TXTME-Ransomware: Ein digitaler Entführer, der sich vor aller Augen versteckt

Was ist TXTME-Ransomware?

Ein weiterer Neuzugang der berüchtigten Dharma-Ransomware-Familie ist aufgetaucht: TXTME . TXTME folgt einem mittlerweile bekannten, aber immer noch gefährlichen Funktionsmuster: Es verschlüsselt Dateien auf dem System eines Opfers und verlangt eine Zahlung für den Zugriff. Sobald die Ransomware ein Gerät infiziert hat, ändert sie alle betroffenen Dateinamen, indem sie eine eindeutige Opfer-ID, eine von zwei Kontakt-E-Mails und die Erweiterung „.TXTME“ anhängt. So wird beispielsweise aus „photo.jpg“ etwa „photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME“.

Nach der Verschlüsselung hinterlässt die Ransomware zwei Arten von Lösegeldforderungen: eine Popup-Benachrichtigung und eine Textdatei mit dem Titel TXTME.txt . Beide Nachrichten informieren das Opfer darüber, dass seine Daten nun nicht mehr zugänglich sind, und bieten eine „Lösung“ an: Senden Sie dem Angreifer eine E-Mail und bereiten Sie sich darauf vor, ein Lösegeld in Bitcoin zu zahlen. Die Benachrichtigungen warnen außerdem davor, die verschlüsselten Dateien zu manipulieren oder externe Wiederherstellungstools zu verwenden. Andernfalls droht dauerhafter Datenverlust, wenn das Opfer versucht, die Sache selbst in die Hand zu nehmen.

Folgendes steht in der Lösegeldforderung:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Ransomware-Angriffe verstehen

Ransomware wie TXTME ist eine Schadsoftware, die speziell darauf ausgelegt ist, Daten als Geisel zu nehmen. Nachdem sie sich Zugriff auf ein System verschafft hat, verschlüsselt sie Dateien und sperrt den Zugriff der Benutzer auf ihre Informationen. Die Opfer werden dann angewiesen, ein Lösegeld, üblicherweise in Kryptowährung, zu zahlen, um einen Entschlüsselungsschlüssel zu erhalten. Cybersicherheitsexperten warnen jedoch immer wieder davor, Lösegeld zu zahlen. Es gibt keine Garantie dafür, dass die Kriminellen das Entschlüsselungstool bereitstellen, und die Zahlung befeuert nur zukünftige Angriffe.

Diese Angriffe können schwerwiegende Folgen haben, insbesondere für Unternehmen oder Institutionen mit sensiblen oder unersetzlichen Daten. Das Risiko von Datenverlust, Serviceunterbrechungen und finanziellen Schäden ist hoch. Glücklicherweise ist Vorbereitung die beste Verteidigung: Regelmäßige Datensicherungen an Offline- oder Remote-Standorten reduzieren die Auswirkungen eines Ransomware-Angriffs erheblich.

Was macht TXTME anders?

TXTME ist mehr als nur ein einfacher Datei-Locker. Es ist auf tiefgreifende Störungen und Persistenz ausgelegt. Sobald es aktiviert ist, deaktiviert es die System-Firewall und löscht Volumeschattenkopien, die Windows üblicherweise zur Systemwiederherstellung und Dateirettung verwendet. Dadurch wird es für Benutzer deutlich schwieriger, Dateien wiederherzustellen, ohne das Lösegeld zu zahlen.

Die Schadsoftware sorgt außerdem dafür, dass sie auf dem infizierten Rechner verbleibt, indem sie sich in das Verzeichnis %LOCALAPPDATA% kopiert und Windows-Registrierungsschlüssel bearbeitet, sodass sie bei jedem Systemstart gestartet wird. Sie sammelt sogar Standortdaten, um eine Infektion von Systemen in bestimmten Regionen zu vermeiden. Dies deutet darauf hin, dass ihre Betreiber bestimmte Länder meiden wollen – möglicherweise, um rechtlichen Konsequenzen zu entgehen oder der Kontrolle durch die Behörden in ihrem Zuständigkeitsbereich zu entgehen.

