TCYO-Ransomware

Forscher von Infosec haben eine neue Dharma-Variante entdeckt, die in freier Wildbahn freigesetzt wurde. Sie heißt TCYO Ransomware und zielt darauf ab, die Computer ihrer Opfer zu infiltrieren, einen Verschlüsselungsprozess einzuleiten, der eine Vielzahl von Dateitypen sperrt, und dann die betroffenen Benutzer um Geld zu erpressen.

Der Name jeder verschlüsselten Datei wird drastisch geändert. TCYO folgt den Benennungsmustern, die in anderen Dharma- Varianten beobachtet werden. Zuerst wird die dem Opfer zugewiesene ID-Nummer hinzugefügt, dann eine E-Mail-Adresse unter der Kontrolle der Hacker angehängt und schließlich „.TCYO" als neue Dateierweiterung platziert. Die von TCYO in den Dateinamen verwendete E-Mail-Adresse lautet 'yourfiles1@cock.li.

Den Opfern der Bedrohung bleiben zwei Lösegeldscheine mit Anweisungen der Kriminellen zurück. Die Hauptnotiz wird in einem Popup-Fenster angezeigt, während eine kürzere Version der Nachricht als Textdatei namens 'FILES ENCRYPTED.txt' auf dem Desktop des kompromittierten Systems abgelegt wird.

Anforderungen von TCYO Ransomware

Die Textdatei enthält keine aussagekräftigen Angaben zu den Forderungen der Hacker. Es weist die Opfer nur an, Kontakt aufzunehmen, indem sie eine Nachricht an zwei bereitgestellte E-Mail-Adressen senden – „yourfiles1@cock.li" und „tcprx@tutanota.de". Das Popup-Fenster bietet ein wenig mehr Informationen. Es zeigt die ID-Nummer des Opfers und besagt, dass die zweite E-Mail-Adresse nur verwendet werden soll, wenn der Benutzer nach dem Senden der ersten E-Mail länger als 12 Stunden keine Antwort erhält. Das Popup-Fenster schließt mit verschiedenen Warnungen ab, wie z. B., die verschlüsselten Dateien nicht umzubenennen oder zu versuchen, sie über Programme von Drittanbietern zu entsperren.

Die gesamte Nachricht in der Textdatei lautet:

' alle deine Daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie eine E-Mail an yourfiles1@cock.li oder tcprx@tutanota.de .'

Das Popup-Fenster liefert die folgenden Anweisungen:

' DEINE DATEIEN SIND VERSCHLÜSSELT

Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, folgen Sie diesem Link: E-Mail an Ihre Dateien1@cock.li IHRE ID 1E857D00
Sollten Sie innerhalb von 12 Stunden nicht über den Link geantwortet haben, schreiben Sie uns per E-Mail: tcprx@tutanota.de

Beachtung!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu dauerhaftem Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Dritten kann zu einem erhöhten Preis führen (sie addieren ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden. '