باجافزار TXTME
با پیچیدهتر شدن تهدیدات سایبری، باجافزارها همچنان خطر قابل توجهی را برای کاربران شخصی، مشاغل و مؤسسات در سراسر جهان ایجاد میکنند. یکی از جدیدترین و خطرناکترین انواع آن، باجافزار TXTME، نمونهای از چگونگی سوءاستفاده مهاجمان از آسیبپذیریهای سیستم و مهندسی اجتماعی برای رمزگذاری دادهها و اخاذی پول است. برای جلوگیری از قربانی شدن بعدی، درک نحوه عملکرد این تهدید و نحوه دفاع در برابر آن ضروری است.
فهرست مطالب
درون TXTME: نگاهی به رفتار باجافزار
باجافزار TXTME متعلق به خانواده Dharma است که به خاطر حملات رمزگذاری دادهها و تاکتیکهای اخاذی پرفشار خود شناخته شده است. TXTME پس از ورود به سیستم، فایلهای کاربر را قفل کرده و آنها را با یک شناسه منحصر به فرد، ایمیل تماس مهاجم و پسوند '.TXTME' تغییر نام میدهد. به عنوان مثال:
1.png تبدیل میشود به 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME
2.pdf می شود 2.pdf.id-9ECFA84E.[ownercall@tuta.io].TXTME
قربانیان با دو یادداشت باجخواهی مواجه میشوند: یک پنجرهی پاپآپ روی دسکتاپ و یک فایل «TXTME.txt». این یادداشتها به قربانی هشدار میدهند که فایلهایشان رمزگذاری شده است و به آنها دستور میدهند از طریق ایمیل ('ownercall@tuta.io' یا 'ownercall@mailum.com') با مهاجم تماس بگیرند. مهاجم در ازای ابزارهای رمزگشایی، بیتکوین درخواست میکند و نسبت به تغییر نام فایلها یا استفاده از نرمافزارهای بازیابی شخص ثالث که تهدید به از دست دادن دائمی دادهها میکنند، هشدار میدهد.
روشهای آلودهسازی و دستکاری سیستم
پس از استقرار، TXTME اقدامات تهاجمی را برای جلوگیری از بازیابی و حفظ حضور خود انجام میدهد:
- فایروال سیستم را غیرفعال میکند و دفاع در برابر حملات بیشتر را کاهش میدهد.
- کپیهای Shadow Volume را حذف میکند و هرگونه داده پشتیبان داخلی را که میتواند برای بازیابی فایلهای از دست رفته استفاده شود، از بین میبرد.
- خود را در دایرکتوری %LOCALAPPDATA% کپی میکند و ورودیهای رجیستری را اضافه میکند تا از اجرای خودکار آن در هنگام راهاندازی اطمینان حاصل شود.
- دادههای اولیه موقعیت مکانی را جمعآوری میکند تا از آلوده شدن سیستمها در کشورهای خاص - معمولاً کشورهایی که با مهاجمان مرتبط هستند - جلوگیری کند.
این بدافزار از طریق روشهای حمله رایج، از جمله ایمیلهای فیشینگ، تبلیغات جعلی، نرمافزارهای کرکشده، درایوهای USB آلوده و سرویسهای پروتکل ریموت دسکتاپ (RDP) در معرض خطر، بهویژه آنهایی که رمزهای عبور ضعیف یا تکراری دارند، گسترش مییابد.
تقویت دفاع شما: بهترین روشها برای جلوگیری از باجافزار
دفاع در برابر تهدیدات پیچیدهای مانند TXTME نیازمند یک استراتژی پیشگیرانه و چندلایه است. یک پایه قوی با ایمنسازی سیستم و شبکه شما آغاز میشود. اطمینان از بهروزرسانی سیستمعامل و تمام نرمافزارهای شما با آخرین وصلهها برای بستن آسیبپذیریهای شناختهشده ضروری است. همچنین استفاده از نرمافزار ضد بدافزار معتبر با قابلیت محافظت در زمان واقعی (real-time protection) که میتواند به شناسایی و مسدود کردن فعالیتهای ناامن قبل از ایجاد آسیب کمک کند، بسیار مهم است.
دسترسی به سیستم باید با تنظیم امتیازات مدیریتی فقط برای کسانی که کاملاً به آنها نیاز دارند، به شدت کنترل شود. علاوه بر این، غیرفعال کردن ماکروها در اسناد آفیس میتواند از اجرای بسیاری از بدافزارهای استاندارد جلوگیری کند. اگر پروتکل ریموت دسکتاپ (RDP) در حال استفاده نیست، باید به طور کامل غیرفعال شود. با این حال، اگر دسترسی از راه دور مورد نیاز است، باید با رمزهای عبور قوی و منحصر به فرد، احراز هویت چند عاملی و در حالت ایدهآل، از طریق یک شبکه خصوصی مجازی (VPN) مسیریابی شود.
به همان اندازه حفظ آگاهی و یک استراتژی پشتیبانگیری قابل اعتماد نیز مهم است. فایلهای ضروری باید به طور منظم پشتیبانگیری و ذخیره شوند، چه به صورت آفلاین و چه در محیطهای ابری امن که مستقیماً از سیستم اصلی قابل دسترسی نیستند.
دوری از نرمافزارهای غیرقانونی و ابزارهای غیررسمی، و همچنین دوری از وبسایتهای مشکوک، به کاهش مواجهه با باجافزارها کمک میکند. در نهایت، نظارت مداوم بر فعالیت شبکه میتواند علائم هشدار اولیه در مورد تلاشهای نفوذ، مانند تلاشهای ورود به سیستم با استفاده از حملات جستجوی فراگیر یا الگوهای غیرمعمول دسترسی به فایلها را ارائه دهد.
نتیجهگیری: هوشیار باشید، محافظت شوید
کمپین باجافزار TXTME پیچیدگی و مخرب بودن رو به رشد تهدیدات سایبری مدرن را نشان میدهد. این باجافزار ابزارهای بازیابی را غیرفعال میکند، فایلهای ارزشمند را رمزگذاری میکند و به عنوان باج، ارز دیجیتال درخواست میکند، در حالی که تضمین میکند که میتواند در سیستمهای آسیبدیده فعال باقی بماند. با این حال، با اقدامات امنیتی دقیق و تعهد به آگاهی کاربران، میتوان از چنین آلودگیهایی جلوگیری کرد و در صورت وقوع، به طور مؤثر واکنش نشان داد. امنیت سایبری دیگر اختیاری نیست؛ بلکه یک سرمایهگذاری ضروری در ایمنی دیجیتال شماست.
پیام ها
پیام های زیر مرتبط با باجافزار TXTME یافت شد:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
