TXTME рансъмуер
С усъвършенстването на киберзаплахите, ransomware продължава да представлява значителен риск за частните потребители, бизнеса и институциите по целия свят. Един от най-новите и най-опасни варианти, TXTME Ransomware, е пример за това как нападателите използват системни уязвимости и социално инженерство, за да криптират данни и да изнудват пари. За да не станете следващата жертва, е важно да разберете как работи тази заплаха и как да се защитите от нея.
Съдържание
Вътре в TXTME: Поглед към поведението на рансъмуера
Рансъмуерът TXTME принадлежи към семейството Dharma , известно със своите атаки за криптиране на данни и тактики за изнудване с висок натиск. Веднъж попаднал в системата, TXTME заключва потребителските файлове и ги преименува с уникален идентификатор, имейл адреса за контакт на нападателя и разширението „.TXTME“. Например:
1.png става 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME
2.pdf става 2.pdf.id-9ECFA84E.[ownercall@tuta.io].TXTME
На жертвите се показват две бележки за откуп: изскачащ прозорец на работния плот и файл „TXTME.txt“. Тези бележки предупреждават жертвата, че файловете ѝ са криптирани и я инструктират да се свърже с нападателя по имейл („ownercall@tuta.io“ или „ownercall@mailum.com“). Нападателят изисква биткойн в замяна на инструменти за декриптиране и предупреждава да не преименува файлове или да използва софтуер за възстановяване на данни на трети страни, заплашвайки с трайна загуба на данни.
Методи за заразяване и системна манипулация
След разполагане, TXTME предприема агресивни мерки за предотвратяване на възстановяване и поддържане на присъствието си:
- Деактивира защитната стена на системата, намалявайки защитата срещу по-нататъшни атаки.
- Изтрива скритите копия на тома, премахвайки всички вградени резервни данни, които биха могли да бъдат използвани за възстановяване на загубени файлове.
- Копира се в директорията %LOCALAPPDATA% и добавя записи в системния регистър, за да гарантира автоматичното стартиране при стартиране.
- Събира основни данни за местоположението, за да избегне заразяване на системи в определени страни – обикновено тези, свързани с нападателите.
Разпространява се чрез често срещани вектори на атака, включително фишинг имейли, измамни реклами, кракнат софтуер, заразени USB устройства и открити услуги за отдалечен работен плот (RDP), особено тези със слаби или повторно използвани пароли.
Укрепете защитата си: Най-добри практики за предотвратяване на ransomware
Защитата срещу сложни заплахи като TXTME изисква проактивна и многопластова стратегия. Здравата основа започва със защитата на вашата система и мрежа. Осигуряването на актуализация на операционната ви система и целия софтуер с най-новите корекции е от съществено значение за отстраняване на известни уязвимости. Също така е изключително важно да използвате надежден антивирусен софтуер с активирана защита в реално време, който може да помогне за откриване и блокиране на опасна дейност, преди да причини вреда.
Достъпът до системата трябва да бъде строго контролиран чрез регулиране на администраторските права само за тези, които са абсолютно необходими. Освен това, деактивирането на макроси в документи на Office може да предотврати изпълнението на много стандартни полезни товари от зловреден софтуер. Ако протоколът за отдалечен работен плот (RDP) не се използва, той трябва да бъде напълно деактивиран. Ако обаче е необходим отдалечен достъп, той трябва да бъде защитен със силни, уникални пароли, многофакторно удостоверяване и в идеалния случай да бъде маршрутизиран през виртуална частна мрежа (VPN).
Също толкова важно е поддържането на осведоменост и надеждната стратегия за архивиране. Важните файлове трябва редовно да се архивират и съхраняват офлайн или в защитени облачни среди, до които няма пряк достъп от основната система.
Стойността далеч от пиратски софтуер и неофициални инструменти, както и избягването на съмнителни уебсайтове, помага за минимизиране на излагането на вектори на ransomware. И накрая, непрекъснатото наблюдение на мрежовата активност може да осигури ранни предупредителни признаци за опити за проникване, като например опити за груба сила за влизане в системата или необичайни модели на достъп до файлове.
Заключение: Бъдете нащрек, бъдете защитени
Кампанията с TXTME Ransomware илюстрира нарастващата сложност и разрушителност на съвременните кибер заплахи. Тя деактивира инструментите за възстановяване, криптира ценни файлове и изисква криптовалута като откуп, като същевременно гарантира, че може да остане активна в компрометирани системи. Въпреки това, с старателни практики за сигурност и ангажимент за осведоменост на потребителите е възможно да се предотвратят подобни инфекции и да се реагира ефективно, ако възникнат. Киберсигурността вече не е по избор; тя е необходима инвестиция във вашата дигитална безопасност.
Съобщения
Открити са следните съобщения, свързани с TXTME рансъмуер:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
