del pago, le enviaremos nuestro programa de escáner-decodificador e instrucciones detalladas de uso. Con este programa podrás descifrar todos tus archivos cifrados.

.6.
P: ¿Si no quiero pagarle a gente mala como tú?
R: Si no coopera con nuestro servicio, para nosotros no importa. Pero perderá su tiempo y sus datos, porque solo nosotros tenemos la clave privada. En la práctica, el tiempo es mucho más valioso que el dinero.
:::TENER CUIDADO:::
¡NO intente cambiar los archivos cifrados usted mismo!
Si intenta utilizar cualquier software de terceros para restaurar sus datos o soluciones antivirus, ¡haga una copia de seguridad de todos los archivos cifrados!
Cualquier cambio en los archivos cifrados puede provocar daños en la clave privada y, como resultado, la pérdida de todos los datos.'