ทูทู แรนซัมแวร์

Tutu ทำงานเป็นภัยคุกคามแรนซัมแวร์โดยมีวัตถุประสงค์หลักในการขัดขวางการเข้าถึงไฟล์ของเหยื่อผ่านการเข้ารหัส ด้วยการใช้รูปแบบที่โดดเด่น Tutu เปลี่ยนชื่อไฟล์เป้าหมายและนำเสนอหน้าต่างป๊อปอัปพร้อมกัน นอกจากนี้ แรนซัมแวร์ยังสร้างไฟล์ 'README!.txt' ที่ทำหน้าที่เป็นบันทึกเรียกค่าไถ่

ในระหว่างกิจกรรมคุกคาม Tutu จะเพิ่ม ID ของเหยื่อ ที่อยู่อีเมล 'tutu@download_file' และนามสกุล '.tutu' ต่อท้ายชื่อไฟล์ หลังจากทำการตรวจสอบอย่างครอบคลุม นักวิเคราะห์ความปลอดภัยได้ระบุว่า Tutu Ransomware เป็นสมาชิกของกลุ่มมัลแวร์ Dharma

ผู้ที่ตกเป็นเหยื่อของ Tutu Ransomware จะถูกล็อคไม่ให้เข้าถึงข้อมูลของตนเอง

Tutu Ransomware ใช้วิธีการที่หลากหลายในกิจกรรมที่ไม่ปลอดภัย โดยกำหนดเป้าหมายทั้งไฟล์ที่จัดเก็บไว้ในเครื่องและไฟล์ที่แชร์บนเครือข่าย เพื่อขัดขวางความพยายามในการกู้คืนข้อมูล ระบบจะเข้ารหัสไฟล์เหล่านี้ในขณะเดียวกันก็ใช้มาตรการต่างๆ เช่น การปิดไฟร์วอลล์และการกำจัด Shadow Volume Copies การเผยแพร่ของ Tutu เกิดขึ้นผ่านการใช้ประโยชน์จากบริการ Remote Desktop Protocol (RDP) ที่มีช่องโหว่ โดยส่วนใหญ่ใช้การโจมตีแบบดุร้ายและพจนานุกรมในระบบที่มีการจัดการข้อมูลรับรองบัญชีไม่เพียงพอ

การสร้างความคงอยู่ในระบบที่ติดไวรัสเป็นสิ่งสำคัญสำหรับ Tutu ซึ่งทำได้โดยการคัดลอกตัวเองไปยังพาธ %LOCALAPPDATA% และลงทะเบียนด้วยปุ่ม Run เฉพาะ นอกจากนี้ Tutu ยังมีความสามารถในการดึงข้อมูลตำแหน่ง ทำให้สามารถแยกตำแหน่งที่กำหนดไว้ล่วงหน้าออกจากกระบวนการเข้ารหัสได้

บันทึกค่าไถ่ที่ส่งโดย Tutu Ransomware จะสื่อสารถึงภัยคุกคามร้ายแรงต่อเหยื่อ โดยอ้างว่าฐานข้อมูลและข้อมูลส่วนบุคคลทั้งหมดได้ถูกดาวน์โหลดและเข้ารหัสแล้ว ผู้โจมตีพยายามขู่กรรโชกเหยื่อ โดยขู่ว่าจะเผยแพร่และขายข้อมูลที่ถูกบุกรุกบน Dark Net และไซต์ของแฮ็กเกอร์ เพื่อเพิ่มความเร่งด่วน จึงมีการกำหนดกรอบเวลาตอบกลับภายใน 24 ชั่วโมง อีเมลติดต่อที่ให้ไว้เพื่อการสื่อสารคือ tutu@onionmail.org

การเรียกร้องค่าไถ่นั้นรวมถึงจำนวนเงินที่เฉพาะเจาะจง โดยสัญญาว่าจะการชำระเงินจะส่งผลให้มีการถอดรหัสข้อมูล หมายเหตุเตือนอย่างชัดเจนถึงการใช้ซอฟต์แวร์ถอดรหัสของบุคคลที่สาม โดยยืนยันว่ามีเพียงผู้โจมตีเท่านั้นที่มีคีย์ถอดรหัสที่จำเป็น ผู้โจมตีเสนอโอกาสให้เหยื่อทดสอบคีย์ถอดรหัสในไฟล์เดียวที่ได้รับผลกระทบจากแรนซัมแวร์โดยไม่เสียค่าใช้จ่าย

ปกป้องอุปกรณ์ของคุณจากการติดมัลแวร์

การปกป้องอุปกรณ์จากการติดมัลแวร์ถือเป็นสิ่งสำคัญในการรักษาความปลอดภัยและความสมบูรณ์ของข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อน ต่อไปนี้เป็นขั้นตอนที่ครอบคลุมที่ผู้ใช้สามารถดำเนินการเพื่อปกป้องอุปกรณ์ของตน:

• ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ :
• ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงและอัปเดตเป็นประจำ
• กำหนดค่าซอฟต์แวร์เพื่อทำการสแกนตามกำหนดเวลาของทั้งระบบ
• อัปเดตระบบปฏิบัติการและซอฟต์แวร์อยู่เสมอ :
• อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์เป็นประจำเพื่อแก้ไขช่องโหว่ที่มัลแวร์อาจนำไปใช้ในทางที่ผิด
• การใช้ไฟร์วอลล์ :
• เปิดใช้งานและกำหนดค่าไฟร์วอลล์เพื่อตรวจสอบและควบคุมการรับส่งข้อมูลเครือข่ายขาเข้าและขาออกได้ดีขึ้น ดังนั้นจึงป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
• โปรดใช้ความระมัดระวังกับไฟล์แนบอีเมลและลิงก์ :
• หลีกเลี่ยงการโต้ตอบกับไฟล์แนบอีเมลหรือการคลิกลิงก์จากแหล่งที่ไม่รู้จักหรือน่าสงสัย ตรวจสอบความถูกต้องของอีเมล โดยเฉพาะอีเมลที่ขอข้อมูลส่วนบุคคลหรือข้อมูลทางการเงิน
• ระมัดระวังการดาวน์โหลด :
• ดาวน์โหลดซอฟต์แวร์ แอปพลิเคชัน และไฟล์จากแหล่งที่เชื่อถือได้และเป็นทางการเท่านั้น
• หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์ที่แคร็กหรือละเมิดลิขสิทธิ์ เนื่องจากซอฟต์แวร์เหล่านี้อาจมีมัลแวร์ซ่อนอยู่
• ใช้รหัสผ่านที่รัดกุม :
• ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกันสำหรับบัญชีออนไลน์แต่ละบัญชีเสมอ นอกจากนี้ ให้ตรวจสอบข้อดีของการใช้เครื่องมือจัดการรหัสผ่านเพื่อสร้างและจัดเก็บรหัสผ่านที่ซับซ้อนอย่างปลอดภัย
• รักษาความปลอดภัยเครือข่ายของคุณ :
• เข้ารหัสเครือข่าย Wi-Fi ของคุณด้วยรหัสผ่านที่รัดกุมและไม่ซ้ำกัน
• ปิดใช้งานบริการเครือข่ายที่ไม่จำเป็นและปิดพอร์ตที่ไม่ได้ใช้
• สำรองข้อมูลอย่างสม่ำเสมอ :
• สำรองข้อมูลสำคัญไปยังอุปกรณ์ภายนอกหรือบริการคลาวด์ที่ปลอดภัยเป็นประจำ
• ตรวจสอบให้แน่ใจว่าการสำรองข้อมูลเป็นแบบอัตโนมัติและจัดเก็บไว้ในตำแหน่งที่ไม่สามารถเข้าถึงได้โดยตรงจากอุปกรณ์
• ให้ความรู้แก่ตัวเอง :
• รับข่าวสารเกี่ยวกับภัยคุกคามมัลแวร์ล่าสุดและแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัย
• โปรดใช้ความระมัดระวังเกี่ยวกับกลยุทธ์วิศวกรรมสังคมและความพยายามในการฟิชชิ่ง

ด้วยการรวมแนวทางปฏิบัติเหล่านี้เข้ากับกิจวัตรที่ครอบคลุม ผู้ใช้สามารถลดความเสี่ยงของการติดมัลแวร์ได้อย่างมาก และเพิ่มความปลอดภัยโดยรวมของอุปกรณ์ของพวกเขา

บันทึกค่าไถ่หลักของ Tutu Ransomware ส่งข้อความต่อไปนี้:

'We downloaded to our servers and encrypted all your databases and personal information!
If you do not write to us within 24 hours, we will start publishing and selling your data on the darknet on hacker sites and offer the information to your competitors
email us: tutu@onionmail.org YOUR ID -
If you haven't heard back within 24 hours, write to this email:tutu@onionmail.org
IMPORTANT INFORMATION!
Keep in mind that once your data appears on our leak site,it could be bought by your competitors at any second, so don't hesitate for a long time.The sooner you pay the ransom, the sooner your company will be safe..
Guarantee:If we don't provide you with a decryptor or delete your data after you pay,no one will pay us in the future. We value our reputation.
Guarantee key:To prove that the decryption key exists, we can test the file (not the database and backup) for free.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Don't go to recovery companies - they are essentially just middlemen.Decryption of your files with the help of third parties may cause increased price (they add their fee to our) we're the only ones who have the decryption keys.

The text file generated by Tutu Ransomware contains the following instructions:

Your data has been stolen and encrypted!

email us

tutu@onionmail.org'