TXTME išpirkos reikalaujanti programa: skaitmeninis pagrobėjas, besislepiantis akyse
Table of Contents
Kas yra TXTME išpirkos reikalaujanti programa?
Pasirodė dar vienas liūdnai pagarsėjusios „Dharma“ išpirkos reikalaujančių programų šeimos narys – TXTME . TXTME veikia pagal jau pažįstamą, bet vis dar pavojingą veikimo modelį: ji šifruoja failus aukos sistemoje ir reikalauja mokėjimo už prieigą. Užkrėtusi įrenginį, išpirkos reikalaujanti programa pakeičia visų paveiktų failų pavadinimus, pridėdama unikalų aukos ID, vieną iš dviejų kontaktinių el. pašto adresų ir plėtinį „.TXTME“. Pavyzdžiui, „photo.jpg“ tampa kažkuo panašiu į „photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME“.
Užšifravimo metu išpirkos reikalaujanti programa palieka dviejų tipų išpirkos raštelius: iššokantįjį pranešimą ir tekstinį failą pavadinimu TXTME.txt . Abu pranešimai informuoja auką, kad jos duomenys dabar nepasiekiami, ir siūlo „sprendimą“ – išsiųsti el. laišką užpuolikui ir pasiruošti sumokėti išpirką bitkoinais . Užrašuose taip pat įspėjama nekeisti užšifruotų failų ar nenaudoti išorinių atkūrimo įrankių, grasinant visam laikui prarasti duomenis, jei auka bandys imtis reikalų į savo rankas.
Štai kas rašoma išpirkos raštelyje:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Išpirkos reikalaujančių programų atakų supratimas
Išpirkos reikalaujanti programinė įranga, tokia kaip TXTME, yra kenkėjiška programinė įranga, specialiai sukurta duomenims laikyti įkaitais. Gavusi prieigą prie sistemos, ji užšifruoja failus, užblokuodama vartotojams prieigą prie jų informacijos. Tada aukoms nurodoma sumokėti išpirką, paprastai kriptovaliuta, kad gautų iššifravimo raktą. Tačiau kibernetinio saugumo ekspertai nuolat perspėja nemokėti. Nėra jokios garantijos, kad nusikaltėliai pateiks iššifravimo įrankį, o mokėjimas tik kursto būsimų atakų ciklą.
Šios atakos gali turėti rimtų pasekmių, ypač įmonėms ar įstaigoms, turinčioms jautrių ar nepakeičiamų duomenų. Duomenų praradimo, paslaugų sutrikdymo ir finansinės žalos rizika yra didelė. Laimei, geriausia apsauga yra pasiruošimas: reguliarus duomenų atsarginių kopijų kūrimas neprisijungus prie interneto arba nuotolinėse vietose žymiai sumažina išpirkos reikalaujančios programinės įrangos atakos poveikį.
Kuo TXTME skiriasi?
„TXTME“ nėra tiesiog paprasta failų saugykla. Ji sukurta didesniam trikdymui ir duomenų saugojimui. Kai tik ji suaktyvinama, išjungia sistemos užkardą ir ištrina šešėlines kopijas (Volume Shadow Copies), kurias „Windows“ paprastai naudoja sistemai atkurti ir failams atkurti. Dėl to vartotojams daug sunkiau atkurti failus nesumokėjus išpirkos.
Kenkėjiška programa taip pat užtikrina, kad ji liktų užkrėstame kompiuteryje, nukopijuodama save į katalogą %LOCALAPPDATA% ir redaguodama „Windows“ registro raktus, kad jie būtų paleidžiami kiekvieną kartą paleidžiant sistemą. Ji netgi renka vietos duomenis, kad išvengtų sistemų užkrėtimo tam tikruose regionuose, o tai rodo, kad jos operatoriai nori vengti konkrečių šalių – galbūt norėdami išvengti teisinių pasekmių arba valdžios institucijų kontrolės savo jurisdikcijose.
Kaip plinta TXTME
Tikslūs TXTME platinimo metodai vis dar tiriami, tačiau tikėtina, kad jis plinta per pažeidžiamas nuotolinio darbalaukio protokolo (RDP) paslaugas. Užpuolikai dažnai naudoja „brute-force“ metodus, kad atspėtų silpnus arba dažnai naudojamus slaptažodžius sistemose, kuriose įjungtas RDP. Patekę į vidų, jie rankiniu būdu įdiegia išpirkos reikalaujančią programinę įrangą.
Plačiau žiūrint, išpirkos reikalaujanti programinė įranga dažniausiai platinama per sukčiavimo el. laiškus, kenkėjiškus priedus, netikrus programinės įrangos atnaujinimus, pažeistas svetaines arba kartu su piratine programine įranga. Ji taip pat gali plisti per USB atmintines, užkrėstus diegimo failus arba pasenusios programinės įrangos pažeidžiamumus. Grėsmių aplinka nuolat kinta, todėl budrumas yra būtinas.
Prevencija ir geriausia praktika
Geriausias būdas apsisaugoti nuo išpirkos reikalaujančių programų, tokių kaip TXTME, yra aktyvių saugumo priemonių ir sąmoningumo derinys. Pradėkite išjungdami RDP, jei tai nebūtina. Sistemose, kuriose RDP yra būtinas, naudokite stiprius, sudėtingus slaptažodžius ir įjunkite daugiafaktorinį autentifikavimą. Nuolat atnaujinkite visą programinę įrangą, operacines sistemas ir saugumo įrankius su naujausiais pataisymais.
Būkite atsargūs tvarkydami el. laiškų priedus arba spustelėdami nuorodas, ypač jei jos gautos iš nepažįstamų šaltinių. Venkite atsisiųsti programinės įrangos iš nepatikimų svetainių ir nenaudoti nulaužtų teisėtų programų versijų. Būtent šie įprasti vektoriai yra tai, kaip išpirkos reikalaujančios programinės įrangos dažnai praslysta pro apsaugą.
Atsarginių kopijų svarba
Atsarginės kopijos išlieka viena stipriausių priemonių prieš išpirkos reikalaujančias programas. Svarbių failų kopijų laikymas atskirame įrenginyje arba saugioje debesijos paslaugoje gali smarkiai sumažinti žalą. Atakos atveju sistemas galima ištrinti ir atkurti nebendraujant su užpuoliku.
Tačiau atsargines kopijas reikėtų atjungti nuo pagrindinės sistemos, kai jos nenaudojamos, nes daugelis išpirkos reikalaujančių programų bando rasti ir užšifruoti prijungtus atsarginių kopijų diskus. Suplanuotos, automatinės atsarginės kopijos su tinkama versijų kontrole pasižymi didžiausiu atsparumu.
Baigiamosios mintys
„TXTME“ primena visiems, kad išpirkos reikalaujančių programų grėsmės nuolat vystosi ir prisitaiko. Nors jos metodai atkartoja kitas „Dharma“ šeimos atmainas, jos pritaikytos funkcijos, tokios kaip sistemos išsaugojimas, užkardos išjungimas ir tikslinis regioninis vengimas, rodo sudėtingą planavimo lygį.
Kibernetiniai nusikaltėliai nuolat ieško naujų būdų, kaip išnaudoti pažeidžiamumus, tačiau nuolatinis informuotumas ir geros kibernetinės higienos palaikymas gali turėti didelės įtakos. Suprasdami, kaip veikia tokios grėsmės kaip TXTME, vartotojai ir organizacijos gali geriau pasiruošti, reaguoti ir atsigauti, nepakliūdami į skaitmeninės išpirkos mokėjimo spąstus.
