TomLe Ransomware

O TomLe Ransomware é um Trojan de bloqueio de arquivo que faz parte de uma família Ransomware-as-a-Service, o Crysis Ransomware (ou Dharma Ransomware). O TomLe Ransomware bloqueia os arquivos do usuário criptografando-os, adiciona extensões aos seus nomes e exige resgates por meio de uma mensagem de aviso padronizada pela família. Para proteção, quase todos os produtos de segurança cibernética do Windows devem bloquear infecções e remover o TomLe Ransomware antes que ele danifique qualquer mídia.

Os Resgates Digitais Continuam Aparecendo Conforme o Ano Avança

Facilmente uma das forças mais identificáveis no mercado negro de Ransomware-as-a-Service, o Dharma Ransomware continua seu negócio de venda de cavalos de Tróia para agentes de ameaças aleatórias à medida que o ano avança. Apesar de ter membros antigos como o LOVE Ransomware, o Dharma-Gate Ransomware ou o Php Ransomware, a família também está ativa em 2021. Exemplos de ataques recentes podem apontar para o 14x Ransomware ou o ainda mais recente TomLe Ransomware.

Por sua vez, o TomLe Ransomware não apareceu em bancos de dados de ameaças antes de fevereiro. O Trojan visa ambientes Windows e alavanca o padrão da família Dharma Ransomware, AES com criptografia de segurança RSA, para bloquear os arquivos do usuário. As vítimas arquetípicas desses ataques incluem a maioria dos documentos de texto, imagens, música e outras mídias, embora os Trojans de bloqueio de arquivos também possam sabotar dados relativamente esotéricos, como projetos CAD 3D.

Como parte de sua carga útil, o Trojan mostra precauções contra as soluções de backup do ponto de restauração, emitindo um comando de exclusão segura com as ferramentas padrão do Windows. O lado financeiro das suas características fica mais claro com o seu texto e notas de resgate da HTA (esta última sendo um pop-up), que oferecem serviços de recuperação dos arquivos da vítima, mas não estabelecem um preço. Os agentes de ameaças geralmente pedem pelo menos várias centenas de dólares em um formato de criptomoeda difícil de reembolsar, e os especialistas em malware recomendam não pagá-los.

Fazendo o Check-Out de uma Empresa que não Aceita um não como Resposta

Como outros Trjans de bloqueio de arquivos, o TomLe Ransomware cria uma extensão personalizada - que inclui e-mails e IDs exclusivos - para nomes de arquivos para que as vítimas saibam qual conteúdo o refém é intuitivo. Não existe um serviço de desbloqueio gratuito que seja eficaz contra as versões modernas da família Crysis Ransomware. No entanto, os analistas de malware observam a potência dos padrões de backup em dispositivos não locais como uma excelente cura para esses ataques regularmente.

Os Trojans de bloqueio de arquivos podem comprometer servidores não seguros após os invasores usarem senhas de força bruta com cadeias de caracteres fracas ou usar vulnerabilidades que normalmente estão presentes em softwares desatualizados. Além de curar suas credenciais de login e aplicar patches, os usuários também devem ser cautelosos com anexos de e-mail com disfarces em potencial, como faturas, avisos de hardware ou currículos. Naturalmente, os analistas de malware também desencorajam o download de conteúdo ilegal, que está fortemente correlacionado a Trojans como o TomLe Ransomware.

Produtos de ciber-segurança eficientes para ambientes Windows devem classificar este programa como uma ameaça e excluir o TomLe Ransomware automaticamente. Esse método de desinfecção é preferível, mesmo para usuários avançados, pois também cobre o potencial de outros riscos de segurança no mesmo incidente.

O TomLe Ransomware tem um novo alias em seu endereço de e-mail e, em outros aspectos, é um subproduto de copiar e colar da indústria de Ransomware como serviço. A melhor defesa contra um problema convencional é uma defesa igualmente convencional - programas de segurança, bons hábitos e um backup.