TXTME рансомвер
Како сајбер претње постају све софистицираније, ransomware и даље представља значајан ризик за приватне кориснике, предузећа и институције широм света. Једна од најновијих и најопаснијих варијанти, TXTME Ransomware, илуструје како нападачи искоришћавају системске рањивости и друштвени инжењеринг да би шифровали податке и изнуђивали новац. Да бисте избегли да постанете следећа жртва, неопходно је разумети како ова претња функционише и како се од ње одбранити.
Преглед садржаја
Унутар TXTME-а: Поглед на понашање Ransomware-а
TXTME Ransomware припада породици Dharma , познатој по нападима шифровања података и тактикама изнуде под великим притиском. Једном када уђе у систем, TXTME закључава корисничке датотеке и преименује их јединственим идентификатором, контакт имејлом нападача и екстензијом „.TXTME“. На пример:
1.png постаје 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME
2.пдф постаје 2.пдф.ид-9ЕЦФА84Е.[овнерцалл@тута.ио].ТКСТМЕ.
Жртвама се приказују две поруке са захтевом за откуп: искачући прозор на радној површини и датотека „TXTME.txt“. Ове поруке упозоравају жртву да су њихове датотеке шифроване и упућују их да контактирају нападача путем е-поште („ownercall@tuta.io“ или „ownercall@mailum.com“). Нападач захтева Биткоин у замену за алате за дешифровање и упозорава да не преименује датотеке или користи софтвер треће стране за опоравак података, претећи трајним губитком података.
Методе инфекције и манипулације системом
Једном распоређен, TXTME предузима агресивне мере како би спречио опоравак и одржао своје присуство:
- Онемогућава системски заштитни зид, смањујући одбрану од даљих напада.
- Брише копије сенковног волумена, уклањајући све уграђене податке резервне копије који би се могли користити за опоравак изгубљених датотека.
- Копира се у директоријум %LOCALAPPDATA% и додаје уносе у регистар како би се осигурало аутоматско покретање при покретању система.
- Прикупља основне податке о локацији како би се избегло заразивање система у одређеним земљама — обично онима повезаним са нападачима.
Шири се путем уобичајених вектора напада, укључујући фишинг имејлове, лажне огласе, крековани софтвер, заражене УСБ дискове и изложене сервисе Протокола за удаљену радну површину (РДП), посебно оне са слабим или поново коришћеним лозинкама.
Ојачајте своју одбрану: Најбоље праксе за спречавање ransomware-а
Одбрана од софистицираних претњи попут TXTME захтева проактивну и вишеслојну стратегију. Јака основа почиње обезбеђивањем вашег система и мреже. Осигуравање да су ваш оперативни систем и сав софтвер ажурирани најновијим закрпама је неопходно за затварање познатих рањивости. Такође је важно користити реномирани анти-малвер софтвер са омогућеном заштитом у реалном времену, што може помоћи у откривању и блокирању небезбедних активности пре него што изазову штету.
Приступ систему треба строго контролисати регулисањем администраторских привилегија само онима којима су апсолутно потребне. Поред тога, онемогућавање макроа у Office документима може спречити извршавање многих стандардних корисних садржаја злонамерног софтвера. Ако се Remote Desktop Protocol (RDP) не користи, требало би га потпуно онемогућити. Међутим, ако је потребан удаљени приступ, он мора бити обезбеђен јаким, јединственим лозинкама, вишефакторском аутентификацијом и идеално, усмерен преко виртуелне приватне мреже (VPN).
Подједнако важно је одржавање свести и поуздана стратегија прављења резервних копија. Неопходне датотеке треба редовно правити резервне копије и чувати их било ван мреже или у безбедним облачним окружењима којима није директно доступан из главног система.
Избегавање пиратског софтвера и незваничних алата, као и избегавање сумњивих веб локација, помаже у минимизирању изложености векторима ransomware-а. Коначно, континуирано праћење мрежне активности може пружити ране знаке упозорења на покушаје упада, као што су покушаји грубе силе пријављивања или необични обрасци приступа датотекама.
Закључак: Будите опрезни, останите заштићени
Кампања TXTME Ransomware-а илуструје растућу софистицираност и деструктивност модерних сајбер претњи. Она онемогућава алате за опоравак, шифрује вредне датотеке и захтева криптовалуту као откуп, а све то уз осигуравање да може остати активна на компромитованим системима. Међутим, уз марљиве безбедносне праксе и посвећеност свести корисника, могуће је спречити такве инфекције и ефикасно реаговати ако се догоде. Сајбер безбедност више није опционална; то је неопходна инвестиција у вашу дигиталну безбедност.
Поруке
Пронађене су следеће поруке повезане са TXTME рансомвер:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
