Ransomware TXTME: um sequestrador digital escondido à vista de todos

O que é o TXTME Ransomware?

Surgiu mais um membro da infame família de ransomware Dharma , o TXTME . O TXTME segue um padrão de operação já conhecido, mas ainda perigoso: criptografa arquivos no sistema da vítima e exige pagamento em troca do acesso. Ao infectar um dispositivo, o ransomware altera todos os nomes de arquivos afetados, anexando um ID exclusivo da vítima, um de dois e-mails de contato e a extensão ".TXTME". Por exemplo, "photo.jpg" se torna algo como "photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME".

Após a criptografia, o ransomware deixa dois tipos de notas de resgate: uma notificação pop-up e um arquivo de texto intitulado TXTME.txt . Ambas as mensagens informam a vítima de que seus dados estão inacessíveis e oferecem uma "solução": enviar um e-mail ao invasor e se preparar para pagar o resgate em Bitcoin . As notas também alertam contra adulteração dos arquivos criptografados ou uso de ferramentas externas de recuperação, ameaçando a vítima com perda permanente de dados caso tente resolver o problema por conta própria.

Veja o que diz a nota de resgate:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Compreendendo os ataques de ransomware

Ransomwares como o TXTME são um tipo de software malicioso projetado especificamente para manter dados reféns. Após obter acesso a um sistema, ele criptografa arquivos, impedindo que os usuários acessem suas informações. As vítimas recebem instruções para pagar um resgate, geralmente em criptomoedas, para receber uma chave de descriptografia. No entanto, especialistas em segurança cibernética alertam constantemente contra o pagamento. Não há garantia de que os criminosos fornecerão a ferramenta de descriptografia, e pagar apenas alimenta o ciclo de ataques futuros.

Esses ataques podem ter consequências graves, especialmente para empresas ou instituições com dados sensíveis ou insubstituíveis. O risco de perda de dados, interrupção de serviços e prejuízos financeiros é alto. Felizmente, a melhor defesa é a preparação: fazer backups regulares dos dados em locais offline ou remotos reduz significativamente o impacto de um ataque de ransomware.

O que torna o TXTME diferente?

O TXTME não é apenas um simples bloqueador de arquivos. Ele foi projetado para causar interrupções e persistência mais profundas. Uma vez ativo, ele desativa o firewall do sistema e exclui as Cópias de Sombra de Volume, que o Windows normalmente usa para restauração do sistema e recuperação de arquivos. Isso torna muito mais difícil para os usuários recuperarem arquivos sem pagar o resgate.

O malware também garante sua permanência na máquina infectada, copiando-se para o diretório %LOCALAPPDATA% e editando as chaves de registro do Windows para que sejam iniciadas sempre que o sistema for inicializado. Ele até coleta dados de localização para evitar a infecção de sistemas em determinadas regiões, sugerindo que seus operadores desejam evitar determinados países — possivelmente para evitar consequências legais ou o escrutínio das autoridades em suas jurisdições.

Como o TXTME se espalha

Os métodos exatos de distribuição do TXTME ainda estão sob investigação, mas é provável que ele se espalhe por meio de serviços expostos do Protocolo de Área de Trabalho Remota (RDP). Os invasores costumam usar técnicas de força bruta para adivinhar senhas fracas ou comuns em sistemas com RDP habilitado. Uma vez dentro do sistema, eles implantam manualmente o ransomware.

De forma mais ampla, o ransomware é comumente distribuído por meio de e-mails de phishing, anexos maliciosos, atualizações falsas de software, sites comprometidos ou em conjunto com software pirata. Ele também pode se espalhar por meio de pen drives, instaladores infectados ou vulnerabilidades em softwares desatualizados. O cenário de ameaças está em constante evolução, tornando a vigilância essencial.

Prevenção e Boas Práticas

A melhor maneira de se proteger contra ransomwares como o TXTME é por meio de uma combinação de medidas proativas de segurança e conscientização. Comece desabilitando o RDP se não for necessário. Para sistemas onde o RDP é essencial, use senhas fortes e complexas e habilite a autenticação multifator. Mantenha todos os softwares, sistemas operacionais e ferramentas de segurança atualizados com os patches mais recentes.

Tenha cuidado ao manusear anexos de e-mail ou clicar em links, especialmente se vierem de fontes desconhecidas. Evite baixar softwares de sites não confiáveis ou usar versões crackeadas de programas legítimos. Esses vetores comuns são a forma como o ransomware frequentemente passa pelas defesas.

A importância dos backups

Os backups continuam sendo uma das medidas mais eficazes contra ransomware. Manter cópias de arquivos importantes em um dispositivo separado ou em um serviço de nuvem seguro pode reduzir drasticamente os danos. Em caso de ataque, os sistemas podem ser apagados e restaurados sem a necessidade de contato com o invasor.

No entanto, os backups devem ser desconectados do sistema principal quando não estiverem em uso, pois muitas cepas de ransomware também tentam encontrar e criptografar as unidades de backup anexadas. Backups agendados e automáticos, com controle de versão adequado, oferecem maior resiliência.

Considerações finais

O TXTME lembra a todos que as ameaças de ransomware continuam a evoluir e se adaptar. Embora seus métodos ecoem outras variantes da família Dharma, seus recursos personalizados — como persistência do sistema, desativação de firewall e prevenção regional direcionada — demonstram um nível sofisticado de planejamento.

Os cibercriminosos estão constantemente buscando novas maneiras de explorar vulnerabilidades, mas manter-se informado e manter uma boa higiene cibernética pode fazer uma diferença significativa. Ao entender como ameaças como o TXTME operam, usuários e organizações podem se preparar, responder e se recuperar melhor — sem cair na armadilha de pagar um resgate digital.

Por Willa
May 21, 2025
Ransomware
Portuguese
May 21, 2025
Ransomware

Postagens Populares

Eporner.com e por que seus pop-ups excessivos são arriscados

1 month atrás

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

12 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

8 months atrás

PayPal - Golpe de e-mail "Você adicionou um novo endereço"

3 months atrás

Omega Ad Blocker: Uma extensão enganosa que atua como adware

3 months atrás

Entenda e mitigue a ameaça do W32.AIDetectMalware

10 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.