Ransomware TXTME
Con l'aumentare della sofisticatezza delle minacce informatiche, il ransomware continua a rappresentare un rischio significativo per utenti privati, aziende e istituzioni in tutto il mondo. Una delle varianti più recenti e pericolose, il ransomware TXTME, esemplifica come gli aggressori sfruttino le vulnerabilità dei sistemi e l'ingegneria sociale per crittografare i dati ed estorcere denaro. Per evitare di diventare la prossima vittima, è essenziale comprendere il funzionamento di questa minaccia e come difendersi.
Sommario
Dentro TXTME: uno sguardo al comportamento del ransomware
Il ransomware TXTME appartiene alla famiglia Dharma , nota per i suoi attacchi di crittografia dei dati e le sue tattiche estorsive ad alta pressione. Una volta all'interno di un sistema, TXTME blocca i file utente e li rinomina con un identificatore univoco, l'indirizzo email di contatto dell'aggressore e l'estensione ".TXTME". Ad esempio:
1.png diventa 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME
2.pdf diventa 2.pdf.id-9ECFA84E.[ownercall@tuta.io].TXTME
Alle vittime vengono presentate due richieste di riscatto: una finestra pop-up sul desktop e un file "TXTME.txt". Queste note avvertono la vittima che i suoi file sono stati crittografati e la invitano a contattare l'aggressore via email (ownercall@tuta.io o ownercall@mailum.com). L'aggressore richiede Bitcoin in cambio di strumenti di decrittazione e sconsiglia di rinominare i file o utilizzare software di recupero di terze parti, con il rischio di perdere definitivamente i dati.
Metodi di infezione e manipolazione del sistema
Una volta implementato, TXTME adotta misure aggressive per impedire il ripristino e mantenere la sua presenza:
- Disattiva il firewall del sistema, riducendo le difese contro ulteriori attacchi.
- Elimina le copie shadow del volume, rimuovendo tutti i dati di backup integrati che potrebbero essere utilizzati per recuperare i file persi.
- Si copia nella directory %LOCALAPPDATA% e aggiunge voci di registro per garantire l'esecuzione automatica all'avvio.
- Raccoglie dati di base sulla posizione per evitare di infettare i sistemi in paesi specifici, in genere quelli associati agli aggressori.
Si diffonde attraverso vettori di attacco comuni, tra cui e-mail di phishing, pubblicità fraudolente, software craccati, unità USB infette e servizi Remote Desktop Protocol (RDP) esposti, in particolare quelli con password deboli o riutilizzate.
Rafforza le tue difese: le migliori pratiche per prevenire il ransomware
Difendersi da minacce sofisticate come TXTME richiede una strategia proattiva e multilivello. Una solida base inizia con la protezione del sistema e della rete. Assicurarsi che il sistema operativo e tutti i software siano aggiornati con le patch più recenti è essenziale per eliminare le vulnerabilità note. È inoltre fondamentale utilizzare un software antimalware affidabile con protezione in tempo reale abilitata, che può aiutare a rilevare e bloccare le attività pericolose prima che causino danni.
L'accesso al sistema dovrebbe essere rigorosamente controllato, concedendo privilegi amministrativi solo a chi ne ha effettivamente bisogno. Inoltre, disabilitare le macro nei documenti di Office può impedire l'esecuzione di molti payload malware standard. Se il protocollo RDP (Remote Desktop Protocol) non è in uso, dovrebbe essere completamente disabilitato. Tuttavia, se è necessario l'accesso remoto, questo deve essere protetto con password complesse e univoche, autenticazione a più fattori e, idealmente, instradato tramite una rete privata virtuale (VPN).
Altrettanto importante è mantenere la consapevolezza e una strategia di backup affidabile. I file essenziali dovrebbero essere sottoposti a backup regolari e archiviati offline o in ambienti cloud sicuri, non direttamente accessibili dal sistema principale.
Evitare software pirata e strumenti non ufficiali, così come evitare siti web discutibili, aiuta a ridurre al minimo l'esposizione ai vettori ransomware. Infine, il monitoraggio costante dell'attività di rete può fornire segnali di allarme precoce di tentativi di intrusione, come tentativi di accesso con forza bruta o modelli di accesso ai file insoliti.
Conclusione: resta vigile, resta protetto
La campagna ransomware TXTME illustra la crescente sofisticazione e distruttività delle moderne minacce informatiche. Disattiva gli strumenti di ripristino, crittografa file preziosi e richiede criptovalute come riscatto, il tutto garantendo la sua attivazione sui sistemi compromessi. Tuttavia, con pratiche di sicurezza scrupolose e un impegno verso la consapevolezza degli utenti, è possibile prevenire tali infezioni e rispondere efficacemente se si verificano. La sicurezza informatica non è più un optional; è un investimento necessario per la tua sicurezza digitale.
Messaggi
Sono stati trovati i seguenti messaggi associati a Ransomware TXTME:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
