Ransomware TXTME: un rapitore digitale nascosto in bella vista

Che cosa è il ransomware TXTME?

È emersa un'altra aggiunta alla famigerata famiglia di ransomware Dharma , chiamata TXTME . TXTME segue uno schema operativo ormai familiare ma ancora pericoloso: crittografa i file sul sistema della vittima e richiede un pagamento in cambio dell'accesso. Una volta infettato un dispositivo, il ransomware modifica i nomi di tutti i file interessati aggiungendo un ID univoco della vittima, uno dei due indirizzi email di contatto e l'estensione ".TXTME". Ad esempio, "photo.jpg" diventa simile a "photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME".

Una volta crittografati, i ransomware lasciano due tipi di richieste di riscatto: una notifica pop-up e un file di testo denominato TXTME.txt . Entrambi i messaggi informano la vittima che i suoi dati sono ora inaccessibili e offrono una "soluzione": inviare un'e-mail all'aggressore e prepararsi a pagare un riscatto in Bitcoin . Le note mettono inoltre in guardia contro la manomissione dei file crittografati o l'utilizzo di strumenti di recupero esterni, minacciando la perdita permanente dei dati se la vittima tenta di agire autonomamente.

Ecco cosa dice la richiesta di riscatto:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Capire gli attacchi ransomware

Un ransomware come TXTME è un tipo di software dannoso progettato specificamente per tenere in ostaggio i dati. Dopo aver ottenuto l'accesso a un sistema, crittografa i file, impedendo agli utenti di accedere alle loro informazioni. Alle vittime viene quindi chiesto di pagare un riscatto, solitamente in criptovaluta, per ricevere una chiave di decrittazione. Tuttavia, gli esperti di sicurezza informatica sconsigliano costantemente di pagare. Non c'è alcuna garanzia che i criminali forniscano lo strumento di decrittazione e pagare non fa altro che alimentare il ciclo di attacchi futuri.

Questi attacchi possono avere gravi conseguenze, soprattutto per aziende o istituzioni che dispongono di dati sensibili o insostituibili. Il rischio di perdita di dati, interruzione del servizio e danni finanziari è elevato. Fortunatamente, la migliore difesa è la preparazione: eseguire regolarmente il backup dei dati su postazioni offline o remote riduce significativamente l'impatto di un attacco ransomware.

Cosa rende TXTME diverso?

TXTME non è solo un semplice file locker. È progettato per un'interruzione più profonda e per una maggiore persistenza. Una volta attivo, disabilita il firewall di sistema ed elimina le copie shadow del volume, che Windows in genere utilizza per il ripristino del sistema e il recupero dei file. Questo rende molto più difficile per gli utenti recuperare i file senza pagare il riscatto.

Il malware si assicura inoltre di rimanere sul computer infetto copiandosi nella directory %LOCALAPPDATA% e modificando le chiavi del registro di sistema di Windows per avviarsi a ogni avvio del sistema. Raccoglie persino dati sulla posizione per evitare di infettare i sistemi in determinate regioni, il che suggerisce che i suoi operatori vogliano evitare determinati Paesi, probabilmente per eludere conseguenze legali o evitare controlli da parte delle autorità nelle loro giurisdizioni.

Come si diffonde TXTME

I metodi esatti di distribuzione di TXTME sono ancora oggetto di studio, ma è probabile che si diffonda attraverso servizi Remote Desktop Protocol (RDP) esposti. Gli aggressori utilizzano spesso tecniche di forza bruta per indovinare password deboli o comuni su sistemi con RDP abilitato. Una volta all'interno, distribuiscono manualmente il ransomware.

In termini più generali, il ransomware viene comunemente diffuso tramite email di phishing, allegati dannosi, falsi aggiornamenti software, siti web compromessi o in bundle con software pirata. Può diffondersi anche tramite unità USB, programmi di installazione infetti o vulnerabilità presenti in software obsoleti. Il panorama delle minacce è in continua evoluzione, rendendo fondamentale la vigilanza.

Prevenzione e buone pratiche

Il modo migliore per proteggersi da ransomware come TXTME è attraverso una combinazione di misure di sicurezza proattive e consapevolezza. Inizia disabilitando l'RDP se non è necessario. Per i sistemi in cui l'RDP è essenziale, utilizza password complesse e complesse e abilita l'autenticazione a più fattori. Mantieni tutti i software, i sistemi operativi e gli strumenti di sicurezza aggiornati con le patch più recenti.

Prestate attenzione quando maneggiate allegati email o cliccate su link, soprattutto se provenienti da fonti sconosciute. Evitate di scaricare software da siti web non attendibili o di utilizzare versioni craccate di programmi legittimi. Questi vettori comuni sono il modo in cui il ransomware spesso elude le difese.

L'importanza dei backup

I backup rimangono una delle contromisure più efficaci contro il ransomware. Conservare copie dei file importanti su un dispositivo separato o su un servizio cloud sicuro può ridurre drasticamente i danni. In caso di attacco, i sistemi possono essere cancellati e ripristinati senza dover interagire con l'aggressore.

Tuttavia, i backup dovrebbero essere scollegati dal sistema principale quando non vengono utilizzati, poiché molti ceppi di ransomware tentano di trovare e crittografare anche le unità di backup collegate. I backup automatici pianificati con un adeguato controllo delle versioni offrono la massima resilienza.

Considerazioni finali

TXTME ricorda a tutti che le minacce ransomware continuano a evolversi e ad adattarsi. Sebbene i suoi metodi riecheggino quelli di altri ceppi della famiglia Dharma, le sue funzionalità personalizzate, come la persistenza del sistema, la disattivazione del firewall e l'elusione mirata di determinate aree geografiche, dimostrano un livello di pianificazione sofisticato.

I criminali informatici sono costantemente alla ricerca di nuovi modi per sfruttare le vulnerabilità, ma rimanere informati e mantenere una buona igiene informatica può fare una differenza significativa. Comprendendo il funzionamento di minacce come TXTME, utenti e organizzazioni possono prepararsi, rispondere e recuperare al meglio, senza cadere nella trappola di pagare un riscatto digitale.

Entro il Willa
May 21, 2025
Ransomware
Italiano
May 21, 2025
Ransomware

Post popolari

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

1 month fa

Cos'è il file OperaGXSetup.exe ed è dannoso?

12 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

8 months fa

PayPal - Hai aggiunto un nuovo indirizzo email truffa

3 months fa

Omega Ad Blocker: un'estensione fuorviante che agisce come adware

3 months fa

Comprendere e mitigare la minaccia del malware W32.AIDetect

10 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.