Ransomware Tcvjuo atakuje podmioty biznesowe

Podczas naszej analizy próbek złośliwego oprogramowania napotkaliśmy wariant o nazwie Tcvjuo, który należy do rodziny ransomware Snatch. Tcvjuo jest specjalnie zaprojektowany do szyfrowania plików poprzez dołączanie rozszerzenia (.tcvjuo) do nazw plików. Aby powiadomić ofiary o zaszyfrowaniu, generowane jest żądanie okupu zatytułowane „JAK PRZYWRÓCIĆ PLIKI TCVJUO.TXT”.

Aby dać przykład tego, jak Tcvjuo modyfikuje pliki, zmienia nazwy „1.jpg” na „1.jpg.tcvjuo”, „2.png” na „2.png.tcvjuo” i tak dalej.

Żądanie okupu informuje ofiary, że ich sieć przeszła test penetracyjny, w wyniku którego zaszyfrowano ich pliki. Dodatkowo twierdzi, że podczas tego procesu pobrano ponad 100 GB danych, w tym różnego rodzaju informacje, takie jak dane osobowe, dane marketingowe, poufne dokumenty, informacje księgowe, bazy danych SQL i kopie skrzynek pocztowych.

Notatka ostrzega przed próbami odszyfrowania plików samodzielnie lub przy użyciu narzędzi innych firm, podkreślając, że tylko narzędzie posiadane przez atakujących może pomyślnie przywrócić pliki. Aby zażądać narzędzia do odszyfrowania, ofiary są proszone o skontaktowanie się z atakującymi za pośrednictwem podanych adresów e-mail: master1restore@cock.li lub 2020host2021@tutanota.com.

Ponadto żądanie okupu stwierdza, że jeśli ofiary nie nawiążą kontaktu w ciągu trzech dni, cyberprzestępcy mogą zdecydować się na opublikowanie plików online.

Notatka Tcvjuo dotycząca okupu sugeruje, że hakerzy atakują firmy

Pełny tekst żądania okupu od Tcvjuo brzmi następująco:

CAŁA SIEĆ JEST SZYFROWANA TWOJA FIRMA STRACI PIENIĄDZE!

Drogi Zarządzie! Informujemy, że Twoja sieć przeszła test penetracyjny, podczas którego zaszyfrowaliśmy
swoje pliki i pobrał ponad 100 GB danych

Dane osobiste
Dane marketingowe
Dokumenty poufne
Rachunkowość
Kopie niektórych skrzynek pocztowych

Ważny! Nie próbuj odszyfrowywać plików samodzielnie ani za pomocą narzędzi innych firm.
Jedynym programem, który może je odszyfrować, jest nasz deszyfrator, o który możesz poprosić, korzystając z poniższych kontaktów.
Każdy inny program uszkodzi pliki tylko w taki sposób, że nie będzie można ich przywrócić.
Napisz do nas bezpośrednio, bez uciekania się do pośredników, oszukają Cię.

Możesz zdobyć wszystkie niezbędne dowody, przedyskutować z nami możliwe rozwiązania tego problemu i poprosić o deszyfrator
korzystając z poniższych kontaktów.
Bezpłatne odszyfrowywanie jako gwarancja. Wyślij nam 3 pliki do bezpłatnego odszyfrowania.
Całkowity rozmiar pliku nie powinien przekraczać 1 MB! (nie w archiwum).

Informujemy, że jeśli nie otrzymamy od Państwa odpowiedzi w ciągu 3 dni, zastrzegamy sobie prawo do upublicznienia plików.

Skontaktuj się z nami:
master1restore@cock.li lub 2020host2021@tutanota.com

Jak możesz chronić swoje dane przed oprogramowaniem ransomware, takim jak Tcvjuo?

Ochrona danych przed oprogramowaniem ransomware, takim jak Tcvjuo, wymaga wdrożenia skutecznych środków bezpieczeństwa. Oto kilka kroków, które możesz podjąć, aby chronić swoje dane:

• Aktualizuj oprogramowanie: regularnie aktualizuj system operacyjny, oprogramowanie antywirusowe i inne aplikacje, aby mieć pewność, że masz najnowsze poprawki zabezpieczeń i zabezpieczenia przed znanymi lukami w zabezpieczeniach.
• Zainstaluj niezawodne oprogramowanie antywirusowe: Używaj renomowanego oprogramowania antywirusowego lub chroniącego przed złośliwym oprogramowaniem i aktualizuj je. Pomoże to wykryć i zablokować złośliwe pliki lub podejrzane działania związane z oprogramowaniem ransomware.
• Uważaj na załączniki do wiadomości e-mail i pliki do pobrania: Zachowaj ostrożność podczas otwierania załączników do wiadomości e-mail lub pobierania plików z Internetu, zwłaszcza jeśli pochodzą one z nieznanych lub niezaufanych źródeł. Przeskanuj wszystkie załączniki i pliki do pobrania za pomocą oprogramowania antywirusowego przed ich otwarciem.
• Włącz automatyczne kopie zapasowe: regularnie twórz kopie zapasowe ważnych plików i upewnij się, że kopie zapasowe są przechowywane w oddzielnej lokalizacji, najlepiej w trybie offline lub w chmurze. Automatyczne kopie zapasowe zapewniają dodatkową warstwę ochrony przed utratą danych w przypadku ataku ransomware.
• Używaj silnych, unikalnych haseł: Twórz silne, złożone hasła do wszystkich swoich kont i unikaj używania tego samego hasła na wielu platformach. Rozważ użycie menedżera haseł do bezpiecznego przechowywania i generowania unikalnych haseł.
• Włącz uwierzytelnianie dwuskładnikowe (2FA): Włącz uwierzytelnianie 2FA, gdy tylko jest to możliwe, dla kont internetowych. Dodaje to dodatkową warstwę bezpieczeństwa, wymagając dodatkowego kroku weryfikacji, takiego jak unikalny kod wysyłany na urządzenie mobilne podczas logowania.
• Użyj niezawodnej zapory sieciowej: upewnij się, że masz solidną zaporę sieciową do monitorowania i kontrolowania przychodzącego i wychodzącego ruchu sieciowego. Zapora ogniowa może pomóc wykrywać i blokować próby nieautoryzowanego dostępu, zmniejszając ryzyko infekcji ransomware.