TXTME勒索軟體:隱藏在眾目睽睽之下的數位綁架者
Table of Contents
什麼是 TXTME 勒索軟體?
臭名昭著的Dharma 勒索軟體家族又出現了一個新成員,名為TXTME 。 TXTME 遵循一種現在熟悉但仍然危險的操作模式:它會加密受害者係統上的文件並要求付費以換取存取權限。一旦感染設備,勒索軟體就會透過附加唯一的受害者 ID、兩個聯絡電子郵件之一以及「.TXTME」副檔名來更改所有受影響的檔案名稱。例如,「photo.jpg」變成類似「photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME」。
加密後,勒索軟體會留下兩種類型的勒索信:彈出通知和名為TXTME.txt的文字檔案。這兩個訊息都告知受害者他們的數據現在無法訪問,並提供了一個「解決方案」——向攻擊者發送電子郵件並準備用比特幣支付贖金。該通知還警告不要篡改加密檔案或使用外部復原工具,如果受害者試圖自行處理,則可能導致永久性資料遺失。
贖金通知的內容如下:
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
了解勒索軟體攻擊
像 TXTME 這樣的勒索軟體是一種專門用於劫持資料的惡意軟體。在獲得系統存取權限後,它會加密文件,從而阻止使用者存取其資訊。然後,受害者會收到指示,要求支付贖金(通常以加密貨幣支付)以獲取解密金鑰。然而,網路安全專家一直警告不要付款。沒有人能保證犯罪者會提供解密工具,而付款只會加劇未來攻擊的循環。
這些攻擊可能會造成嚴重後果,尤其是對於擁有敏感或不可取代資料的企業或機構而言。資料遺失、服務中斷和財務損失的風險很高。幸運的是,最好的防禦就是做好準備:定期將資料備份到離線或遠端位置可顯著降低勒索軟體攻擊的影響。
TXTME 有何不同?
TXTME 不只是一個簡單的檔案鎖。它的設計初衷是為了實現更深層的破壞和持久性。一旦激活,它將停用系統防火牆並刪除卷影副本,Windows 通常使用這些副本進行系統還原和檔案復原。這使得用戶如果不支付贖金就很難恢復文件。
該惡意軟體也會將自身複製到%LOCALAPPDATA%目錄並編輯 Windows 登錄項目以便在每次系統啟動時啟動,從而確保其保留在受感染的機器上。它甚至收集位置數據以避免感染某些地區的系統,這表明其運營商希望避開特定國家——可能是為了逃避法律後果或避免其管轄範圍內當局的審查。
TXTME如何傳播
TXTME 傳播的具體方法仍在調查中,但它很可能透過暴露的遠端桌面協定 (RDP) 服務傳播。攻擊者經常使用暴力破解技術來猜測啟用 RDP 的系統上的弱密碼或常見密碼。一旦進入,他們就會手動部署勒索軟體。
更廣泛地說,勒索軟體通常透過網路釣魚電子郵件、惡意附件、虛假軟體更新、受感染的網站或與盜版軟體捆綁在一起傳播。它還可以透過 USB 隨身碟、受感染的安裝程式或過時軟體中的漏洞傳播。威脅情勢不斷變化,保持警惕至關重要。
預防和最佳實踐
防範 TXTME 等勒索軟體的最佳方法是結合主動安全措施和意識。如果沒有必要,請先停用 RDP。對於需要 RDP 的系統,請使用強而複雜的密碼並啟用多因素身份驗證。確保所有軟體、作業系統和安全工具都安裝最新修補程式。
處理電子郵件附件或點擊連結時要小心,尤其是當它們來自不熟悉的來源時。不要從不受信任的網站下載軟體或使用合法程式的破解版本。這些常見的載體是勒索軟體經常突破防禦的方法。
備份的重要性
備份仍然是對抗勒索軟體最有力的措施之一。將重要文件的副本保存在單獨的裝置或安全的雲端服務上可以大大減少損失。一旦發生攻擊,系統就可以被清除並恢復,而無需與攻擊者交戰。
但是,不使用時應將備份與主系統斷開,因為許多勒索軟體也會嘗試尋找和加密附加的備份磁碟機。具有適當版本控制的定期自動備份可提供最強的彈性。
最後的想法
TXTME 提醒大家,勒索軟體威脅不斷發展和適應。雖然其方法與 Dharma 家族的其他分支相似,但其自訂功能(例如係統持久性、防火牆停用和有針對性的區域規避)顯示出複雜的規劃水平。
網路犯罪分子一直在尋找利用漏洞的新方法,但保持知情和良好的網路衛生可以帶來重大改變。透過了解 TXTME 等威脅的運作方式,使用者和組織可以更好地準備、應對和恢復,而不會落入支付數位贖金的陷阱。