Wie sich TXTME verbreitet

Die genauen Verbreitungsmethoden von TXTME werden noch untersucht. Die Verbreitung erfolgt wahrscheinlich über exponierte Remote Desktop Protocol (RDP)-Dienste. Angreifer nutzen häufig Brute-Force-Techniken, um schwache oder häufig verwendete Passwörter auf Systemen mit aktiviertem RDP zu erraten. Sobald sie sich im System befinden, installieren sie die Ransomware manuell.

Im Allgemeinen wird Ransomware häufig über Phishing-E-Mails, schädliche Anhänge, gefälschte Software-Updates, manipulierte Websites oder im Paket mit Raubkopien verbreitet. Sie kann sich auch über USB-Sticks, infizierte Installationsprogramme oder Schwachstellen in veralteter Software verbreiten. Die Bedrohungslandschaft entwickelt sich ständig weiter, daher ist Wachsamkeit unerlässlich.

Prävention und bewährte Verfahren

Der beste Schutz vor Ransomware wie TXTME ist eine Kombination aus proaktiven Sicherheitsmaßnahmen und Sensibilisierung. Deaktivieren Sie RDP, falls nicht erforderlich. Verwenden Sie für Systeme, auf denen RDP unverzichtbar ist, sichere, komplexe Passwörter und aktivieren Sie die Multi-Faktor-Authentifizierung. Halten Sie Software, Betriebssysteme und Sicherheitstools stets auf dem neuesten Stand.

Seien Sie vorsichtig beim Umgang mit E-Mail-Anhängen oder beim Anklicken von Links, insbesondere wenn diese aus unbekannten Quellen stammen. Laden Sie keine Software von nicht vertrauenswürdigen Websites herunter und verwenden Sie keine gecrackten Versionen legitimer Programme. Über diese häufigen Angriffsvektoren kann Ransomware oft die Abwehrmechanismen umgehen.

Die Bedeutung von Backups

Backups bleiben eine der wirksamsten Maßnahmen gegen Ransomware. Das Speichern von Kopien wichtiger Dateien auf einem separaten Gerät oder einem sicheren Cloud-Dienst kann den Schaden drastisch reduzieren. Im Falle eines Angriffs können Systeme gelöscht und wiederhergestellt werden, ohne dass der Angreifer eingreifen muss.

Backups sollten jedoch vom Hauptsystem getrennt werden, wenn sie nicht verwendet werden, da viele Ransomware-Varianten versuchen, auch angeschlossene Backup-Laufwerke zu finden und zu verschlüsseln. Geplante, automatische Backups mit entsprechender Versionskontrolle bieten die höchste Ausfallsicherheit.

Abschließende Gedanken

TXTME erinnert daran, dass sich Ransomware-Bedrohungen ständig weiterentwickeln und anpassen. Die Methoden ähneln zwar denen anderer Varianten der Dharma-Familie, doch die maßgeschneiderten Funktionen – wie Systempersistenz, Firewall-Deaktivierung und gezielte regionale Vermeidung – zeugen von einer ausgeklügelten Planung.

Cyberkriminelle suchen ständig nach neuen Möglichkeiten, Schwachstellen auszunutzen. Informiert zu bleiben und eine gute Cyberhygiene zu wahren, kann jedoch einen erheblichen Unterschied machen. Wenn Benutzer und Organisationen verstehen, wie Bedrohungen wie TXTME funktionieren, können sie sich besser vorbereiten, reagieren und sich erholen – ohne in die Falle zu tappen, ein digitales Lösegeld zahlen zu müssen.

Bis Willa
May 21, 2025
Ransomware
Deutsch
May 21, 2025
Ransomware

Beliebte Beiträge

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 1 month

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 12 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 8 months

PayPal – Sie haben eine neue Adresse hinzugefügt – E-Mail-Betrug

vor 3 months

Omega Ad Blocker: Eine irreführende Erweiterung, die als...

vor 3 months

Die Bedrohung durch W32.AIDetectMalware verstehen und eindämmen

vor 10 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.