Ransomware TXTME : un kidnappeur numérique caché à la vue de tous

Qu'est-ce que le ransomware TXTME ?

Un nouveau membre de la tristement célèbre famille de rançongiciels Dharma a fait son apparition : TXTME . Ce rançongiciel suit un schéma opérationnel désormais familier, mais toujours dangereux : il chiffre les fichiers sur le système de la victime et exige un paiement en échange de l'accès. Une fois l'appareil infecté, le rançongiciel modifie le nom de tous les fichiers affectés en ajoutant un identifiant unique de victime, l'une des deux adresses e-mail de contact et l'extension « .TXTME ». Par exemple, « photo.jpg » devient « photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME ».

Après le chiffrement, le rançongiciel laisse deux types de demandes de rançon : une notification contextuelle et un fichier texte intitulé TXTME.txt . Les deux messages informent la victime que ses données sont désormais inaccessibles et lui proposent une solution : envoyer un e-mail à l'attaquant et se préparer à payer une rançon en Bitcoin . Les messages mettent également en garde contre toute altération des fichiers chiffrés ou l'utilisation d'outils de récupération externes, au risque de perdre définitivement ses données si la victime tente de prendre les choses en main.

Voici ce que dit la demande de rançon :

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Comprendre les attaques de ransomware

Un rançongiciel comme TXTME est un type de logiciel malveillant spécialement conçu pour prendre en otage des données. Après avoir accédé à un système, il chiffre les fichiers, empêchant ainsi les utilisateurs d'accéder à leurs informations. Les victimes sont ensuite invitées à payer une rançon, généralement en cryptomonnaie, pour recevoir une clé de déchiffrement. Cependant, les experts en cybersécurité mettent constamment en garde contre ce type de paiement. Rien ne garantit que les criminels fourniront l'outil de déchiffrement, et payer ne fait qu'alimenter le cycle des attaques futures.

Ces attaques peuvent avoir de graves conséquences, notamment pour les entreprises ou les institutions disposant de données sensibles ou irremplaçables. Le risque de perte de données, d'interruption de service et de préjudice financier est élevé. Heureusement, la meilleure défense réside dans la préparation : la sauvegarde régulière des données hors ligne ou à distance réduit considérablement l'impact d'une attaque par ransomware.

Qu'est-ce qui rend TXTME différent ?

TXTME n'est pas un simple casier de fichiers. Il est conçu pour une perturbation et une persistance plus profondes. Une fois activé, il désactive le pare-feu du système et supprime les clichés instantanés de volume, généralement utilisés par Windows pour la restauration du système et la récupération des fichiers. Il est donc beaucoup plus difficile pour les utilisateurs de récupérer des fichiers sans payer la rançon.

Le logiciel malveillant s'assure également de rester sur la machine infectée en se copiant dans le répertoire %LOCALAPPDATA% et en modifiant les clés de registre Windows pour se lancer à chaque démarrage du système. Il collecte même des données de localisation pour éviter d'infecter les systèmes dans certaines régions, ce qui suggère que ses opérateurs souhaitent éviter certains pays, peut-être pour échapper aux poursuites judiciaires ou à la surveillance des autorités de leur juridiction.

Comment TXTME se propage

Les méthodes exactes de propagation de TXTME font encore l'objet d'une enquête, mais il est probable qu'il se propage via des services RDP (Remote Desktop Protocol) exposés. Les attaquants utilisent souvent des techniques de force brute pour deviner des mots de passe faibles ou courants sur les systèmes où RDP est activé. Une fois à l'intérieur, ils déploient manuellement le rançongiciel.

Plus généralement, les rançongiciels sont généralement diffusés via des e-mails d'hameçonnage, des pièces jointes malveillantes, de fausses mises à jour logicielles, des sites web compromis ou des logiciels piratés. Ils peuvent également se propager via des clés USB, des installateurs infectés ou des vulnérabilités dans des logiciels obsolètes. Le paysage des menaces est en constante évolution, ce qui rend la vigilance essentielle.

Prévention et bonnes pratiques

La meilleure façon de se protéger contre les ransomwares comme TXTME est d'allier mesures de sécurité proactives et sensibilisation. Commencez par désactiver le RDP si ce n'est pas nécessaire. Pour les systèmes où le RDP est essentiel, utilisez des mots de passe forts et complexes et activez l'authentification multifacteur. Maintenez tous vos logiciels, systèmes d'exploitation et outils de sécurité à jour avec les derniers correctifs.

Soyez prudent lorsque vous manipulez des pièces jointes ou cliquez sur des liens, surtout s'ils proviennent de sources inconnues. Évitez de télécharger des logiciels provenant de sites web non fiables ou d'utiliser des versions piratées de programmes légitimes. Ces vecteurs courants permettent souvent aux rançongiciels de contourner les défenses.

L'importance des sauvegardes

Les sauvegardes restent l'une des contre-mesures les plus efficaces contre les rançongiciels. Conserver des copies des fichiers importants sur un appareil distinct ou un service cloud sécurisé peut réduire considérablement les dégâts. En cas d'attaque, les systèmes peuvent être effacés et restaurés sans intervention de l'attaquant.

Cependant, les sauvegardes doivent être déconnectées du système principal lorsqu'elles ne sont pas utilisées, car de nombreuses souches de ransomwares tentent également de trouver et de chiffrer les disques de sauvegarde connectés. Les sauvegardes automatiques et planifiées, avec un contrôle de version approprié, offrent la meilleure résilience.

Réflexions finales

TXTME rappelle à tous que les menaces de ransomware continuent d'évoluer et de s'adapter. Si leurs méthodes font écho à celles d'autres souches de la famille Dharma, leurs fonctionnalités sur mesure, telles que la persistance du système, la désactivation du pare-feu et l'évitement régional ciblé, témoignent d'une planification sophistiquée.

Les cybercriminels recherchent constamment de nouvelles façons d'exploiter les vulnérabilités, mais rester informé et maintenir une bonne hygiène informatique peut faire toute la différence. En comprenant le fonctionnement des menaces comme TXTME, les utilisateurs et les organisations peuvent mieux se préparer, réagir et se rétablir, sans tomber dans le piège du paiement d'une rançon numérique.

Par Willa
May 21, 2025
Ransomware
Français
May 21, 2025
Ransomware

Articles Populaires

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 1 month

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 12 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 8 months

PayPal - Arnaque par e-mail « Vous avez ajouté une nouvelle...

Il y a 3 months

Omega Ad Blocker : une extension trompeuse qui agit comme un...

Il y a 3 months

Comprendre et atténuer la menace de W32.AIDetectMalware

Il y a 10 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.