Izsiljevalska programska oprema TXTME
Ker kibernetske grožnje postajajo vse bolj dovršene, izsiljevalska programska oprema še naprej predstavlja veliko tveganje za zasebne uporabnike, podjetja in institucije po vsem svetu. Ena najnovejših in najnevarnejših različic, izsiljevalska programska oprema TXTME, ponazarja, kako napadalci izkoriščajo ranljivosti sistema in socialni inženiring za šifriranje podatkov in izsiljevanje denarja. Da bi se izognili temu, da bi postali naslednja žrtev, je bistvenega pomena razumevanje delovanja te grožnje in kako se pred njo braniti.
Kazalo
V notranjosti TXTME: Pogled na vedenje izsiljevalske programske opreme
Izsiljevalska programska oprema TXTME spada v družino Dharma , znano po napadih s šifriranjem podatkov in izsiljevalskih taktikah z visokim pritiskom. Ko je enkrat v sistemu, TXTME zaklene uporabniške datoteke in jih preimenuje z enoličnim identifikatorjem, napadalčevim kontaktnim e-poštnim naslovom in končnico '.TXTME'. Na primer:
1.png postane 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME
2.pdf postane 2.pdf.id-9ECFA84E.[ownercall@tuta.io].TXTME
Žrtvam se prikažeta dve obvestili o odkupnini: pojavno okno na namizju in datoteka »TXTME.txt«. Ta obvestila žrtev opozorijo, da so bile njene datoteke šifrirane, in ji naročijo, naj se z napadalcem obrne po e-pošti (»ownercall@tuta.io« ali »ownercall@mailum.com«). Napadalec zahteva bitcoin v zameno za orodja za dešifriranje in svari pred preimenovanjem datotek ali uporabo programske opreme za obnovitev podatkov drugih proizvajalcev, kar grozi s trajno izgubo podatkov.
Metode okužbe in sistemske manipulacije
Ko je enkrat nameščen, TXTME sprejme agresivne ukrepe za preprečitev okrevanja in ohranitev svoje prisotnosti:
- Onemogoči sistemski požarni zid in s tem zmanjša obrambo pred nadaljnjimi napadi.
- Izbriše senčne kopije diska in odstrani vse vgrajene varnostne kopije, ki bi jih bilo mogoče uporabiti za obnovitev izgubljenih datotek.
- Kopira se v imenik %LOCALAPPDATA% in doda vnose v register, da zagotovi samodejni zagon ob zagonu.
- Zbira osnovne podatke o lokaciji, da prepreči okužbo sistemov v določenih državah – običajno tistih, ki so povezane z napadalci.
Širi se prek običajnih vektorjev napadov, vključno z lažnimi e-poštnimi sporočili, goljufivimi oglasi, razpokano programsko opremo, okuženimi USB-ključki in izpostavljenimi storitvami protokola oddaljenega namizja (RDP), zlasti tistimi s šibkimi ali ponovno uporabljenimi gesli.
Okrepite svojo obrambo: najboljše prakse za preprečevanje izsiljevalske programske opreme
Zaščita pred sofisticiranimi grožnjami, kot je TXTME, zahteva proaktivno in večplastno strategijo. Močni temelji se začnejo z zavarovanjem vašega sistema in omrežja. Za odpravo znanih ranljivosti je bistveno zagotoviti, da sta vaš operacijski sistem in vsa programska oprema posodobljena z najnovejšimi popravki. Prav tako je ključnega pomena uporaba ugledne programske opreme proti zlonamerni programski opremi z omogočeno zaščito v realnem času, ki lahko pomaga odkriti in blokirati nevarne dejavnosti, preden povzročijo škodo.
Dostop do sistema je treba strogo nadzorovati z dodeljevanjem skrbniških pravic le tistim, ki jih nujno potrebujejo. Poleg tega lahko onemogočanje makrov v dokumentih Office prepreči izvajanje številnih standardnih zlonamernih programov. Če protokol RDP (Remote Desktop Protocol) ni v uporabi, ga je treba v celoti onemogočiti. Če pa je potreben oddaljeni dostop, mora biti zavarovan z močnimi, edinstvenimi gesli, večfaktorsko avtentikacijo in idealno usmerjen prek navideznega zasebnega omrežja (VPN).
Enako pomembno je ohranjanje ozaveščenosti in zanesljiva strategija varnostnega kopiranja. Bistvene datoteke je treba redno varnostno kopirati in shranjevati bodisi brez povezave bodisi v varnih oblačnih okoljih, do katerih ni mogoče neposredno dostopati iz glavnega sistema.
Izogibanje piratski programski opremi in neuradnim orodjem ter vprašljivim spletnim mestom pomaga zmanjšati izpostavljenost vektorjem izsiljevalske programske opreme. Nenazadnje lahko stalno spremljanje omrežne dejavnosti zagotovi zgodnje opozorilne znake poskusov vdora, kot so poskusi prijave z uporabo surove sile ali nenavadni vzorci dostopa do datotek.
Zaključek: Bodite pozorni, ostanite zaščiteni
Kampanja izsiljevalske programske opreme TXTME ponazarja naraščajočo prefinjenost in uničujočost sodobnih kibernetskih groženj. Onemogoča orodja za obnovitev, šifrira dragocene datoteke in zahteva kriptovaluto kot odkupnino, hkrati pa zagotavlja, da lahko ostane aktivna na ogroženih sistemih. Vendar pa je s skrbnimi varnostnimi praksami in zavezanostjo ozaveščenosti uporabnikov mogoče preprečiti takšne okužbe in se učinkovito odzvati, če se pojavijo. Kibernetska varnost ni več neobvezna; je nujna naložba v vašo digitalno varnost.
Sporočila
Najdena so bila naslednja sporočila, povezana z Izsiljevalska programska oprema TXTME:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
