TCYO ransomware

I ricercatori di Infosec hanno scoperto una nuova variante del Dharma che è stata scatenata in natura. Chiamato TCYO Ransomware, mira a infiltrarsi nei computer delle sue vittime, avviare un processo di crittografia che blocca una vasta gamma di tipi di file e quindi estorcere denaro agli utenti interessati.

Ogni file crittografato avrà il suo nome cambiato drasticamente. TCYO segue i modelli di denominazione osservati in altre varianti del Dharma. Innanzitutto, aggiunge il numero ID assegnato alla vittima, quindi aggiunge un indirizzo e-mail sotto il controllo degli hacker e infine inserisce ".TCYO" come nuova estensione di file. L'indirizzo email utilizzato da TCYO nei nomi dei file è "yourfiles1@cock.li.

Le vittime della minaccia vengono lasciate con due note di riscatto contenenti istruzioni dei criminali. La nota principale viene visualizzata in una finestra pop-up mentre una versione più breve del messaggio viene rilasciata sul desktop del sistema compromesso come file di testo denominato "FILES ENCRYPTED.txt".

Le richieste del ransomware TCYO

Il file di testo non contiene dettagli significativi sulle richieste degli hacker. Dice solo alle vittime di avviare il contatto inviando un messaggio a due indirizzi e-mail forniti: "yourfiles1@cock.li" e "tcprx@tutanota.de". La finestra pop-up fornisce qualche informazione in più. Mostra il numero ID della vittima e afferma che il secondo indirizzo e-mail deve essere utilizzato solo se l'utente non riceve una risposta per più di 12 ore dopo aver inviato la prima e-mail. La finestra pop-up si conclude con vari avvisi come non rinominare i file crittografati o provare a sbloccarli tramite programmi di terze parti.

L'intero messaggio trovato all'interno del file di testo è:

' tutti i tuoi dati ci sono stati bloccati
Vuoi tornare?
scrivi email yourfiles1@cock.li o tcprx@tutanota.de .'

La finestra pop-up fornisce le seguenti istruzioni:

'I TUOI FILE SONO CRIPTATI

Non preoccuparti, puoi restituire tutti i tuoi file!
Se vuoi ripristinarli, segui questo link: email yourfiles1@cock.li IL TUO ID 1E857D00
Se non hai ricevuto risposta tramite il link entro 12 ore, scrivici via e-mail:tcprx@tutanota.de

Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo (aggiungono la loro commissione alla nostra) o puoi diventare vittima di una truffa. '