TCYO Ransomware

Badacze Infosec odkryli nowy wariant Dharmy, który został uwolniony na wolności. Nazwany TCYO Ransomware, ma na celu infiltrację komputerów swoich ofiar, zainicjowanie procesu szyfrowania, który blokuje szeroką gamę typów plików, a następnie wyłudzanie pieniędzy od zaatakowanych użytkowników.

Nazwa każdego zaszyfrowanego pliku zostanie drastycznie zmieniona. TCYO podąża za wzorcami nazewnictwa obserwowanymi w innych wariantach Dharma. Najpierw dodaje numer identyfikacyjny przypisany do ofiary, następnie dołącza adres e-mail pod kontrolą hakerów, a na końcu umieszcza „.TCYO" jako nowe rozszerzenie pliku. Adres e-mail używany przez TCYO w nazwach plików to „twojepliki1@cock.li.

Ofiarom groźby pozostają dwie notatki z okupem zawierające instrukcje przestępców. Główna uwaga jest wyświetlana w wyskakującym okienku, podczas gdy krótsza wersja wiadomości jest upuszczana na pulpit zaatakowanego systemu jako plik tekstowy o nazwie „FILES ENCRYPTED.txt".

Żądania TCYO Ransomware

Plik tekstowy nie zawiera żadnych istotnych szczegółów dotyczących żądań hakerów. Mówi tylko ofiarom, aby zainicjowały kontakt, wysyłając wiadomość na dwa podane adresy e-mail - „yourfiles1@cock.li" i „tcprx@tutanota.de". Wyskakujące okienko zawiera nieco więcej informacji. Pokazuje numer identyfikacyjny ofiary i stwierdza, że drugi adres e-mail ma być używany tylko wtedy, gdy użytkownik nie otrzyma odpowiedzi przez ponad 12 godzin od wysłania pierwszego e-maila. Wyskakujące okienko kończy się różnymi ostrzeżeniami, takimi jak brak zmiany nazwy zaszyfrowanych plików lub próba odblokowania ich za pomocą programów innych firm.

Cała wiadomość znaleziona w pliku tekstowym to:

' wszystkie twoje dane zostały nam zablokowane
Chcesz wrócić?
napisz e-mail yourfiles1@cock.li lub tcprx@tutanota.de .'

W wyskakującym okienku wyświetlane są następujące instrukcje:

' TWOJE PLIKI SĄ ZASZYFROWANE

Nie martw się, możesz zwrócić wszystkie swoje pliki!
Jeśli chcesz je przywrócić, kliknij ten link: napisz yourfiles1@cock.li TWÓJ ID 1E857D00
Jeśli nie otrzymałeś odpowiedzi za pośrednictwem linku w ciągu 12 godzin, napisz do nas e-mail: tcprx@tutanota.de

Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać danych za pomocą oprogramowania innych firm, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny (doliczają swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa. '