Ransomware TXTME
A medida que las ciberamenazas se vuelven más sofisticadas, el ransomware sigue representando un riesgo significativo para usuarios particulares, empresas e instituciones de todo el mundo. Una de las variantes más recientes y peligrosas, el ransomware TXTME, ejemplifica cómo los atacantes aprovechan las vulnerabilidades del sistema y la ingeniería social para cifrar datos y extorsionar. Para evitar convertirse en la próxima víctima, es fundamental comprender cómo funciona esta amenaza y cómo defenderse.
Tabla de contenido
Dentro de TXTME: Una mirada al comportamiento del ransomware
El ransomware TXTME pertenece a la familia Dharma , conocida por sus ataques de cifrado de datos y tácticas de extorsión de alta presión. Una vez dentro del sistema, TXTME bloquea los archivos del usuario y los renombra con un identificador único, el correo electrónico del atacante y la extensión ".TXTME". Por ejemplo:
1.png se convierte en 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME
2.pdf se convierte en 2.pdf.id-9ECFA84E.[ownercall@tuta.io].TXTME
Las víctimas reciben dos notas de rescate: una ventana emergente en el escritorio y un archivo 'TXTME.txt'. Estas notas advierten a la víctima que sus archivos han sido cifrados y le indican que contacte al atacante por correo electrónico ('ownercall@tuta.io' o 'ownercall@mailum.com'). El atacante exige Bitcoin a cambio de herramientas de descifrado y advierte contra renombrar archivos o usar software de recuperación de datos de terceros, amenazando con la pérdida permanente de datos.
Métodos de infección y manipulación del sistema
Una vez implementado, TXTME toma medidas agresivas para evitar la recuperación y mantener su presencia:
- Desactiva el firewall del sistema, reduciendo las defensas contra futuros ataques.
- Elimina las copias de volumen de sombra y elimina cualquier dato de respaldo incorporado que pueda usarse para recuperar archivos perdidos.
- Se copia a sí mismo en el directorio %LOCALAPPDATA% y agrega entradas de registro para garantizar que se ejecute automáticamente al iniciarse.
- Recopila datos básicos de ubicación para evitar infectar sistemas en países específicos, generalmente aquellos asociados con los atacantes.
Se propaga a través de vectores de ataque comunes, incluidos correos electrónicos de phishing, anuncios fraudulentos, software pirateado, unidades USB infectadas y servicios de Protocolo de Escritorio Remoto (RDP) expuestos, especialmente aquellos con contraseñas débiles o reutilizadas.
Fortalezca sus defensas: Mejores prácticas para prevenir el ransomware
Defenderse contra amenazas sofisticadas como TXTME requiere una estrategia proactiva y multicapa. Una base sólida comienza con la seguridad de su sistema y red. Garantizar que su sistema operativo y todo el software estén actualizados con los parches más recientes es esencial para corregir las vulnerabilidades conocidas. También es crucial utilizar un software antimalware confiable con protección en tiempo real habilitada, que puede ayudar a detectar y bloquear actividades peligrosas antes de que causen daños.
El acceso al sistema debe estar estrictamente controlado, limitando los privilegios administrativos a quienes los necesiten estrictamente. Además, deshabilitar las macros en los documentos de Office puede evitar la ejecución de muchas cargas útiles de malware estándar. Si no se utiliza el Protocolo de Escritorio Remoto (RDP), debe deshabilitarse por completo. Sin embargo, si se requiere acceso remoto, este debe protegerse con contraseñas seguras y únicas, autenticación multifactor e, idealmente, enrutarse a través de una red privada virtual (VPN).
Igualmente importante es mantener la información y contar con una estrategia de copias de seguridad fiable. Los archivos esenciales deben respaldarse periódicamente y almacenarse, ya sea sin conexión o en entornos seguros en la nube, a los que no se pueda acceder directamente desde el sistema principal.
Evitar el software pirata y las herramientas no oficiales, así como los sitios web cuestionables, ayuda a minimizar la exposición a vectores de ransomware. Por último, la monitorización continua de la actividad de la red puede proporcionar señales tempranas de intentos de intrusión, como intentos de inicio de sesión por fuerza bruta o patrones inusuales de acceso a archivos.
Conclusión: Manténgase alerta y protegido
La campaña de ransomware TXTME ilustra la creciente sofisticación y capacidad destructiva de las ciberamenazas modernas. Desactiva las herramientas de recuperación, cifra archivos valiosos y exige criptomonedas como rescate, a la vez que garantiza su actividad en los sistemas comprometidos. Sin embargo, con prácticas de seguridad rigurosas y un compromiso con la concienciación del usuario, es posible prevenir estas infecciones y responder eficazmente si ocurren. La ciberseguridad ya no es opcional; es una inversión necesaria en su seguridad digital.
Mensajes
Se encontraron los siguientes mensajes asociados con Ransomware TXTME:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
