TXTME Ransomware: een digitale ontvoerder die zich in het zicht verbergt

Wat is TXTME Ransomware?

Er is een nieuwe toevoeging aan de beruchte Dharma-ransomwarefamilie opgedoken, genaamd TXTME . TXTME volgt een inmiddels bekend, maar nog steeds gevaarlijk werkingspatroon: het versleutelt bestanden op het systeem van een slachtoffer en eist betaling in ruil voor toegang. Zodra het een apparaat infecteert, verandert de ransomware alle getroffen bestandsnamen door een unieke slachtoffer-ID, een van de twee contact-e-mailadressen en de extensie ".TXTME" toe te voegen. "Foto.jpg" wordt bijvoorbeeld zoiets als "Foto.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME."

Na versleuteling laat de ransomware twee soorten losgeldberichten achter: een pop-upmelding en een tekstbestand met de naam TXTME.txt . Beide berichten informeren het slachtoffer dat zijn of haar gegevens nu ontoegankelijk zijn en bieden een "oplossing": stuur de aanvaller een e-mail en bereid je voor op het betalen van losgeld in Bitcoin . De berichten waarschuwen ook tegen manipulatie van de versleutelde bestanden of het gebruik van externe hersteltools, waardoor permanent gegevensverlies dreigt als het slachtoffer probeert het heft in eigen handen te nemen.

Dit staat er in de losgeldbrief:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Inzicht in ransomware-aanvallen

Ransomware zoals TXTME is een type kwaadaardige software dat specifiek is ontworpen om gegevens te gijzelen. Nadat toegang is verkregen tot een systeem, versleutelt het bestanden, waardoor gebruikers geen toegang meer hebben tot hun gegevens. Slachtoffers krijgen vervolgens instructies om losgeld te betalen, meestal in cryptovaluta, om een decryptiesleutel te ontvangen. Cybersecurityexperts waarschuwen echter consequent tegen betalen. Er is geen garantie dat de criminelen de decryptietool zullen verstrekken, en betalen voedt alleen maar de cyclus van toekomstige aanvallen.

Deze aanvallen kunnen ernstige gevolgen hebben, vooral voor bedrijven of instellingen met gevoelige of onvervangbare gegevens. Het risico op gegevensverlies, verstoring van de dienstverlening en financiële schade is groot. Gelukkig is voorbereiding de beste verdediging: regelmatig een back-up maken van gegevens naar offline of externe locaties vermindert de impact van een ransomware-aanval aanzienlijk.

Wat maakt TXTME anders?

TXTME is niet zomaar een simpele bestandskluis. Het is ontworpen voor diepere verstoring en persistentie. Eenmaal actief, schakelt het de firewall van het systeem uit en verwijdert het Volume Shadow Copies, die Windows doorgaans gebruikt voor systeemherstel en bestandsherstel. Dit maakt het voor gebruikers veel moeilijker om bestanden te herstellen zonder losgeld te betalen.

De malware zorgt er ook voor dat hij op de geïnfecteerde machine blijft door zichzelf te kopiëren naar de map %LOCALAPPDATA% en Windows-registersleutels te bewerken, zodat deze telkens worden gestart wanneer het systeem opstart. Het verzamelt zelfs locatiegegevens om te voorkomen dat systemen in bepaalde regio's worden geïnfecteerd, wat suggereert dat de beheerders bepaalde landen willen vermijden – mogelijk om juridische gevolgen te ontlopen of controle door de autoriteiten in hun jurisdictie te vermijden.

Hoe TXTME zich verspreidt

De exacte verspreidingsmethoden van TXTME worden nog onderzocht, maar de ransomware verspreidt zich waarschijnlijk via blootgestelde Remote Desktop Protocol (RDP)-services. Aanvallers gebruiken vaak bruteforce-technieken om zwakke of veelgebruikte wachtwoorden te raden op systemen met RDP ingeschakeld. Eenmaal binnen, implementeren ze de ransomware handmatig.

In bredere zin wordt ransomware vaak verspreid via phishingmails, schadelijke bijlagen, nep-software-updates, gehackte websites of gebundeld met illegale software. Het kan zich ook verspreiden via USB-sticks, geïnfecteerde installatieprogramma's of kwetsbaarheden in verouderde software. Het dreigingslandschap verandert voortdurend, waardoor waakzaamheid essentieel is.

Preventie en beste praktijken

De beste manier om je te beschermen tegen ransomware zoals TXTME is door een combinatie van proactieve beveiligingsmaatregelen en bewustwording. Begin met het uitschakelen van RDP als dat niet nodig is. Gebruik voor systemen waar RDP essentieel is sterke, complexe wachtwoorden en schakel multi-factor authenticatie in. Houd alle software, besturingssystemen en beveiligingstools up-to-date met de nieuwste patches.

Wees voorzichtig met het verwerken van e-mailbijlagen en het klikken op links, vooral wanneer deze afkomstig zijn van onbekende bronnen. Download geen software van onbetrouwbare websites en gebruik geen gekraakte versies van legitieme programma's. Deze veelvoorkomende vectoren zijn hoe ransomware vaak langs de verdediging glipt.

Het belang van back-ups

Back-ups blijven een van de sterkste tegenmaatregelen tegen ransomware. Het bewaren van kopieën van belangrijke bestanden op een apart apparaat of een beveiligde cloudservice kan de schade drastisch beperken. In geval van een aanval kunnen systemen worden gewist en hersteld zonder tussenkomst van de aanvaller.

Back-ups moeten echter losgekoppeld worden van het hoofdsysteem wanneer ze niet in gebruik zijn, aangezien veel ransomwarevarianten ook proberen aangesloten back-upstations te vinden en te versleutelen. Geplande, automatische back-ups met goed versiebeheer bieden de meeste veerkracht.

Laatste gedachten

TXTME herinnert iedereen eraan dat ransomware-dreigingen zich blijven ontwikkelen en aanpassen. Hoewel de methoden vergelijkbaar zijn met die van andere varianten van de Dharma-familie, getuigen de op maat gemaakte functies – zoals systeempersistentie, firewall-uitschakeling en gerichte regionale vermijding – van een geavanceerd planningsniveau.

Cybercriminelen zijn voortdurend op zoek naar nieuwe manieren om kwetsbaarheden te misbruiken, maar goed geïnformeerd blijven en een goede cyberhygiëne handhaven kan een groot verschil maken. Door te begrijpen hoe bedreigingen zoals TXTME werken, kunnen gebruikers en organisaties zich beter voorbereiden, reageren en herstellen – zonder in de valkuil te trappen van het betalen van digitaal losgeld.

Tegen Willa
May 21, 2025
Ransomware
Nederlands
May 21, 2025
Ransomware

Populaire posts

Eporner.com en waarom de overmatige pop-ups riskant zijn

1 month geleden

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

12 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

8 months geleden

PayPal - U heeft een nieuw adres toegevoegd E-mailfraude

3 months geleden

Omega Ad Blocker: een misleidende extensie die als adware...

3 months geleden

Begrijp en verminder de dreiging van W32.AIDetectMalware

10 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.