Phần mềm tống tiền TXTME
Khi các mối đe dọa mạng ngày càng tinh vi hơn, ransomware tiếp tục gây ra rủi ro đáng kể cho người dùng cá nhân, doanh nghiệp và các tổ chức trên toàn thế giới. Một trong những biến thể mới nhất và nguy hiểm nhất, TXTME Ransomware, minh họa cách kẻ tấn công khai thác lỗ hổng hệ thống và kỹ thuật xã hội để mã hóa dữ liệu và tống tiền. Để tránh trở thành nạn nhân tiếp theo, việc hiểu cách thức hoạt động của mối đe dọa này và cách phòng thủ chống lại nó là điều cần thiết.
Mục lục
Bên trong TXTME: Cái nhìn về hành vi của Ransomware
Ransomware TXTME thuộc họ Dharma , nổi tiếng với các cuộc tấn công mã hóa dữ liệu và chiến thuật tống tiền áp lực cao. Khi đã xâm nhập vào hệ thống, TXTME khóa các tệp của người dùng và đổi tên chúng bằng một mã định danh duy nhất, email liên hệ của kẻ tấn công và phần mở rộng '.TXTME'. Ví dụ:
1.png trở thành 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME
2.pdf trở thành 2.pdf.id-9ECFA84E.[ownercall@tuta.io].TXTME
Nạn nhân được cung cấp hai ghi chú đòi tiền chuộc: một cửa sổ bật lên trên màn hình và một tệp 'TXTME.txt'. Những ghi chú này cảnh báo nạn nhân rằng các tệp của họ đã bị mã hóa và hướng dẫn họ liên hệ với kẻ tấn công qua email ('ownercall@tuta.io' hoặc 'ownercall@mailum.com'). Kẻ tấn công yêu cầu Bitcoin để đổi lấy các công cụ giải mã và cảnh báo không đổi tên tệp hoặc sử dụng phần mềm khôi phục của bên thứ ba, đe dọa mất dữ liệu vĩnh viễn.
Phương pháp lây nhiễm và thao túng hệ thống
Sau khi triển khai, TXTME sẽ thực hiện các biện pháp mạnh mẽ để ngăn chặn quá trình phục hồi và duy trì sự hiện diện của nó:
- Vô hiệu hóa tường lửa của hệ thống, giảm khả năng phòng thủ trước các cuộc tấn công tiếp theo.
- Xóa các bản sao lưu Shadow Volume, xóa mọi dữ liệu sao lưu tích hợp có thể được sử dụng để khôi phục các tệp đã mất.
- Sao chép chính nó vào thư mục %LOCALAPPDATA% và thêm các mục đăng ký để đảm bảo nó tự động chạy khi khởi động.
- Thu thập dữ liệu vị trí cơ bản để tránh lây nhiễm vào hệ thống ở các quốc gia cụ thể — thường là những quốc gia có liên quan đến kẻ tấn công.
Nó lây lan qua các phương thức tấn công phổ biến, bao gồm email lừa đảo, quảng cáo gian lận, phần mềm bị bẻ khóa, ổ USB bị nhiễm và các dịch vụ Giao thức máy tính từ xa (RDP) bị lộ, đặc biệt là những dịch vụ có mật khẩu yếu hoặc sử dụng lại mật khẩu.
Tăng cường phòng thủ của bạn: Các biện pháp thực hành tốt nhất để ngăn chặn Ransomware
Để phòng thủ trước các mối đe dọa tinh vi như TXTME đòi hỏi một chiến lược chủ động và nhiều lớp. Một nền tảng vững chắc bắt đầu bằng việc bảo vệ hệ thống và mạng của bạn. Đảm bảo rằng hệ điều hành và tất cả phần mềm của bạn được cập nhật các bản vá mới nhất là điều cần thiết để đóng các lỗ hổng đã biết. Điều quan trọng nữa là phải sử dụng phần mềm chống phần mềm độc hại có uy tín với tính năng bảo vệ theo thời gian thực được bật, có thể giúp phát hiện và chặn hoạt động không an toàn trước khi nó gây hại.
Quyền truy cập hệ thống phải được kiểm soát chặt chẽ bằng cách chỉ cấp quyền quản trị cho những người thực sự cần. Ngoài ra, việc vô hiệu hóa macro trong tài liệu Office có thể ngăn nhiều phần mềm độc hại tiêu chuẩn thực thi. Nếu không sử dụng Giao thức máy tính từ xa (RDP), bạn nên vô hiệu hóa hoàn toàn. Tuy nhiên, nếu cần truy cập từ xa, bạn phải bảo mật bằng mật khẩu mạnh, duy nhất, xác thực đa yếu tố và lý tưởng nhất là định tuyến qua mạng riêng ảo (VPN).
Điều quan trọng không kém là duy trì nhận thức và chiến lược sao lưu đáng tin cậy. Các tệp thiết yếu nên được sao lưu thường xuyên và lưu trữ ngoại tuyến hoặc trong môi trường đám mây an toàn không thể truy cập trực tiếp từ hệ thống chính.
Tránh xa phần mềm lậu và các công cụ không chính thức, cũng như tránh xa các trang web đáng ngờ, giúp giảm thiểu khả năng tiếp xúc với các vectơ ransomware. Cuối cùng, việc giám sát liên tục hoạt động mạng có thể cung cấp các dấu hiệu cảnh báo sớm về các nỗ lực xâm nhập, chẳng hạn như các nỗ lực đăng nhập bằng brute-force hoặc các mẫu truy cập tệp bất thường.
Kết luận: Hãy luôn cảnh giác, hãy luôn được bảo vệ
Chiến dịch TXTME Ransomware minh họa cho sự tinh vi và tính phá hoại ngày càng tăng của các mối đe dọa mạng hiện đại. Nó vô hiệu hóa các công cụ phục hồi, mã hóa các tệp có giá trị và yêu cầu tiền điện tử làm tiền chuộc, đồng thời đảm bảo nó có thể vẫn hoạt động trên các hệ thống bị xâm phạm. Tuy nhiên, với các biện pháp bảo mật cần thiết và cam kết nâng cao nhận thức của người dùng, có thể ngăn chặn các loại nhiễm trùng như vậy và phản ứng hiệu quả nếu chúng xảy ra. An ninh mạng không còn là tùy chọn nữa; đó là khoản đầu tư cần thiết cho sự an toàn kỹ thuật số của bạn.
tin nhắn
Các thông báo sau được liên kết với Phần mềm tống tiền TXTME đã được tìm thấy:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
