Tutu Ransomware crittografa la maggior parte dei file

Tutu, un ransomware associato alla famiglia Dharma, mira a bloccare l'accesso delle vittime ai propri file tramite crittografia. Questo malware utilizza uno schema di denominazione specifico per i file e presenta una finestra pop-up insieme alla creazione di un file "README!.txt" contenente un messaggio di riscatto.

Il ransomware altera i nomi dei file aggiungendo l'ID della vittima, l'indirizzo email "tutu@download_file" e l'estensione ".tutu". Ad esempio, trasforma "1.jpg" in "1.jpg.id-9ECFA84E.[tutu@download_file].tutu" e "2.png" in "2.png.id-9ECFA84E.[tutu@download_file] .tutu."

La richiesta di riscatto afferma che gli aggressori hanno scaricato e crittografato tutti i database e i dati personali, minacciando di pubblicare e vendere le informazioni su darknet e piattaforme di hacker. Se la vittima non risponde entro un solo giorno, i dati vengono offerti ai concorrenti. L'e-mail di contatto designata è tutu@onionmail.org, sottolineando la necessità di una risposta rapida.

Per garantire il rilascio dei dati, il riscatto richiede il pagamento. Assicura che al momento del pagamento i dati verranno decrittografati. La nota mette esplicitamente in guardia contro l'utilizzo di software di decrittazione di terze parti, affermando che solo gli aggressori possiedono le chiavi di decrittazione necessarie. Per fornire una sorta di garanzia, gli aggressori offrono un test gratuito della chiave di decrittazione su un singolo file.

Nota di riscatto di Tutu per intero

Il testo completo della richiesta di riscatto di Tutu recita quanto segue:

We downloaded to our servers and encrypted all your databases and personal information!
If you do not write to us within 24 hours, we will start publishing and selling your data on the darknet on hacker sites and offer the information to your competitors
email us: tutu@onionmail.org YOUR ID -
If you haven't heard back within 24 hours, write to this email:tutu@onionmail.org
IMPORTANT INFORMATION!
Keep in mind that once your data appears on our leak site,it could be bought by your competitors at any second, so don't hesitate for a long time.The sooner you pay the ransom, the sooner your company will be safe.
Guarantee:If we don't provide you with a decryptor or delete your data after you pay,no one will pay us in the future. We value our reputation.
Guarantee key:To prove that the decryption key exists, we can test the file (not the database and backup) for free.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Don't go to recovery companies - they are essentially just middlemen.Decryption of your files with the help of third parties may cause increased price (they add their fee to our) we're the only ones who have the decryption keys.

In che modo un ransomware simile a Tutu può infettare il tuo sistema?

Il ransomware, comprese le varianti simili a Tutu, può infettare un sistema attraverso vari metodi. Ecco alcuni modi comuni in cui questo ransomware può infiltrarsi nel tuo sistema:

E-mail di phishing: i criminali informatici spesso utilizzano e-mail di phishing per distribuire ransomware. Possono inviare e-mail apparentemente legittime contenenti allegati o collegamenti dannosi. Una volta che l'utente apre l'allegato o fa clic sul collegamento, il ransomware viene scaricato ed eseguito nel sistema.

Siti Web dannosi: visitare siti Web compromessi o dannosi può esporre il sistema al ransomware. Quando si accede a tali siti Web, possono verificarsi download automatici o sfruttamento delle vulnerabilità nei browser e nei plug-in, con conseguente installazione di ransomware.

Sfruttare le vulnerabilità del software: il ransomware può sfruttare le vulnerabilità della sicurezza nel sistema operativo, nel software o nelle applicazioni. Il mancato aggiornamento e patch periodico di questi componenti può rendere il sistema vulnerabile allo sfruttamento.

Malvertising: i criminali informatici possono utilizzare pubblicità dannose (malvertising) su siti Web legittimi per distribuire ransomware. Facendo clic su questi annunci è possibile attivare il download e l'installazione di ransomware sul tuo sistema.

Attacchi RDP (Remote Desktop Protocol): se la connessione Desktop remoto non è adeguatamente protetta, gli aggressori potrebbero sfruttare password deboli o vulnerabilità in RDP per ottenere accesso non autorizzato al sistema e distribuire ransomware.

Dispositivi esterni infetti: il ransomware può diffondersi attraverso dispositivi esterni infetti come unità USB o dischi rigidi esterni. Collegare un dispositivo infetto al tuo sistema potrebbe causare la diffusione del ransomware tra i tuoi file.