TCYO Ransomware

Infosec-onderzoekers hebben een nieuwe Dharma-variant ontdekt die in het wild is losgelaten. Het wordt de TCYO Ransomware genoemd en heeft tot doel de computers van zijn slachtoffers te infiltreren, een coderingsproces te starten dat een groot aantal bestandstypen vergrendelt en vervolgens de getroffen gebruikers af te persen voor geld.

De naam van elk versleuteld bestand zal drastisch worden gewijzigd. TCYO volgt de naamgevingspatronen die in andere Dharma- varianten worden waargenomen. Ten eerste voegt het het ID-nummer toe dat aan het slachtoffer is toegewezen, voegt het vervolgens een e-mailadres toe onder controle van de hackers, en ten slotte plaatst het '.TCYO' als een nieuwe bestandsextensie. Het e-mailadres dat door TCYO in de bestandsnamen wordt gebruikt, is 'yourfiles1@cock.li.

Slachtoffers van de dreiging krijgen twee losgeldbriefjes met instructies van de criminelen. De hoofdnotitie wordt weergegeven in een pop-upvenster, terwijl een kortere versie van het bericht op het bureaublad van het gecompromitteerde systeem wordt neergezet als een tekstbestand met de naam 'FILES ENCRYPTED.txt'.

De eisen van TCYO Ransomware

Het tekstbestand bevat geen zinvolle details over de eisen van de hackers. Het vertelt slachtoffers alleen om contact op te nemen door een bericht te sturen naar twee opgegeven e-mailadressen - 'yourfiles1@cock.li' en 'tcprx@tutanota.de.' Het pop-upvenster geeft wat meer informatie. Het toont het ID-nummer van het slachtoffer en stelt dat het tweede e-mailadres alleen mag worden gebruikt als de gebruiker meer dan 12 uur na het verzenden van de eerste e-mail geen antwoord heeft ontvangen. Het pop-upvenster wordt afgesloten met verschillende waarschuwingen, zoals het niet hernoemen van de versleutelde bestanden of proberen ze te ontgrendelen via programma's van derden.

Het volledige bericht in het tekstbestand is:

' al je gegevens zijn bij ons vergrendeld
Wil je terugkeren?
schrijf een e-mail naar yourfiles1@cock.li of tcprx@tutanota.de .'

Het pop-upvenster geeft de volgende instructies:

' UW BESTANDEN ZIJN VERSLEUTELD

Maak je geen zorgen, je kunt al je bestanden retourneren!
Als je ze wilt herstellen, volg dan deze link:e-mail yourfiles1@cock.li UW ID 1E857D00
Als u niet binnen 12 uur via de link bent beantwoord, schrijf ons dan per e-mail:tcprx@tutanota.de

Aandacht!
Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij. '