توتو الفدية
يعمل Tutu كتهديد ببرامج الفدية بهدف أساسي هو إعاقة وصول الضحايا إلى ملفاتهم من خلال التشفير. باستخدام نمط مميز، يقوم Tutu بإعادة تسمية الملفات المستهدفة ويعرض في نفس الوقت نافذة منبثقة. بالإضافة إلى ذلك، يقوم برنامج الفدية بإنشاء ملف 'README!.txt' الذي يعمل كمذكرة فدية.
أثناء أنشطة التهديد، يقوم Tutu بإلحاق معرف الضحية وعنوان البريد الإلكتروني "tutu@download_file" وامتداد ".tutu" لأسماء الملفات. بعد إجراء فحص شامل، حدد محللو الأمن برنامج Tutu Ransomware كعضو في عائلة البرامج الضارة Dharma .
ضحايا برنامج Tutu Ransomware محرومون من الوصول إلى بياناتهم الخاصة
يستخدم برنامج Tutu Ransomware نهجًا متعدد الأوجه في التعامل مع أنشطته غير الآمنة، حيث يستهدف الملفات المخزنة محليًا والملفات المشتركة عبر الشبكة. لعرقلة جهود استعادة البيانات، يقوم بتشفير هذه الملفات مع اتخاذ إجراءات متزامنة مثل إيقاف تشغيل جدار الحماية والقضاء على نسخ حجم الظل. يحدث انتشار Tutu من خلال استغلال خدمات بروتوكول سطح المكتب البعيد (RDP) الضعيفة، وذلك باستخدام القوة الغاشمة والهجمات من نوع القاموس في الغالب على الأنظمة التي لا تتم فيها إدارة بيانات اعتماد الحساب بشكل كافٍ.
يعد إنشاء الثبات في النظام المصاب أولوية بالنسبة إلى Tutu، ويتم تحقيقه عن طريق نسخ نفسه إلى مسار %LOCALAPPDATA% والتسجيل باستخدام مفاتيح تشغيل محددة. علاوة على ذلك، يمتلك Tutu القدرة على استرداد بيانات الموقع، مما يسمح باستبعاد المواقع المحددة مسبقًا من عملية التشفير الخاصة به.
تشير مذكرة الفدية التي سلمها برنامج Tutu Ransomware إلى تهديد خطير للضحايا، حيث تدعي أنه تم تنزيل جميع قواعد البيانات والمعلومات الشخصية وتشفيرها. وفي محاولة لابتزاز الضحية، يهدد المهاجمون بنشر وبيع البيانات المخترقة على شبكة الإنترنت المظلمة ومواقع القراصنة. ولمزيد من الإلحاح، تم تحديد نافذة استجابة على مدار 24 ساعة. البريد الإلكتروني للاتصال المقدم للتواصل هو tutu@onionmail.org.
تتضمن طلبات الفدية مبلغًا نقديًا محددًا، مع وعد بأن الدفع سيؤدي إلى فك تشفير البيانات. تحذر المذكرة صراحةً من استخدام برامج فك التشفير التابعة لجهة خارجية، مؤكدة أن المهاجمين فقط هم الذين يمتلكون مفاتيح فك التشفير اللازمة. يوفر المهاجمون فرصة للضحايا لاختبار مفتاح فك التشفير في ملف واحد متأثر ببرنامج الفدية مجانًا.
قم بحماية أجهزتك من الإصابة بالبرامج الضارة
تعد حماية الأجهزة من الإصابة بالبرامج الضارة أمرًا بالغ الأهمية للحفاظ على أمان وسلامة المعلومات الشخصية والحساسة. فيما يلي خطوات شاملة يمكن للمستخدمين اتخاذها لحماية أجهزتهم:
- تثبيت برامج مكافحة البرامج الضارة :
- استخدم برامج مكافحة البرامج الضارة ذات السمعة الطيبة وحافظ على تحديثها بانتظام.
