TXTME勒索软件:隐藏在众目睽睽之下的数字绑架者
Table of Contents
什么是 TXTME 勒索软件?
臭名昭著的Dharma 勒索软件家族又新增了一个名为TXTME的勒索软件。TXTME 的操作模式虽然如今已为人熟知,但依然危险:它会加密受害者系统上的文件,并要求用户付费才能访问。一旦感染设备,该勒索软件就会通过添加唯一的受害者 ID、两个联系邮箱之一以及“.TXTME”扩展名来更改所有受影响文件的文件名。例如,“photo.jpg”会变成“photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME”。
加密后,勒索软件会留下两种类型的勒索信息:弹出通知和名为TXTME.txt的文本文件。这两种信息都会告知受害者其数据现已无法访问,并提供了一个“解决方案”——向攻击者发送电子邮件并准备以比特币支付赎金。勒索信息还警告受害者不要篡改加密文件或使用外部恢复工具,并威胁称如果受害者试图自行处理,将导致数据永久性丢失。
赎金通知的内容如下:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
了解勒索软件攻击
像 TXTME 这样的勒索软件是一种专门用来劫持数据的恶意软件。在获得系统访问权限后,它会加密文件,阻止用户访问其信息。然后,受害者会收到指示,要求支付赎金(通常以加密货币支付)以获取解密密钥。然而,网络安全专家一直警告不要支付赎金。犯罪分子无法保证会提供解密工具,支付赎金只会加剧未来攻击的循环。
这些攻击可能造成严重后果,尤其对于拥有敏感或不可替代数据的企业或机构而言。数据丢失、服务中断和财务损失的风险很高。幸运的是,最好的防御措施是做好准备:定期将数据备份到离线或远程位置,可以显著降低勒索软件攻击的影响。
TXTME 有何不同?
TXTME 不仅仅是一个简单的文件锁。它专为更深层次的破坏和持久性而设计。一旦激活,它会禁用系统防火墙并删除卷影副本(Windows 通常使用这些卷影副本进行系统还原和文件恢复)。这使得用户在不支付赎金的情况下恢复文件变得更加困难。
该恶意软件还会将自身复制到%LOCALAPPDATA%目录,并编辑 Windows 注册表项,使其在每次系统启动时自动启动,从而确保自身能够持续存在于受感染的计算机上。它甚至会收集位置数据,以避免感染特定地区的系统,这表明其运营者希望避开特定国家——可能是为了逃避法律后果或避免其管辖范围内当局的审查。
TXTME如何传播
TXTME 的具体传播方式仍在调查中,但它很可能通过暴露的远程桌面协议 (RDP) 服务进行传播。攻击者经常使用暴力破解技术来猜测启用 RDP 的系统上的弱密码或常用密码。一旦进入系统,他们就会手动部署勒索软件。
更广泛地说,勒索软件通常通过钓鱼邮件、恶意附件、虚假软件更新、受感染网站或与盗版软件捆绑传播。它还可以通过USB驱动器、受感染的安装程序或过时软件中的漏洞传播。威胁形势不断演变,保持警惕至关重要。
预防和最佳实践
防范 TXTME 等勒索软件的最佳方法是结合主动安全措施和意识。如果没有必要,请先禁用 RDP。对于必须使用 RDP 的系统,请使用强密码并启用多因素身份验证。确保所有软件、操作系统和安全工具都安装最新补丁。
处理电子邮件附件或点击链接时务必谨慎,尤其是来自不熟悉来源的链接。切勿从不可信网站下载软件,也不要使用合法程序的破解版本。勒索软件经常利用这些常见媒介突破防御。
备份的重要性
备份仍然是抵御勒索软件最有效的措施之一。将重要文件的副本保存在单独的设备或安全的云服务上,可以大幅降低损失。一旦发生攻击,无需与攻击者交战,即可清除并恢复系统数据。
但是,备份在不使用时应与主系统断开连接,因为许多勒索软件也会尝试查找并加密连接的备份驱动器。定期自动备份并进行适当的版本控制可以提供最高的恢复能力。
最后的想法
TXTME 提醒大家,勒索软件威胁仍在不断演变和调整。虽然其攻击手段与 Dharma 家族的其他勒索软件类似,但其定制功能(例如系统持久化、防火墙禁用和目标区域规避)展现了其精心策划的程度。
网络犯罪分子不断寻找新的漏洞利用方法,但保持信息灵通并保持良好的网络卫生至关重要。通过了解 TXTME 等威胁的运作方式,用户和组织可以更好地做好准备、应对并恢复,避免落入支付数字赎金的陷阱。
