TXTME Ransomware: Cyfrowy porywacz ukrywający się na widoku

Czym jest TXTME Ransomware?

Pojawił się kolejny dodatek do niesławnej rodziny ransomware Dharma , zwany TXTME . TXTME działa według znanego, ale wciąż niebezpiecznego schematu: szyfruje pliki w systemie ofiary i żąda zapłaty w zamian za dostęp. Po zainfekowaniu urządzenia ransomware zmienia nazwy wszystkich zainfekowanych plików, dodając unikalny identyfikator ofiary, jeden z dwóch adresów e-mail kontaktowych i rozszerzenie „.TXTME”. Na przykład „photo.jpg” staje się czymś w rodzaju „photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME”.

Po zaszyfrowaniu ransomware pozostawia dwa rodzaje notatek o okupie: wyskakujące powiadomienie i plik tekstowy zatytułowany TXTME.txt . Obie wiadomości informują ofiarę, że jej dane są teraz niedostępne i oferują „rozwiązanie” — wyślij e-mail do atakującego i przygotuj się na zapłacenie okupu w Bitcoinach . Notatki ostrzegają również przed manipulacją zaszyfrowanymi plikami lub korzystaniem z zewnętrznych narzędzi do odzyskiwania, grożąc trwałą utratą danych, jeśli ofiara spróbuje wziąć sprawy w swoje ręce.

Oto treść listu z żądaniem okupu:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Zrozumienie ataków ransomware

Ransomware, takie jak TXTME, to rodzaj złośliwego oprogramowania zaprojektowanego specjalnie w celu przetrzymywania danych jako zakładników. Po uzyskaniu dostępu do systemu szyfruje pliki, blokując użytkownikom dostęp do ich informacji. Ofiary otrzymują następnie instrukcje dotyczące zapłacenia okupu, zazwyczaj w kryptowalucie, w celu otrzymania klucza deszyfrującego. Jednak eksperci ds. cyberbezpieczeństwa stale ostrzegają przed płaceniem. Nie ma gwarancji, że przestępcy udostępnią narzędzie deszyfrujące, a płacenie tylko napędza cykl przyszłych ataków.

Ataki te mogą mieć poważne konsekwencje, zwłaszcza dla firm lub instytucji z wrażliwymi lub niezastąpionymi danymi. Ryzyko utraty danych, zakłócenia usług i szkód finansowych jest wysokie. Na szczęście najlepszą obroną jest przygotowanie: regularne tworzenie kopii zapasowych danych w lokalizacjach offline lub zdalnych znacznie zmniejsza wpływ ataku ransomware.

Czym wyróżnia się TXTME?

TXTME to nie tylko prosty bloker plików. Został zaprojektowany do głębszego zakłócania i trwałości. Po aktywacji wyłącza zaporę systemową i usuwa kopie woluminów w tle, których system Windows zazwyczaj używa do przywracania systemu i odzyskiwania plików. To znacznie utrudnia użytkownikom odzyskiwanie plików bez płacenia okupu.

Malware zapewnia również, że pozostanie na zainfekowanej maszynie, kopiując się do katalogu %LOCALAPPDATA% i edytując klucze rejestru Windows, aby uruchamiały się przy każdym uruchomieniu systemu. Gromadzi nawet dane o lokalizacji, aby uniknąć infekowania systemów w określonych regionach, co sugeruje, że jego operatorzy chcą unikać określonych krajów — prawdopodobnie w celu uniknięcia konsekwencji prawnych lub uniknięcia kontroli ze strony władz w ich jurysdykcjach.

Jak rozprzestrzenia się TXTME

Dokładne metody dystrybucji TXTME są nadal badane, ale prawdopodobnie rozprzestrzenia się za pośrednictwem odsłoniętych usług Remote Desktop Protocol (RDP). Atakujący często stosują techniki brute-force, aby odgadnąć słabe lub powszechne hasła w systemach z włączonym RDP. Po dostaniu się do środka ręcznie wdrażają ransomware.

Mówiąc szerzej, ransomware jest powszechnie dostarczane za pośrednictwem wiadomości e-mail phishing, złośliwych załączników, fałszywych aktualizacji oprogramowania, zainfekowanych witryn internetowych lub dołączane do pirackiego oprogramowania. Może również rozprzestrzeniać się za pośrednictwem dysków USB, zainfekowanych instalatorów lub luk w zabezpieczeniach przestarzałego oprogramowania. Krajobraz zagrożeń stale ewoluuje, co sprawia, że czujność jest niezbędna.

Zapobieganie i najlepsze praktyki

Najlepszym sposobem ochrony przed ransomware, takim jak TXTME, jest połączenie proaktywnych środków bezpieczeństwa i świadomości. Zacznij od wyłączenia RDP, jeśli nie jest to konieczne. W przypadku systemów, w których RDP jest niezbędne, używaj silnych, złożonych haseł i włącz uwierzytelnianie wieloskładnikowe. Utrzymuj wszystkie programy, systemy operacyjne i narzędzia bezpieczeństwa na bieżąco, aktualizując je o najnowsze poprawki.

Zachowaj ostrożność podczas obsługi załączników e-mail lub klikania linków, zwłaszcza gdy pochodzą z nieznanych źródeł. Unikaj pobierania oprogramowania z niepewnych witryn lub korzystania z crackowanych wersji legalnych programów. Te typowe wektory to sposób, w jaki ransomware często omija obronę.

Znaczenie kopii zapasowych

Kopie zapasowe pozostają jedną z najsilniejszych metod przeciwdziałania ransomware. Przechowywanie kopii ważnych plików na oddzielnym urządzeniu lub w bezpiecznej usłudze w chmurze może drastycznie zmniejszyć szkody. W przypadku ataku systemy można wyczyścić i przywrócić bez konieczności angażowania się w atak.

Jednak kopie zapasowe powinny być odłączane od głównego systemu, gdy nie są używane, ponieważ wiele odmian ransomware próbuje również znaleźć i zaszyfrować podłączone dyski kopii zapasowych. Zaplanowane, automatyczne kopie zapasowe z odpowiednią kontrolą wersji oferują największą odporność.

Ostatnie przemyślenia

TXTME przypomina wszystkim, że zagrożenia ransomware wciąż ewoluują i dostosowują się. Podczas gdy jego metody przypominają inne odmiany rodziny Dharma, jego dostosowane funkcje — takie jak trwałość systemu, wyłączanie zapory i ukierunkowane unikanie regionalne — wykazują wyrafinowany poziom planowania.

Cyberprzestępcy nieustannie poszukują nowych sposobów na wykorzystanie luk, ale pozostawanie poinformowanym i utrzymywanie dobrej cyberhigieny może mieć znaczący wpływ. Dzięki zrozumieniu, jak działają zagrożenia takie jak TXTME, użytkownicy i organizacje mogą lepiej się przygotować, reagować i odzyskiwać dane — bez wpadania w pułapkę płacenia cyfrowego okupu.

Do Willa
May 21, 2025
Ransomware
Polski
May 21, 2025
Ransomware

Popularne posty

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

1 month temu

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

12 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

8 months temu

PayPal - Dodałeś nowy adres e-mail Oszustwo

3 months temu

Omega Ad Blocker: Mylące rozszerzenie działające jak adware

3 months temu

Zrozumienie i ograniczenie zagrożenia W32.AIDetectMalware

10 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.