Tutu Ransomware

Tutu funciona com una amenaça de ransomware amb l'objectiu principal d'impedir l'accés de les víctimes als seus fitxers mitjançant el xifratge. Utilitzant un patró distintiu, Tutu canvia el nom dels fitxers de destinació i alhora presenta una finestra emergent. A més, el ransomware genera un fitxer "README!.txt" que serveix com a nota de rescat.

Durant les activitats d'amenaça, Tutu afegeix l'identificador de la víctima, l'adreça de correu electrònic "tutu@download_file" i una extensió ".tutu" als noms de fitxer. Després de realitzar un examen exhaustiu, els analistes de seguretat han identificat el Tutu Ransomware com a membre de la família de programari maliciós Dharma .

Les víctimes del ransomware Tutu estan bloquejades per a les seves pròpies dades

El Tutu Ransomware utilitza un enfocament multifacètic per a les seves activitats insegures, dirigint-se tant a fitxers emmagatzemats localment com a fitxers compartits a la xarxa. Per impedir els esforços de recuperació de dades, xifra aquests fitxers alhora que pren mesures com ara desactivar el tallafoc i eradicar les còpies de volum d'ombra. La propagació de Tutu es produeix mitjançant l'explotació de serveis vulnerables del Protocol d'escriptori remot (RDP), utilitzant principalment la força bruta i atacs de tipus diccionari a sistemes on les credencials del compte es gestionen de manera inadequada.

Establir la persistència en el sistema infectat és una prioritat per a Tutu, que s'aconsegueix copiant-se a la ruta %LOCALAPPDATA% i registrant-se amb claus d'execució específiques. A més, Tutu té la capacitat de recuperar dades d'ubicació, permetent l'exclusió d'ubicacions predeterminades del seu procés de xifratge.

La nota de rescat lliurada pel Tutu Ransomware comunica una greu amenaça a les víctimes, afirmant que totes les bases de dades i la informació personal s'han descarregat i xifrat. Els atacants, en un intent d'extorsionar a la víctima, amenacen amb publicar i vendre les dades compromeses a la Dark Net i als llocs de pirates informàtics. Per afegir urgència, s'estipula una finestra de resposta de 24 hores. El correu electrònic de contacte proporcionat per a la comunicació és tutu@onionmail.org.

Les demandes de rescat inclouen una quantitat monetària específica, amb la promesa que el pagament donarà lloc al desxifrat de les dades. La nota adverteix explícitament contra l'ús de programari de desxifrat de tercers, afirmant que només els atacants posseeixen les claus de desxifrat necessàries. Els atacants ofereixen a les víctimes l'oportunitat de provar la clau de desxifrat en un únic fitxer afectat pel ransomware, de manera gratuïta.

Protegiu els vostres dispositius contra infeccions de programari maliciós

Protegir els dispositius contra infeccions de programari maliciós és crucial per mantenir la seguretat i la integritat de la informació personal i sensible. A continuació es mostren els passos complets que els usuaris poden fer per protegir els seus dispositius:

• Instal·leu programari anti-malware :
• Utilitzeu programari anti-malware de bona reputació i mantingueu-lo actualitzat regularment.
• Configureu el programari per dur a terme exploracions programades de tot el sistema.
• Mantenir els sistemes operatius i el programari actualitzats :
• Actualitzeu regularment els sistemes operatius, les aplicacions i el programari per solucionar les vulnerabilitats de les quals el programari maliciós pot fer un ús abusiu.
• Ús d'un tallafoc :
• Activeu i configureu un tallafoc per supervisar i controlar millor el trànsit de xarxa entrant i sortint, evitant així l'accés no autoritzat.
• Aneu amb compte amb els fitxers adjunts i els enllaços de correu electrònic :
• Eviteu interactuar amb qualsevol fitxer adjunt de correu electrònic o fer clic a enllaços de fonts desconegudes o sospitoses. Verificar la legitimitat dels correus electrònics, especialment els que demanen informació personal o financera.
• Aneu amb compte amb les descàrregues :
• Baixeu programari, aplicacions i fitxers només de fonts oficials i de bona reputació.
• Eviteu baixar programari piratejat o piratejat, ja que pot contenir programari maliciós.
• Implementar contrasenyes fortes :
• Feu servir sempre contrasenyes fortes i úniques per a cada compte en línia diferent. A més, examineu els avantatges d'utilitzar un gestor de contrasenyes per produir i emmagatzemar contrasenyes complexes de manera segura.
• Assegureu la vostra xarxa :
• Xifra la teva xarxa Wi-Fi amb una contrasenya única i segura.
• Desactiveu els serveis de xarxa innecessaris i tanqueu els ports no utilitzats.
• Còpia de seguretat regularment :
• Feu còpies de seguretat de dades importants periòdicament en un dispositiu extern o en un servei al núvol segur.
• Assegureu-vos que les còpies de seguretat estiguin automatitzades i s'emmagatzemen en una ubicació no accessible directament des del dispositiu.
• Educa't :
• Manteniu-vos informat sobre les amenaces de programari maliciós més recents i les pràctiques recomanades de seguretat.
• Aneu amb compte amb les tàctiques d'enginyeria social i els intents de pesca.

En incorporar aquestes pràctiques a una rutina integral, els usuaris poden disminuir significativament el risc d'infeccions de programari maliciós i millorar la seguretat general dels seus dispositius.

La nota de rescat principal del Tutu Ransomware ofereix el missatge següent:

'We downloaded to our servers and encrypted all your databases and personal information!
If you do not write to us within 24 hours, we will start publishing and selling your data on the darknet on hacker sites and offer the information to your competitors
email us: tutu@onionmail.org YOUR ID -
If you haven't heard back within 24 hours, write to this email:tutu@onionmail.org
IMPORTANT INFORMATION!
Keep in mind that once your data appears on our leak site,it could be bought by your competitors at any second, so don't hesitate for a long time.The sooner you pay the ransom, the sooner your company will be safe..
Guarantee:If we don't provide you with a decryptor or delete your data after you pay,no one will pay us in the future. We value our reputation.
Guarantee key:To prove that the decryption key exists, we can test the file (not the database and backup) for free.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Don't go to recovery companies - they are essentially just middlemen.Decryption of your files with the help of third parties may cause increased price (they add their fee to our) we're the only ones who have the decryption keys.

The text file generated by Tutu Ransomware contains the following instructions:

Your data has been stolen and encrypted!

email us

tutu@onionmail.org'