TXTME Ransomware
A mesura que les amenaces cibernètiques es tornen més sofisticades, el ransomware continua representant un risc significatiu per a usuaris particulars, empreses i institucions a tot el món. Una de les variants més recents i perilloses, el ransomware TXTME, exemplifica com els atacants exploten les vulnerabilitats del sistema i l'enginyeria social per xifrar dades i extorsionar diners. Per evitar convertir-se en la propera víctima, és essencial entendre com funciona aquesta amenaça i com defensar-se'n.
Taula de continguts
Dins de TXTME: una mirada al comportament del ransomware
El ransomware TXTME pertany a la família Dharma , coneguda pels seus atacs d'encriptació de dades i tàctiques d'extorsió a alta pressió. Un cop dins d'un sistema, TXTME bloqueja els fitxers d'usuari i els canvia el nom amb un identificador únic, el correu electrònic de contacte de l'atacant i l'extensió '.TXTME'. Per exemple:
1.png esdevé 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME
2.pdf es converteix en 2.pdf.id-9ECFA84E.[ownercall@tuta.io].TXTME
Les víctimes reben dues notes de rescat: una finestra emergent a l'escriptori i un fitxer 'TXTME.txt'. Aquestes notes avisen la víctima que els seus fitxers han estat xifrats i li indiquen que es posi en contacte amb l'atacant per correu electrònic ("ownercall@tuta.io" o "ownercall@mailum.com"). L'atacant exigeix Bitcoin a canvi d'eines de desxifrat i adverteix que no es canviïn de nom els fitxers ni s'utilitzi programari de recuperació de tercers, ja que això amenaça amb la pèrdua permanent de dades.
Mètodes d'infecció i manipulació del sistema
Un cop desplegat, TXTME pren mesures agressives per evitar la recuperació i mantenir la seva presència:
- Desactiva el tallafocs del sistema, reduint les defenses contra futurs atacs.
- Suprimeix les còpies de volum en ombra, eliminant qualsevol dada de còpia de seguretat integrada que es pugui utilitzar per recuperar fitxers perduts.
- Es copia al directori %LOCALAPPDATA% i afegeix entrades de registre per garantir que s'executi automàticament a l'inici.
- Recopila dades bàsiques de localització per evitar infectar sistemes en països específics, normalment aquells associats amb els atacants.
Es propaga a través de vectors d'atac comuns, com ara correus electrònics de phishing, anuncis fraudulents, programari piratejat, unitats USB infectades i serveis de protocol d'escriptori remot (RDP) exposats, especialment aquells amb contrasenyes febles o reutilitzades.
Enforteix les teves defenses: pràctiques recomanades per prevenir el ransomware
Defensar-se contra amenaces sofisticades com TXTME requereix una estratègia proactiva i multicapa. Una base sòlida comença per assegurar el sistema i la xarxa. Assegurar-se que el sistema operatiu i tot el programari estiguin actualitzats amb els pegats més recents és essencial per tancar les vulnerabilitats conegudes. També és fonamental utilitzar programari antimalware de bona reputació amb protecció en temps real habilitada, que pot ajudar a detectar i bloquejar activitats no segures abans que causin danys.
L'accés al sistema s'ha de controlar estrictament regulant els privilegis administratius només per a aquells que els necessiten absolutament. A més, desactivar les macros als documents d'Office pot impedir que s'executin moltes càrregues útils estàndard de programari maliciós. Si el Protocol d'escriptori remot (RDP) no està en ús, s'ha de desactivar completament. Tanmateix, si es requereix accés remot, s'ha de protegir amb contrasenyes fortes i úniques, autenticació multifactor i, idealment, encaminar-lo a través d'una xarxa privada virtual (VPN).
Igualment important és mantenir el coneixement i una estratègia de còpia de seguretat fiable. Els fitxers essencials s'han de fer còpies de seguretat regularment i s'han d'emmagatzemar fora de línia o en entorns de núvol segurs que no siguin directament accessibles des del sistema principal.
Mantenir-se allunyat del programari pirata i les eines no oficials, així com evitar llocs web qüestionables, ajuda a minimitzar l'exposició als vectors de ransomware. Finalment, el seguiment continu de l'activitat de la xarxa pot proporcionar senyals d'alerta primerencs d'intents d'intrusió, com ara esforços d'inici de sessió per força bruta o patrons d'accés a fitxers inusuals.
Conclusió: Mantingueu-vos alerta, mantingueu-vos protegits
La campanya de ransomware TXTME il·lustra la creixent sofisticació i destructivitat de les ciberamenaces modernes. Desactiva les eines de recuperació, xifra fitxers valuosos i exigeix criptomoneda com a rescat, tot assegurant que pugui romandre activa en sistemes compromesos. Tanmateix, amb pràctiques de seguretat diligents i un compromís amb la conscienciació dels usuaris, és possible prevenir aquestes infeccions i respondre eficaçment si es produeixen. La ciberseguretat ja no és opcional; és una inversió necessària en la vostra seguretat digital.
Missatges
S'han trobat els missatges següents associats a TXTME Ransomware:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
