TCYO Ransomware

Infosec araştırmacıları, vahşi doğada serbest bırakılan yeni bir Dharma varyantı keşfettiler. TCYO Ransomware olarak adlandırılan bu yazılım, kurbanlarının bilgisayarlarına sızmayı, çok çeşitli dosya türlerini kilitleyen bir şifreleme süreci başlatmayı ve ardından etkilenen kullanıcıları para için şantaj etmeyi amaçlıyor.

Her şifrelenmiş dosyanın adı büyük ölçüde değişecektir. TCYO, diğer Dharma türevlerinde gözlemlenen adlandırma modellerini takip eder. Önce kurbana atanan kimlik numarasını ekler, ardından bilgisayar korsanlarının kontrolündeki bir e-posta adresini ekler ve son olarak '.TCYO'yu yeni bir dosya uzantısı olarak yerleştirir. TCYO tarafından dosya adlarında kullanılan e-posta adresi 'yourfiles1@cock.li'dir.

Tehdit kurbanlarına, suçluların talimatlarını içeren iki fidye notu bırakılır. Ana not bir açılır pencerede görüntülenirken, mesajın daha kısa bir sürümü güvenliği ihlal edilmiş sistemin masaüstüne 'FILES ŞİFRELENMİŞ.txt' adlı bir metin dosyası olarak bırakılır.

TCYO Ransomware'in Talepleri

Metin dosyası, bilgisayar korsanlarının talepleri hakkında anlamlı bir ayrıntı içermiyor. Mağdurlara yalnızca sağlanan iki e-posta adresine bir mesaj göndererek iletişim başlatmalarını söyler - 'yourfiles1@cock.li' ve 'tcprx@tutanota.de.' Açılır pencere biraz daha fazla bilgi sağlar. Kurbanın kimlik numarasını gösterir ve ikinci e-posta adresinin yalnızca kullanıcı ilk e-postayı gönderdikten sonra 12 saatten fazla bir süre yanıt alamazsa kullanılması gerektiğini belirtir. Açılır pencere, şifrelenmiş dosyaları yeniden adlandırmamak veya üçüncü taraf programlar aracılığıyla bunların kilidini açmaya çalışmak gibi çeşitli uyarılarla sona erer.

Metin dosyasında bulunan mesajın tamamı şudur:

' tüm verileriniz bize kilitlendi
dönmek istiyor musun?
yourfiles1@cock.li veya tcprx@tutanota.de e-posta adresine yazın .'

Açılır pencere aşağıdaki talimatları sunar:

DOSYALARINIZ ŞİFRELENİYOR

Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Bunları geri yüklemek istiyorsanız, şu bağlantıyı izleyin:e-posta yourfiles1@cock.li KİMLİĞİNİZ 1E857D00
12 saat içinde bağlantı yoluyla yanıtlanmadıysanız, bize e-posta ile yazın:tcprx@tutanota.de

Dikkat!
Şifrelenmiş dosyaları yeniden adlandırmayın.
Üçüncü taraf yazılımları kullanarak verilerinizin şifresini çözmeye çalışmayın, kalıcı veri kaybına neden olabilir.
Üçüncü şahısların yardımıyla dosyalarınızın şifresinin çözülmesi, fiyatların artmasına (ücretlerini bize eklerler) neden olabilir veya bir dolandırıcılığın kurbanı olabilirsiniz. '