TCYO勒索软件

信息安全研究人员发现了一种已在野外释放的新 Dharma 变体。它被命名为 TCYO 勒索软件，旨在渗透受害者的计算机，启动一个加密过程，锁定大量文件类型，然后勒索受影响的用户。

每个加密文件的名称都将发生巨大变化。 TCYO 遵循在其他 Dharma变体中观察到的命名模式。首先，它添加分配给受害者的 ID 号，然后附加一个受黑客控制的电子邮件地址，最后将".TCYO"作为新的文件扩展名。 TCYO 在文件名中使用的电子邮件地址是"yourfiles1@cock.li"。

威胁的受害者会留下两张赎金票据，其中包含犯罪分子的指示。主要注释显示在弹出窗口中，而较短版本的消息作为名为"FILES ENCRYPTED.txt"的文本文件放置在受感染系统的桌面上。

TCYO 勒索软件的需求

该文本文件不包含有关黑客需求的任何有意义的详细信息。它只告诉受害者通过向两个提供的电子邮件地址发送消息来发起联系——"yourfiles1@cock.li"和"tcprx@tutanota.de"。弹出窗口提供了更多信息。它显示了受害者的 ID 号码，并指出只有当用户在发送第一封电子邮件后超过 12 小时没有收到答复时，才应该使用第二个电子邮件地址。弹出窗口以各种警告结束，例如不要重命名加密文件或尝试通过第三方程序解锁它们。

在文本文件中找到的整个消息是：

'您的所有数据都已锁定我们
你想回来吗？
写电子邮件 yourfiles1@cock.li 或 tcprx@tutanota.de 。

弹出窗口提供以下说明：

'您的文件已加密

别担心，您可以归还所有文件！
如果你想恢复它们，请点击这个链接：email yourfiles1@cock.li 你的 ID 1E857D00
如果您在 12 小时内没有通过链接得到答复，请通过电子邮件给我们写信：tcprx@tutanota.de

注意力！
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致数据永久丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们向我们收取费用），或者您可能成为骗局的受害者。 '