TCYO勒索軟件

信息安全研究人員發現了一種已在野外釋放的新 Dharma 變體。它被命名為 TCYO 勒索軟件，旨在滲透受害者的計算機，啟動一個加密過程，鎖定大量文件類型，然後勒索受影響的用戶。

每個加密文件的名稱都將發生巨大變化。 TCYO 遵循在其他 Dharma變體中觀察到的命名模式。首先，它添加分配給受害者的 ID 號，然後附加一個受黑客控制的電子郵件地址，最後將".TCYO"作為新的文件擴展名。 TCYO 在文件名中使用的電子郵件地址是"yourfiles1@cock.li"。

威脅的受害者會留下兩張贖金票據，其中包含犯罪分子的指示。主要註釋顯示在彈出窗口中，而較短版本的消息作為名為"FILES ENCRYPTED.txt"的文本文件放置在受感染系統的桌面上。

TCYO 勒索軟件的需求

該文本文件不包含有關黑客需求的任何有意義的詳細信息。它只告訴受害者通過向兩個提供的電子郵件地址發送消息來發起聯繫——"yourfiles1@cock.li"和"tcprx@tutanota.de"。彈出窗口提供了更多信息。它顯示了受害者的 ID 號碼，並指出只有當用戶在發送第一封電子郵件後超過 12 小時沒有收到答复時，才應該使用第二個電子郵件地址。彈出窗口以各種警告結束，例如不要重命名加密文件或嘗試通過第三方程序解鎖它們。

在文本文件中找到的整個消息是：

'您的所有數據都已鎖定我們
你想回來嗎？
寫電子郵件 yourfiles1@cock.li 或 tcprx@tutanota.de 。

彈出窗口提供以下說明：

'您的文件已加密

別擔心，您可以歸還所有文件！
如果你想恢復它們，請點擊這個鏈接：email yourfiles1@cock.li 你的 ID 1E857D00
如果您在 12 小時內沒有通過鏈接得到答复，請通過電子郵件給我們寫信：tcprx@tutanota.de

注意力！
不要重命名加密文件。
請勿嘗試使用第三方軟件解密您的數據，這可能會導致數據永久丟失。
在第三方的幫助下解密您的文件可能會導致價格上漲（他們向我們收取費用），或者您可能成為騙局的受害者。 '