TCYO Ransomware

Los investigadores de Infosec han descubierto una nueva variante de Dharma que se ha desatado en la naturaleza. Nombrado TCYO Ransomware, tiene como objetivo infiltrarse en las computadoras de sus víctimas, iniciar un proceso de cifrado que bloquea una gran variedad de tipos de archivos y luego extorsionar a los usuarios afectados por dinero.

Cada archivo cifrado tendrá su nombre cambiado drásticamente. TCYO sigue los patrones de denominación observados en otras variantes de Dharma. Primero, agrega el número de identificación asignado a la víctima, luego agrega una dirección de correo electrónico bajo el control de los piratas informáticos y, finalmente, coloca '.TCYO' como una nueva extensión de archivo. La dirección de correo electrónico utilizada por TCYO en los nombres de los archivos es 'yourfiles1@cock.li.

Las víctimas de la amenaza se quedan con dos notas de rescate que contienen instrucciones de los delincuentes. La nota principal se muestra en una ventana emergente mientras que una versión más corta del mensaje se coloca en el escritorio del sistema comprometido como un archivo de texto llamado 'ARCHIVOS ENCRYPTED.txt'.

Las demandas de TCYO Ransomware

El archivo de texto no contiene ningún detalle significativo sobre las demandas de los piratas informáticos. Solo les dice a las víctimas que inicien el contacto enviando un mensaje a dos direcciones de correo electrónico proporcionadas: 'yourfiles1@cock.li' y 'tcprx@tutanota.de'. La ventana emergente proporciona un poco más de información. Muestra el número de identificación de la víctima y establece que se supone que la segunda dirección de correo electrónico debe usarse solo si el usuario no recibe una respuesta durante más de 12 horas después de enviar el primer correo electrónico. La ventana emergente concluye con varias advertencias, como no cambiar el nombre de los archivos cifrados o intentar desbloquearlos a través de programas de terceros.

El mensaje completo que se encuentra dentro del archivo de texto es:

' todos tus datos nos han sido bloqueados
Quieres volver?
escriba un correo electrónico a yourfiles1@cock.li o tcprx@tutanota.de . '

La ventana emergente ofrece las siguientes instrucciones:

' SUS ARCHIVOS ESTÁN CIFRADOS

¡No se preocupe, puede devolver todos sus archivos!
Si desea restaurarlos, siga este enlace: envíe un correo electrónico a yourfiles1@cock.li SU ID 1E857D00
Si no ha sido respondido a través del enlace dentro de las 12 horas, escríbanos por correo electrónico: tcprx@tutanota.de

¡Atención!
No cambie el nombre de los archivos cifrados.
No intente descifrar sus datos utilizando software de terceros, puede causar una pérdida permanente de datos.
El descifrado de sus archivos con la ayuda de terceros puede causar un aumento de precio (ellos agregan su tarifa a la nuestra) o puede convertirse en víctima de una estafa. '