TXTME-вымогатель
По мере того, как киберугрозы становятся все более изощренными, программы-вымогатели продолжают представлять значительный риск для персональных пользователей, предприятий и учреждений по всему миру. Один из последних и наиболее опасных вариантов, TXTME Ransomware, является примером того, как злоумышленники используют уязвимости системы и социальную инженерию для шифрования данных и вымогательства денег. Чтобы не стать следующей жертвой, необходимо понимать, как работает эта угроза и как от нее защититься.
Оглавление
Внутри TXTME: взгляд на поведение вируса-вымогателя
TXTME Ransomware принадлежит к семейству Dharma , известному своими атаками шифрования данных и тактикой вымогательства с высоким давлением. Попав в систему, TXTME блокирует пользовательские файлы и переименовывает их с уникальным идентификатором, контактным адресом электронной почты злоумышленника и расширением «.TXTME». Например:
1.png становится 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME
2.pdf становится 2.pdf.id-9ECFA84E.[ownercall@tuta.io].TXTME
Жертвам предоставляются две записки с требованием выкупа: всплывающее окно на рабочем столе и файл «TXTME.txt». Эти записки предупреждают жертву о том, что ее файлы зашифрованы, и просят связаться с злоумышленником по электронной почте («ownercall@tuta.io» или «ownercall@mailum.com»). Злоумышленник требует биткоины в обмен на инструменты дешифрования и предостерегает от переименования файлов или использования стороннего программного обеспечения для восстановления, что грозит безвозвратной потерей данных.
Методы заражения и манипуляции системой
После развертывания TXTME принимает агрессивные меры для предотвращения восстановления и сохранения своего присутствия:
- Отключает системный брандмауэр, снижая защиту от дальнейших атак.
- Удаляет теневые копии томов, удаляя все встроенные резервные данные, которые можно было бы использовать для восстановления потерянных файлов.
- Копирует себя в каталог %LOCALAPPDATA% и добавляет записи реестра, чтобы обеспечить автоматический запуск при запуске.
- Собирает основные данные о местоположении, чтобы избежать заражения систем в определенных странах — как правило, тех, которые связаны с злоумышленниками.
Он распространяется через обычные векторы атак, включая фишинговые письма, мошенническую рекламу, взломанное программное обеспечение, зараженные USB-накопители и уязвимые службы протокола удаленного рабочего стола (RDP), особенно те, которые используют слабые или повторно используемые пароли.
Укрепите свою защиту: лучшие методы предотвращения атак программ-вымогателей
Защита от сложных угроз, таких как TXTME, требует проактивной и многоуровневой стратегии. Прочный фундамент начинается с защиты вашей системы и сети. Обеспечение того, чтобы ваша операционная система и все программное обеспечение были обновлены последними исправлениями, имеет важное значение для закрытия известных уязвимостей. Также важно использовать надежное антивирусное программное обеспечение с включенной защитой в реальном времени, которое может помочь обнаружить и заблокировать небезопасную активность до того, как она нанесет вред.
Системный доступ должен строго контролироваться путем предоставления административных привилегий только тем, кому они действительно нужны. Кроме того, отключение макросов в документах Office может предотвратить выполнение многих стандартных вредоносных программ. Если протокол удаленного рабочего стола (RDP) не используется, его следует полностью отключить. Однако, если требуется удаленный доступ, он должен быть защищен надежными уникальными паролями, многофакторной аутентификацией и, в идеале, маршрутизирован через виртуальную частную сеть (VPN).
Не менее важно поддерживать осведомленность и надежную стратегию резервного копирования. Основные файлы должны регулярно резервироваться и храниться либо в автономном режиме, либо в защищенных облачных средах, которые не имеют прямого доступа из основной системы.
Избегание пиратского ПО и неофициальных инструментов, а также посещение сомнительных веб-сайтов помогает минимизировать воздействие векторов программ-вымогателей. Наконец, постоянный мониторинг сетевой активности может обеспечить ранние предупреждающие признаки попыток вторжения, такие как попытки входа методом подбора или необычные схемы доступа к файлам.
Заключение: будьте бдительны, оставайтесь защищенными
Кампания TXTME Ransomware иллюстрирует растущую изощренность и разрушительность современных киберугроз. Она отключает инструменты восстановления, шифрует ценные файлы и требует криптовалюту в качестве выкупа, при этом гарантируя, что она может оставаться активной на скомпрометированных системах. Однако с помощью добросовестных методов обеспечения безопасности и приверженности осведомленности пользователей можно предотвратить такие заражения и эффективно реагировать, если они происходят. Кибербезопасность больше не является опциональной; это необходимая инвестиция в вашу цифровую безопасность.
Сообщения
Были найдены следующие сообщения, связанные с TXTME-вымогатель:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
