Tutu Ransomware
A Tutu zsarolóvírus-fenyegetésként működik, és elsődleges célja, hogy megakadályozza az áldozatok hozzáférését a fájljaikhoz titkosítással. Egy jellegzetes mintát alkalmazva a Tutu átnevezi a megcélzott fájlokat, és ezzel egyidejűleg egy felugró ablakot jelenít meg. Ezenkívül a ransomware létrehoz egy „README!.txt” fájlt, amely váltságdíj-jegyzetként szolgál.
A fenyegetőző tevékenységek során Tutu hozzáfűzi az áldozat azonosítóját, a „tutu@download_file” e-mail címet és egy „.tutu” kiterjesztést a fájlnevekhez. Egy átfogó vizsgálatot követően a biztonsági elemzők a Tutu Ransomware-t a Dharma malware család tagjaként azonosították.
A Tutu Ransomware áldozatai ki vannak zárva a saját adataiktól
A Tutu Ransomware sokrétű megközelítést alkalmaz nem biztonságos tevékenységeihez, mind a helyileg tárolt, mind a hálózaton megosztott fájlokat célozva. Az adat-helyreállítási erőfeszítések akadályozása érdekében titkosítja ezeket a fájlokat, miközben egyidejűleg olyan intézkedéseket tesz, mint például a tűzfal kikapcsolása és az árnyékkötet-példányok felszámolása. A Tutu terjedése a sebezhető Remote Desktop Protocol (RDP) szolgáltatások kihasználásával történik, túlnyomórészt nyers erő és szótár jellegű támadások alkalmazásával olyan rendszerek ellen, ahol a fiók hitelesítő adatait nem kezelik megfelelően.
A fertőzött rendszerben a fennmaradás biztosítása a Tutu prioritása, amelyet úgy ér el, hogy átmásolja magát a %LOCALAPPDATA% elérési útra, és regisztrálja magát bizonyos Run kulcsokkal. Ezenkívül a Tutu rendelkezik a helyadatok lekérésének képességével, amely lehetővé teszi az előre meghatározott helyek kizárását a titkosítási folyamatból.
A Tutu Ransomware által szállított váltságdíj súlyos fenyegetést közöl az áldozatokkal, azt állítva, hogy minden adatbázist és személyes információt letöltöttek és titkosítottak. A támadók az áldozat kizsarolása érdekében azzal fenyegetőznek, hogy közzéteszik és eladják a feltört adatokat a Dark Net-en és a hackeroldalakon. A sürgősség fokozása érdekében 24 órás válaszidőt írnak elő. A kommunikációhoz megadott kapcsolattartási e-mail cím: tutu@onionmail.org.
A váltságdíjkövetelések konkrét pénzösszeget tartalmaznak, azzal az ígérettel, hogy a fizetés az adatok visszafejtését eredményezi. A megjegyzés kifejezetten figyelmeztet a harmadik féltől származó visszafejtő szoftverek használatára, azt állítva, hogy csak a támadók rendelkeznek a szükséges visszafejtési kulcsokkal. A támadók lehetőséget kínálnak az áldozatoknak, hogy ingyenesen teszteljék a visszafejtő kulcsot egyetlen, a zsarolóvírus által érintett fájlon.
Óvja meg eszközeit a rosszindulatú programoktól
Az eszközök védelme a rosszindulatú programokkal szemben kulcsfontosságú a személyes és érzékeny adatok biztonságának és integritásának megőrzéséhez. Íme az átfogó lépések, amelyeket a felhasználók megtehetnek eszközeik védelme érdekében:
- Kártevőirtó szoftver telepítése :
- Használjon jó hírű kártevőirtó szoftvert, és rendszeresen frissítse.
- Állítsa be a szoftvert úgy, hogy ütemezett vizsgálatokat hajtson végre a teljes rendszeren.
- Az operációs rendszer és a szoftver frissítése folyamatosan :
- Rendszeresen frissítse az operációs rendszereket, alkalmazásokat és szoftvereket a rosszindulatú programok által esetleg visszaélhető sebezhetőségek kijavítása érdekében.
- Tűzfal használata :
- Aktiváljon és konfiguráljon tűzfalat a bejövő és kimenő hálózati forgalom jobb figyelése és vezérlése érdekében, ezáltal megakadályozza az illetéktelen hozzáférést.
- Legyen óvatos az e-mail mellékletekkel és linkekkel :
- Kerülje az e-mail mellékletekkel való interakciót, és ne kattintson az ismeretlen vagy gyanús forrásból származó hivatkozásokra. Ellenőrizze az e-mailek jogszerűségét, különösen a személyes vagy pénzügyi információkat kérő e-mailek jogszerűségét.
- Legyen óvatos a letöltésekkel :
- Csak jó hírű és hivatalos forrásokból töltsön le szoftvereket, alkalmazásokat és fájlokat.
- Kerülje a feltört vagy kalóz szoftverek letöltését, mivel ezek rosszindulatú programokat rejthetnek.
- Erős jelszavak alkalmazása :
- Mindig használjon erős és egyedi jelszavakat minden egyes online fiókhoz. Vizsgálja meg a jelszókezelő használatának előnyeit is az összetett jelszavak biztonságos előállítására és tárolására.
- Biztonságos hálózat :
- Titkosítsa Wi-Fi hálózatát erős, egyedi jelszóval.
- Tiltsa le a szükségtelen hálózati szolgáltatásokat, és zárja be a nem használt portokat.
- Rendszeres biztonsági mentés :
- Rendszeresen készítsen biztonsági másolatot a fontos adatokról egy külső eszközre vagy egy biztonságos felhőszolgáltatásra.
- Győződjön meg arról, hogy a biztonsági mentések automatizáltak, és olyan helyen tárolódnak, amely nem érhető el közvetlenül az eszközről.
- Képzeld magad :
- Legyen tájékozott a legújabb rosszindulatú programokkal kapcsolatos fenyegetésekről és a legjobb biztonsági gyakorlatokról.
- Legyen óvatos a social engineering taktikákkal és az adathalász kísérletekkel kapcsolatban.
Ha ezeket a gyakorlatokat egy átfogó rutinba építik be, a felhasználók jelentősen csökkenthetik a rosszindulatú programok fertőzésének kockázatát, és fokozhatják eszközeik általános biztonságát.
A Tutu Ransomware fő váltságdíj-jegyzete a következő üzenetet küldi:
'We downloaded to our servers and encrypted all your databases and personal information!
If you do not write to us within 24 hours, we will start publishing and selling your data on the darknet on hacker sites and offer the information to your competitors
email us: tutu@onionmail.org YOUR ID -
If you haven't heard back within 24 hours, write to this email:tutu@onionmail.org
IMPORTANT INFORMATION!
Keep in mind that once your data appears on our leak site,it could be bought by your competitors at any second, so don't hesitate for a long time.The sooner you pay the ransom, the sooner your company will be safe..
Guarantee:If we don't provide you with a decryptor or delete your data after you pay,no one will pay us in the future. We value our reputation.
Guarantee key:To prove that the decryption key exists, we can test the file (not the database and backup) for free.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Don't go to recovery companies - they are essentially just middlemen.Decryption of your files with the help of third parties may cause increased price (they add their fee to our) we're the only ones who have the decryption keys.The text file generated by Tutu Ransomware contains the following instructions:
Your data has been stolen and encrypted!
email us
tutu@onionmail.org'