Tutu Ransomware
Tutu toimii ransomware-uhkana, jonka ensisijaisena tavoitteena on estää uhrien pääsy tiedostoihinsa salauksella. Tutu nimeää kohdetiedostot uudelleen ja näyttää samalla ponnahdusikkunan käyttämällä erottuvaa kuviota. Lisäksi lunnasohjelma luo README!.txt-tiedoston, joka toimii lunnaita koskeva huomautuksena.
Uhkailutoiminnan aikana Tutu liittää tiedostonimiin uhrin tunnuksen, sähköpostiosoitteen 'tutu@download_file' sekä .tutu-tunnisteen. Suoritettuaan kattavan tutkimuksen tietoturva-analyytikot ovat tunnistaneet Tutu Ransomwaren Dharma- haittaohjelmaperheen jäseneksi.
Tutu Ransomwaren uhrit eivät pääse käyttämään omia tietojaan
Tutu Ransomware käyttää monitahoista lähestymistapaa vaarallisiin toimintoihinsa kohdentaen sekä paikallisesti tallennettuja että verkossa jaettuja tiedostoja. Tietojen palauttamisen estämiseksi se salaa nämä tiedostot ja ryhtyy samanaikaisesti toimenpiteisiin, kuten sammuttaa palomuuri ja hävittää Shadow Volume -kopiot. Tutun leviäminen tapahtuu hyödyntämällä haavoittuvia Remote Desktop Protocol (RDP) -palveluita, käyttämällä pääasiassa raakaa voimaa ja sanakirjatyyppisiä hyökkäyksiä järjestelmiin, joissa tilien tunnistetietoja ei hallita riittävästi.
Pysyvyyden varmistaminen tartunnan saaneessa järjestelmässä on Tutulle ensisijainen tavoite, joka saavutetaan kopioimalla itsensä %LOCALAPPDATA% -polkuun ja rekisteröitymällä tiettyihin Run-avaimiin. Lisäksi Tutu pystyy hakemaan sijaintitietoja, mikä mahdollistaa ennalta määrättyjen sijaintien sulkemisen pois salausprosessistaan.
Tutu Ransomwaren toimittama lunnaita koskeva viesti viestii vakavasta uhkasta uhreille ja väittää, että kaikki tietokannat ja henkilökohtaiset tiedot on ladattu ja salattu. Hyökkääjät yrittäessään kiristää uhria uhkaavat julkaista ja myydä vaarantuneet tiedot Dark Netissä ja hakkerisivustoilla. Kiireellisyyden lisäämiseksi on säädetty 24 tunnin vastausikkuna. Yhteydenottoa varten annettu sähköpostiosoite on tutu@onionmail.org.
Lunnaat sisältävät tietyn rahasumman ja lupauksen, että maksu johtaa tietojen salauksen purkamiseen. Huomautus varoittaa nimenomaisesti käyttämästä kolmannen osapuolen salauksenpurkuohjelmistoa ja väittää, että vain hyökkääjillä on tarvittavat salauksenpurkuavaimet. Hyökkääjät tarjoavat uhreille mahdollisuuden testata salauksen purkuavainta yhdellä tiedostolla, johon kiristysohjelma vaikuttaa, maksutta.
Suojaa laitteesi haittaohjelmatartunnalta
Laitteiden suojaaminen haittaohjelmatartunnalta on ratkaisevan tärkeää henkilökohtaisten ja arkaluonteisten tietojen turvallisuuden ja eheyden ylläpitämiseksi. Käyttäjät voivat suojata laitteitaan seuraavasti:
- Asenna haittaohjelmien torjuntaohjelmisto :
- Käytä hyvämaineisia haittaohjelmien torjuntaohjelmistoja ja päivitä se säännöllisesti.
- Määritä ohjelmisto suorittamaan koko järjestelmän ajoitetut tarkistukset.
- Pidä käyttöjärjestelmät ja ohjelmistot päivitettyinä :
- Päivitä säännöllisesti käyttöjärjestelmiä, sovelluksia ja ohjelmistoja korjataksesi haavoittuvuudet, joita haittaohjelmat voivat käyttää väärin.
- Palomuurin käyttäminen :
- Aktivoi ja määritä palomuuri, jotta voit paremmin valvoa ja hallita tulevaa ja lähtevää verkkoliikennettä ja estää siten luvattoman käytön.
- Ole varovainen sähköpostin liitteiden ja linkkien kanssa :
- Vältä vuorovaikutusta sähköpostin liitteiden kanssa tai tuntemattomista tai epäilyttävistä lähteistä peräisin olevien linkkien napsauttamista. Tarkista sähköpostien, erityisesti henkilökohtaisia tai taloudellisia tietoja pyytävien sähköpostien, laillisuus.
- Ole varovainen latausten kanssa :
- Lataa ohjelmistoja, sovelluksia ja tiedostoja vain hyvämaineisista ja virallisista lähteistä.
- Vältä krakatun tai piraattiohjelmiston lataamista, koska ne voivat sisältää haittaohjelmia.
- Ota käyttöön vahvat salasanat :
- Käytä aina vahvoja ja ainutlaatuisia salasanoja jokaiselle eri verkkotilille. Tutki myös salasanojen hallinnan edut monimutkaisten salasanojen turvallisessa tuottamisessa ja tallentamisessa.
- Suojaa verkkosi :
- Salaa Wi-Fi-verkkosi vahvalla, ainutlaatuisella salasanalla.
- Poista tarpeettomat verkkopalvelut käytöstä ja sulje käyttämättömät portit.
- Varmuuskopioi säännöllisesti :
- Varmuuskopioi säännöllisesti tärkeät tiedot ulkoiseen laitteeseen tai suojattuun pilvipalveluun.
- Varmista, että varmuuskopiot on automatisoitu ja tallennettu paikkaan, johon ei pääse suoraan laitteesta.
- Kouluta itseäsi :
- Pysy ajan tasalla viimeisimmistä haittaohjelmauhkista ja turvallisuuden parhaista käytännöistä.
- Ole varovainen sosiaalisten manipulointitaktiikkojen ja tietojenkalasteluyritysten suhteen.
Yhdistämällä nämä käytännöt kattavaan rutiiniin käyttäjät voivat merkittävästi vähentää haittaohjelmatartuntojen riskiä ja parantaa laitteidensa yleistä turvallisuutta.
Tutu Ransomwaren päälunnaat sisältävät seuraavan viestin:
'We downloaded to our servers and encrypted all your databases and personal information!
If you do not write to us within 24 hours, we will start publishing and selling your data on the darknet on hacker sites and offer the information to your competitors
email us: tutu@onionmail.org YOUR ID -
If you haven't heard back within 24 hours, write to this email:tutu@onionmail.org
IMPORTANT INFORMATION!
Keep in mind that once your data appears on our leak site,it could be bought by your competitors at any second, so don't hesitate for a long time.The sooner you pay the ransom, the sooner your company will be safe..
Guarantee:If we don't provide you with a decryptor or delete your data after you pay,no one will pay us in the future. We value our reputation.
Guarantee key:To prove that the decryption key exists, we can test the file (not the database and backup) for free.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Don't go to recovery companies - they are essentially just middlemen.Decryption of your files with the help of third parties may cause increased price (they add their fee to our) we're the only ones who have the decryption keys.The text file generated by Tutu Ransomware contains the following instructions:
Your data has been stolen and encrypted!
email us
tutu@onionmail.org'