Oprogramowanie ransomware TXTME

W miarę jak cyberzagrożenia stają się coraz bardziej wyrafinowane, ransomware nadal stanowi poważne zagrożenie dla użytkowników indywidualnych, firm i instytucji na całym świecie. Jedna z najnowszych i najniebezpieczniejszych odmian, TXTME Ransomware, jest przykładem tego, jak atakujący wykorzystują luki w zabezpieczeniach systemu i socjotechnikę do szyfrowania danych i wymuszania pieniędzy. Aby uniknąć stania się kolejną ofiarą, zrozumienie, jak działa to zagrożenie i jak się przed nim bronić, jest niezbędne.

Wewnątrz TXTME: Przyjrzyjmy się zachowaniu ransomware

TXTME Ransomware należy do rodziny Dharma , znanej z ataków szyfrujących dane i taktyk wymuszeń o wysokiej presji. Po dostaniu się do systemu TXTME blokuje pliki użytkownika i zmienia ich nazwy, nadając im unikalny identyfikator, adres e-mail kontaktowy atakującego i rozszerzenie „.TXTME”. Na przykład:

1.png staje się 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME

2.pdf zmienia się na 2.pdf.id-9ECFA84E.[właścicielcall@tuta.io].TXTME

Ofiarom przedstawiane są dwa żądania okupu: wyskakujące okienko na pulpicie i plik „TXTME.txt”. Te notatki ostrzegają ofiarę, że jej pliki zostały zaszyfrowane i instruują ją, aby skontaktowała się z atakującym za pośrednictwem poczty e-mail („ownercall@tuta.io” lub „ownercall@mailum.com”). Atakujący żąda Bitcoinów w zamian za narzędzia do odszyfrowywania i ostrzega przed zmianą nazw plików lub korzystaniem z oprogramowania do odzyskiwania danych innych firm, grożąc trwałą utratą danych.

Metody infekcji i manipulacji systemem

Po wdrożeniu TXTME podejmuje agresywne środki, aby zapobiec odzyskaniu danych i utrzymać swoją obecność:

• Wyłącza zaporę systemową, obniżając poziom ochrony przed dalszymi atakami.
• Usuwa kopie woluminów w tle, usuwając wszelkie wbudowane dane kopii zapasowej, które mogłyby posłużyć do odzyskania utraconych plików.
• Kopiuje się do katalogu %LOCALAPPDATA% i dodaje wpisy rejestru, aby zapewnić automatyczne uruchamianie się podczas uruchamiania.
• Gromadzi podstawowe dane o lokalizacji, aby uniknąć infekcji systemów w określonych krajach — zazwyczaj tych, które są powiązane z atakującymi.

Rozprzestrzenia się za pośrednictwem typowych wektorów ataków, w tym wiadomości phishingowych, fałszywych reklam, zhakowanego oprogramowania, zainfekowanych dysków USB i ujawnionych usług protokołu RDP (Remote Desktop Protocol), zwłaszcza tych ze słabymi lub wielokrotnie wykorzystywanymi hasłami.

Wzmocnij swoje zabezpieczenia: najlepsze praktyki zapobiegające atakom ransomware

Obrona przed wyrafinowanymi zagrożeniami, takimi jak TXTME, wymaga proaktywnej i wielowarstwowej strategii. Mocny fundament zaczyna się od zabezpieczenia systemu i sieci. Upewnienie się, że system operacyjny i całe oprogramowanie są aktualizowane najnowszymi poprawkami, jest niezbędne do zamknięcia znanych luk. Ważne jest również korzystanie z renomowanego oprogramowania antywirusowego z włączoną ochroną w czasie rzeczywistym, które może pomóc wykryć i zablokować niebezpieczną aktywność, zanim wyrządzi ona szkodę.

Dostęp do systemu powinien być ściśle kontrolowany poprzez regulowanie uprawnień administracyjnych tylko dla tych, którzy ich absolutnie potrzebują. Ponadto wyłączenie makr w dokumentach pakietu Office może zapobiec wykonywaniu wielu standardowych ładunków złośliwego oprogramowania. Jeśli protokół RDP (Remote Desktop Protocol) nie jest używany, należy go całkowicie wyłączyć. Jeśli jednak wymagany jest dostęp zdalny, musi on być zabezpieczony silnymi, unikalnymi hasłami, uwierzytelnianiem wieloskładnikowym i w idealnym przypadku kierowany przez wirtualną sieć prywatną (VPN).

Równie ważne jest zachowanie świadomości i niezawodnej strategii tworzenia kopii zapasowych. Istotne pliki powinny być regularnie tworzone i przechowywane w trybie offline lub w bezpiecznych środowiskach chmurowych, do których nie ma bezpośredniego dostępu z głównego systemu.

Unikanie pirackiego oprogramowania i nieoficjalnych narzędzi, a także unikanie podejrzanych witryn internetowych pomaga zminimalizować narażenie na wektory ransomware. Na koniec, stałe monitorowanie aktywności sieciowej może zapewnić wczesne sygnały ostrzegawcze prób włamań, takie jak próby siłowego logowania lub nietypowe wzorce dostępu do plików.

Wniosek: zachowaj czujność, zachowaj ochronę

Kampania TXTME Ransomware ilustruje rosnącą wyrafinowanie i destrukcyjność współczesnych cyberzagrożeń. Wyłącza narzędzia odzyskiwania, szyfruje cenne pliki i żąda kryptowaluty jako okupu, jednocześnie zapewniając, że pozostanie aktywny w zagrożonych systemach. Jednak dzięki starannym praktykom bezpieczeństwa i zaangażowaniu w świadomość użytkowników możliwe jest zapobieganie takim infekcjom i skuteczne reagowanie, jeśli wystąpią. Cyberbezpieczeństwo nie jest już opcjonalne; to konieczna inwestycja w Twoje bezpieczeństwo cyfrowe.