- قم بتكوين البرنامج لإجراء عمليات الفحص المجدولة للنظام بأكمله.
- حافظ على تحديث أنظمة التشغيل والبرامج :
- قم بتحديث أنظمة التشغيل والتطبيقات والبرامج بانتظام لإصلاح نقاط الضعف التي قد تستغلها البرامج الضارة.
- باستخدام جدار الحماية :
- قم بتنشيط جدار الحماية وتكوينه لمراقبة حركة مرور الشبكة الواردة والصادرة والتحكم فيها بشكل أفضل، وبالتالي منع الوصول غير المصرح به.
- توخي الحذر مع مرفقات البريد الإلكتروني والروابط :
- تجنب التفاعل مع أي مرفقات بالبريد الإلكتروني أو النقر على روابط من مصادر غير معروفة أو مشبوهة. التحقق من شرعية رسائل البريد الإلكتروني، وخاصة تلك التي تطلب معلومات شخصية أو مالية.
- كن حذرا مع التنزيلات :
- قم بتنزيل البرامج والتطبيقات والملفات فقط من المصادر الرسمية وذات السمعة الطيبة.
- تجنب تنزيل البرامج المقرصنة أو المقرصنة، لأنها قد تحتوي على برامج ضارة.
- تنفيذ كلمات مرور قوية :
- استخدم دائمًا كلمات مرور قوية وفريدة لكل حساب مختلف عبر الإنترنت. قم أيضًا بفحص مزايا استخدام مدير كلمات المرور لإنتاج كلمات مرور معقدة وتخزينها بشكل آمن.
- تأمين شبكتك :
- قم بتشفير شبكة Wi-Fi الخاصة بك بكلمة مرور قوية وفريدة من نوعها.
- قم بتعطيل خدمات الشبكة غير الضرورية وأغلق المنافذ غير المستخدمة.
- النسخ الاحتياطي بانتظام :
- قم بإجراء نسخ احتياطي للبيانات المهمة بانتظام إلى جهاز خارجي أو خدمة سحابية آمنة.
- تأكد من أن النسخ الاحتياطية تتم تلقائيًا ويتم تخزينها في موقع لا يمكن الوصول إليه مباشرة من الجهاز.
- ثقف نفسك :
- ابق على اطلاع بأحدث تهديدات البرامج الضارة وأفضل ممارسات الأمان.
- كن حذرًا بشأن أساليب الهندسة الاجتماعية ومحاولات التصيد الاحتيالي.
ومن خلال دمج هذه الممارسات في روتين شامل، يمكن للمستخدمين تقليل مخاطر الإصابة بالبرامج الضارة بشكل كبير وتعزيز الأمان العام لأجهزتهم.
مذكرة الفدية الرئيسية لبرنامج Tutu Ransomware تقدم الرسالة التالية:
'We downloaded to our servers and encrypted all your databases and personal information!
If you do not write to us within 24 hours, we will start publishing and selling your data on the darknet on hacker sites and offer the information to your competitors
email us: tutu@onionmail.org YOUR ID -
If you haven't heard back within 24 hours, write to this email:tutu@onionmail.org
IMPORTANT INFORMATION!
Keep in mind that once your data appears on our leak site,it could be bought by your competitors at any second, so don't hesitate for a long time.The sooner you pay the ransom, the sooner your company will be safe..
Guarantee:If we don't provide you with a decryptor or delete your data after you pay,no one will pay us in the future. We value our reputation.
Guarantee key:To prove that the decryption key exists, we can test the file (not the database and backup) for free.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Don't go to recovery companies - they are essentially just middlemen.Decryption of your files with the help of third parties may cause increased price (they add their fee to our) we're the only ones who have the decryption keys.
The text file generated by Tutu Ransomware contains the following instructions:
Your data has been stolen and encrypted!
email us
tutu@onionmail.org'