Програма-вимагач TXTME
Оскільки кіберзагрози стають дедалі складнішими, програми-вимагачі продовжують становити значну загрозу для приватних користувачів, бізнесу та установ у всьому світі. Один з найновіших і найнебезпечніших варіантів, програма-вимагач TXTME, є прикладом того, як зловмисники використовують системні вразливості та соціальну інженерію для шифрування даних та вимагання грошей. Щоб не стати наступною жертвою, важливо розуміти, як працює ця загроза та як від неї захищатися.
Зміст
Всередині TXTME: Огляд поведінки програми-вимагача
Програма-вимагач TXTME належить до родини Dharma , відомої своїми атаками шифрування даних та тактикою вимагання з використанням високого тиску. Потрапивши в систему, TXTME блокує файли користувачів та перейменовує їх, додаючи унікальний ідентифікатор, контактну електронну адресу зловмисника та розширення «.TXTME». Наприклад:
1.png стає 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME
2.pdf стає 2.pdf.id-9ECFA84E.[ownercall@tuta.io].TXTME
Жертвам показують два повідомлення з вимогою викупу: спливаюче вікно на робочому столі та файл «TXTME.txt». Ці повідомлення попереджають жертву про те, що її файли зашифровані, та містять інструкції щодо зв’язку зі зловмисником електронною поштою («ownercall@tuta.io» або «ownercall@mailum.com»). Зловмисник вимагає біткоїни в обмін на інструменти для розшифрування та застерігає від перейменування файлів або використання стороннього програмного забезпечення для відновлення, погрожуючи безповоротною втратою даних.
Методи зараження та маніпуляції системою
Після розгортання TXTME вживає агресивних заходів для запобігання відновленню та збереження своєї присутності:
- Вимикає системний брандмауер, знижуючи захист від подальших атак.
- Видаляє тіньові копії томів, видаляючи будь-які вбудовані резервні дані, які можна було б використовувати для відновлення втрачених файлів.
- Копіює себе до каталогу %LOCALAPPDATA% та додає записи до реєстру, щоб забезпечити автоматичний запуск під час запуску.
- Збирає основні дані про місцезнаходження, щоб уникнути зараження систем у певних країнах — зазвичай тих, що пов'язані зі зловмисниками.
Він поширюється через поширені вектори атак, включаючи фішингові електронні листи, шахрайську рекламу, зламане програмне забезпечення, заражені USB-накопичувачі та викриті служби протоколу віддаленого робочого столу (RDP), особливо ті, що мають слабкі або повторно використані паролі.
Зміцніть свій захист: найкращі практики запобігання програмам-вимагачам
Захист від складних загроз, таких як TXTME, вимагає проактивної та багаторівневої стратегії. Міцна основа починається із захисту вашої системи та мережі. Забезпечення оновлення операційної системи та всього програмного забезпечення останніми патчами є важливим для усунення відомих вразливостей. Також важливо використовувати надійне антивірусне програмне забезпечення з увімкненим захистом у режимі реального часу, яке може допомогти виявляти та блокувати небезпечну діяльність, перш ніж вона завдасть шкоди.
Доступ до системи слід жорстко контролювати, регулюючи права адміністратора лише тими, кому вони вкрай необхідні. Крім того, вимкнення макросів у документах Office може запобігти виконанню багатьох стандартних шкідливих програм. Якщо протокол віддаленого робочого столу (RDP) не використовується, його слід повністю вимкнути. Однак, якщо потрібен віддалений доступ, він має бути захищений надійними унікальними паролями, багатофакторною автентифікацією та, в ідеалі, маршрутизований через віртуальну приватну мережу (VPN).
Не менш важливим є підтримка обізнаності та надійна стратегія резервного копіювання. Важливі файли слід регулярно резервувати та зберігати або офлайн, або в безпечних хмарних середовищах, до яких немає безпосереднього доступу з основної системи.
Уникнення піратського програмного забезпечення та неофіційних інструментів, а також сумнівних веб-сайтів допомагає мінімізувати ризик зараження програмами-вимагачами. Зрештою, постійний моніторинг мережевої активності може забезпечити ранні ознаки спроб вторгнення, такі як спроби входу методом грубої сили або незвичайні моделі доступу до файлів.
Висновок: Будьте пильними, залишайтеся захищеними
Кампанія з використанням програм-вимагачів TXTME ілюструє зростаючу витонченість та руйнівність сучасних кіберзагроз. Вона вимикає інструменти відновлення, шифрує цінні файли та вимагає криптовалюту як викуп, водночас забезпечуючи свою активність на скомпрометованих системах. Однак, завдяки ретельному дотриманню заходів безпеки та підвищенню обізнаності користувачів, можна запобігти таким зараженням та ефективно реагувати, якщо вони трапляться. Кібербезпека більше не є необов'язковою; це необхідна інвестиція у вашу цифрову безпеку.
Повідомлення
Було знайдено такі повідомлення, пов’язані з Програма-вимагач TXTME:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
