TXTME Ransomware: En digital kidnappare som gömmer sig mitt framför ögonen

Vad är TXTME-ransomware?

Ännu ett tillskott till den ökända Dharma-ransomware-familjen har dykt upp, kallat TXTME . TXTME följer ett numera välbekant men fortfarande farligt operationsmönster: det krypterar filer på ett offers system och kräver betalning i utbyte mot åtkomst. När det infekterar en enhet ändrar ransomware-programmet alla drabbade filnamn genom att lägga till ett unikt offer-ID, en av två kontakt-e-postadresser och filändelsen ".TXTME". Till exempel blir "photo.jpg" något i stil med "photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME".

Vid kryptering lämnar ransomware-programmet efter sig två typer av lösensummor: ett popup-meddelande och en textfil med titeln TXTME.txt . Båda meddelandena informerar offret om att deras data nu är oåtkomliga och erbjuder en "lösning" – skicka e-post till angriparen och förbered dig på att betala en lösensumma i Bitcoin . Meddelandena varnar också för att manipulera de krypterade filerna eller använda externa återställningsverktyg, vilket hotar permanent dataförlust om offret försöker ta saken i egna händer.

Här är vad det står på lösensumman:

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Förstå ransomware-attacker

Ransomware som TXTME är en typ av skadlig programvara som är specifikt utformad för att hålla data som gisslan. Efter att ha fått tillgång till ett system krypterar den filer och låser ut användarna från sin information. Offren får sedan instruktioner att betala en lösensumma, vanligtvis i kryptovaluta, för att få en dekrypteringsnyckel. Cybersäkerhetsexperter varnar dock konsekvent för att betala. Det finns ingen garanti för att brottslingarna kommer att tillhandahålla dekrypteringsverktyget, och att betala bara underblåser cykeln av framtida attacker.

Dessa attacker kan få allvarliga konsekvenser, särskilt för företag eller institutioner med känslig eller oersättlig data. Risken för dataförlust, avbrott i tjänsten och ekonomisk skada är hög. Lyckligtvis är det bästa försvaret förberedelse: regelbunden säkerhetskopiering av data till offline- eller fjärrplatser minskar avsevärt effekterna av en ransomware-attack.

Vad gör TXTME annorlunda?

TXTME är inte bara ett enkelt fillås. Det är konstruerat för djupare störningar och beständighet. När det är aktivt inaktiverar det systemets brandvägg och tar bort volymskuggkopior, som Windows vanligtvis använder för systemåterställning och filåterställning. Detta gör det mycket svårare för användare att återställa filer utan att betala lösensumman.

Den skadliga programvaran säkerställer också att den finns kvar på den infekterade maskinen genom att kopiera sig själv till katalogen %LOCALAPPDATA% och redigera Windows registernycklar så att de startar varje gång systemet startar. Den samlar till och med in platsdata för att undvika att infektera system i vissa regioner, vilket antyder att dess operatörer vill undvika vissa länder – möjligen för att undvika rättsliga konsekvenser eller undvika granskning från myndigheter i deras jurisdiktioner.

Hur TXTME sprids

De exakta metoderna för TXTME:s distribution utreds fortfarande, men det sprider sig sannolikt via exponerade RDP-tjänster (Remote Desktop Protocol). Angripare använder ofta brute-force-tekniker för att gissa svaga eller vanliga lösenord på system med RDP aktiverat. Väl inne i systemet distribuerar de ransomware manuellt.

Mer allmänt sprids ransomware ofta via nätfiskemejl, skadliga bilagor, falska programuppdateringar, komprometterade webbplatser eller i kombination med piratkopierad programvara. Det kan också spridas via USB-enheter, infekterade installationsprogram eller sårbarheter i föråldrad programvara. Hotlandskapet utvecklas ständigt, vilket gör vaksamhet avgörande.

Förebyggande åtgärder och bästa praxis

Det bästa sättet att skydda sig mot ransomware som TXTME är genom en blandning av proaktiva säkerhetsåtgärder och medvetenhet. Börja med att inaktivera RDP om det inte behövs. För system där RDP är avgörande, använd starka, komplexa lösenord och aktivera flerfaktorsautentisering. Håll all programvara, operativsystem och säkerhetsverktyg uppdaterade med de senaste uppdateringarna.

Var försiktig när du hanterar e-postbilagor eller klickar på länkar, särskilt när de kommer från okända källor. Avstå från att ladda ner programvara från opålitliga webbplatser eller använda spruckna versioner av legitima program. Det är dessa vanliga vektorer som ransomware ofta slinker förbi försvaret.

Vikten av säkerhetskopior

Säkerhetskopiering är fortfarande en av de starkaste motåtgärderna mot ransomware. Att spara kopior av viktiga filer på en separat enhet eller en säker molntjänst kan drastiskt minska skadan. Vid en attack kan system raderas och återställas utan att behöva interagera med angriparen.

Säkerhetskopieringar bör dock kopplas bort från huvudsystemet när de inte används, eftersom många ransomware-stammar även försöker hitta och kryptera anslutna säkerhetskopieringsenheter. Schemalagda, automatiska säkerhetskopieringar med korrekt versionshantering erbjuder störst motståndskraft.

Slutliga tankar

TXTME påminner alla om att ransomware-hot fortsätter att utvecklas och anpassas. Medan dess metoder påminner om andra varianter i Dharma-familjen, visar dess skräddarsydda funktioner – som systempersistens, brandväggsavaktivering och riktat regionalt undvikande – en sofistikerad planeringsnivå.

Cyberbrottslingar letar ständigt efter nya sätt att utnyttja sårbarheter, men att hålla sig informerade och upprätthålla god cyberhygien kan göra en betydande skillnad. Genom att förstå hur hot som TXTME fungerar kan användare och organisationer bättre förbereda sig, reagera och återhämta sig – utan att falla i fällan att betala en digital lösensumma.

År Willa
May 21, 2025
Ransomware
Svenska
May 21, 2025
Ransomware

Populära inlägg

Eporner.com och varför dess överdrivna popup-fönster är riskabla

1 month sedan

Vad är OperaGXSetup.exe-filen och är den skadlig?

12 months sedan

HackTool:Win32/Crack: ett skadligt hot som allvarligt kan...

8 months sedan

PayPal - Du har lagt till en ny adress E-postbedrägeri

3 months sedan

Omega Ad Blocker: En vilseledande tillägg som fungerar som adware

3 months sedan

Förstå och mildra hotet med W32.AIDetectMalware

10 months sedan
Svenska
Läser in...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.