TXTME Ransomware: Цифровой похититель, скрывающийся на виду

Что такое вирус-вымогатель TXTME?

Появилось еще одно дополнение к печально известному семейству программ-вымогателей Dharma под названием TXTME . TXTME следует уже знакомой, но все еще опасной схеме работы: он шифрует файлы на системе жертвы и требует плату в обмен на доступ. После заражения устройства программа-вымогатель изменяет все имена затронутых файлов, добавляя уникальный идентификатор жертвы, один из двух контактных адресов электронной почты и расширение «.TXTME». Например, «photo.jpg» становится чем-то вроде «photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME».

После шифрования программа-вымогатель оставляет два типа записок с требованием выкупа: всплывающее уведомление и текстовый файл с названием TXTME.txt . Оба сообщения информируют жертву о том, что ее данные теперь недоступны, и предлагают «решение» — отправить злоумышленнику электронное письмо и подготовиться к уплате выкупа в биткоинах . Записки также предостерегают от вмешательства в зашифрованные файлы или использования внешних инструментов восстановления, угрожая безвозвратной потерей данных, если жертва попытается взять ситуацию в свои руки.

Вот что говорится в записке о выкупе:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Понимание атак программ-вымогателей

Программы-вымогатели, такие как TXTME, — это тип вредоносного ПО, специально разработанного для удержания данных в заложниках. Получив доступ к системе, они шифруют файлы, блокируя доступ пользователей к их информации. Затем жертвам даются инструкции заплатить выкуп, как правило, в криптовалюте, чтобы получить ключ дешифрования. Однако эксперты по кибербезопасности постоянно предостерегают от оплаты. Нет никакой гарантии, что преступники предоставят инструмент дешифрования, а оплата только подпитывает цикл будущих атак.

Эти атаки могут иметь серьезные последствия, особенно для предприятий или учреждений с конфиденциальными или незаменимыми данными. Риск потери данных, сбоя обслуживания и финансового ущерба высок. К счастью, лучшая защита — это подготовка: регулярное резервное копирование данных в автономные или удаленные местоположения значительно снижает воздействие атаки программ-вымогателей.

Что отличает TXTME?

TXTME — это не просто файловый локер. Он разработан для более глубокого нарушения и сохранения. После активации он отключает системный брандмауэр и удаляет теневые копии томов, которые Windows обычно использует для восстановления системы и файлов. Это значительно усложняет для пользователей задачу восстановления файлов без уплаты выкупа.

Вредоносная программа также гарантирует, что она останется на зараженной машине, копируя себя в каталог %LOCALAPPDATA% и редактируя ключи реестра Windows для запуска при каждой загрузке системы. Она даже собирает данные о местоположении, чтобы избежать заражения систем в определенных регионах, что предполагает, что ее операторы хотят держаться подальше от определенных стран — возможно, чтобы избежать правовых последствий или избежать проверки со стороны властей в их юрисдикциях.

Как распространяется TXTME

Точные методы распространения TXTME все еще изучаются, но, скорее всего, он распространяется через открытые службы Remote Desktop Protocol (RDP). Злоумышленники часто используют методы подбора, чтобы угадать слабые или распространенные пароли в системах с включенным RDP. Оказавшись внутри, они вручную развертывают программу-вымогатель.

В более широком смысле, программы-вымогатели обычно распространяются через фишинговые письма, вредоносные вложения, поддельные обновления ПО, взломанные веб-сайты или в комплекте с пиратским ПО. Они также могут распространяться через USB-накопители, зараженные установщики или уязвимости в устаревшем ПО. Ландшафт угроз постоянно меняется, поэтому бдительность имеет решающее значение.

Профилактика и передовой опыт

Лучший способ защиты от программ-вымогателей, таких как TXTME, — это сочетание проактивных мер безопасности и осведомленности. Начните с отключения RDP, если в этом нет необходимости. Для систем, где RDP необходим, используйте надежные сложные пароли и включите многофакторную аутентификацию. Поддерживайте все программное обеспечение, операционные системы и инструменты безопасности в актуальном состоянии с помощью последних исправлений.

Будьте осторожны при работе с вложениями электронной почты или переходе по ссылкам, особенно если они исходят из незнакомых источников. Воздержитесь от загрузки программного обеспечения с ненадежных веб-сайтов или использования взломанных версий легитимных программ. Эти распространенные векторы часто являются тем, как программы-вымогатели обходят защиту.

Важность резервного копирования

Резервные копии остаются одной из самых мощных мер противодействия программам-вымогателям. Хранение копий важных файлов на отдельном устройстве или в защищенном облачном сервисе может значительно сократить ущерб. В случае атаки системы могут быть очищены и восстановлены без необходимости взаимодействия с атакующим.

Однако резервные копии следует отключать от основной системы, когда они не используются, поскольку многие штаммы программ-вымогателей пытаются найти и зашифровать также подключенные резервные диски. Запланированные автоматические резервные копии с надлежащим контролем версий обеспечивают наибольшую устойчивость.

Заключительные мысли

TXTME напоминает всем, что угрозы программ-вымогателей продолжают развиваться и адаптироваться. Хотя его методы перекликаются с другими штаммами семейства Dharma, его индивидуальные функции, такие как системная устойчивость, отключение брандмауэра и целевое региональное избегание, демонстрируют сложный уровень планирования.

Киберпреступники постоянно ищут новые способы использования уязвимостей, но информированность и соблюдение надлежащей кибергигиены могут иметь существенное значение. Понимая, как действуют такие угрозы, как TXTME, пользователи и организации могут лучше подготовиться, отреагировать и восстановиться, не попадая в ловушку выплаты цифрового выкупа.