Ransomware Tutu

Tutu fonctionne comme une menace de ransomware dont l'objectif principal est d'empêcher les victimes d'accéder à leurs fichiers via le cryptage. Utilisant un modèle distinctif, Tutu renomme les fichiers ciblés et présente simultanément une fenêtre contextuelle. De plus, le ransomware génère un fichier « README!.txt » qui sert de demande de rançon.

Lors d'activités menaçantes, Tutu ajoute l'identifiant de la victime, l'adresse e-mail « tutu@download_file » et une extension « .tutu » aux noms de fichiers. Après avoir procédé à un examen approfondi, les analystes de sécurité ont identifié Tutu Ransomware comme un membre de la famille des logiciels malveillants Dharma .

Les victimes du Ransomware Tutu n'ont pas accès à leurs propres données

Le Tutu Ransomware utilise une approche multiforme pour ses activités dangereuses, ciblant à la fois les fichiers stockés localement et partagés sur le réseau. Pour entraver les efforts de récupération de données, il crypte ces fichiers tout en prenant simultanément des mesures telles que la désactivation du pare-feu et l'éradication des clichés instantanés de volumes. La propagation de Tutu se produit via l'exploitation de services RDP (Remote Desktop Protocol) vulnérables, utilisant principalement la force brute et des attaques de type dictionnaire sur des systèmes où les informations d'identification des comptes ne sont pas gérées de manière adéquate.

Établir la persistance dans le système infecté est une priorité pour Tutu, obtenue en se copiant sur le chemin %LOCALAPPDATA% et en s'enregistrant avec des clés d'exécution spécifiques. De plus, Tutu possède la capacité de récupérer des données de localisation, permettant ainsi d'exclure des emplacements prédéterminés de son processus de cryptage.

La demande de rançon délivrée par Tutu Ransomware fait état d'une menace grave pour les victimes, affirmant que toutes les bases de données et informations personnelles ont été téléchargées et cryptées. Les attaquants, dans le but d'extorquer la victime, menacent de publier et de vendre les données compromises sur le Dark Net et sur les sites de pirates. Pour ajouter de l'urgence, un délai de réponse de 24 heures est stipulé. L'e-mail de contact fourni pour la communication est tutu@onionmail.org.

Les demandes de rançon incluent un montant monétaire spécifique, avec la promesse que le paiement entraînera le décryptage des données. La note met explicitement en garde contre l’utilisation de logiciels de décryptage tiers, affirmant que seuls les attaquants possèdent les clés de décryptage nécessaires. Les attaquants offrent aux victimes la possibilité de tester gratuitement la clé de déchiffrement sur un seul fichier impacté par le ransomware.

Protégez vos appareils contre les infections par des logiciels malveillants

Il est essentiel de protéger les appareils contre les infections par des logiciels malveillants pour maintenir la sécurité et l'intégrité des informations personnelles et sensibles. Voici les mesures complètes que les utilisateurs peuvent prendre pour protéger leurs appareils :

• Installez le logiciel anti-malware :
• Utilisez un logiciel anti-malware réputé et tenez-le à jour régulièrement.
• Configurez le logiciel pour effectuer des analyses planifiées de l'ensemble du système.
• Maintenir les systèmes d'exploitation et les logiciels à jour :
• Mettez régulièrement à jour les systèmes d'exploitation, les applications et les logiciels pour corriger les vulnérabilités susceptibles d'être exploitées par des logiciels malveillants.
• Utilisation d'un pare-feu :
• Activez et configurez un pare-feu pour mieux surveiller et contrôler le trafic réseau entrant et sortant, empêchant ainsi tout accès non autorisé.
• Faites preuve de prudence avec les pièces jointes et les liens des e-mails :
• Évitez d'interagir avec les pièces jointes des e-mails ou de cliquer sur des liens provenant de sources inconnues ou suspectes. Vérifiez la légitimité des courriels, notamment ceux demandant des informations personnelles ou financières.
• Soyez prudent avec les téléchargements :
• Téléchargez des logiciels, des applications et des fichiers uniquement à partir de sources réputées et officielles.
• Évitez de télécharger des logiciels piratés ou piratés, car ils peuvent contenir des logiciels malveillants.
• Implémentez des mots de passe forts :
• Utilisez toujours des mots de passe forts et uniques pour chaque compte en ligne différent. Examinez également les avantages de l’utilisation d’un gestionnaire de mots de passe pour créer et stocker des mots de passe complexes en toute sécurité.
• Sécurisez votre réseau :
• Cryptez votre réseau Wi-Fi avec un mot de passe fort et unique.
• Désactivez les services réseau inutiles et fermez les ports inutilisés.
• Sauvegarder régulièrement :
• Sauvegardez régulièrement les données importantes sur un appareil externe ou un service cloud sécurisé.
• Assurez-vous que les sauvegardes sont automatisées et stockées dans un emplacement non directement accessible depuis l'appareil.
• Instruisez-vous :
• Restez informé des menaces de logiciels malveillants les plus récentes et des meilleures pratiques de sécurité.
• Soyez prudent face aux tactiques d’ingénierie sociale et aux tentatives de phishing.

En intégrant ces pratiques dans une routine complète, les utilisateurs peuvent réduire considérablement le risque d'infection par des logiciels malveillants et améliorer la sécurité globale de leurs appareils.

La demande de rançon principale du Tutu Ransomware délivre le message suivant :

'We downloaded to our servers and encrypted all your databases and personal information!
If you do not write to us within 24 hours, we will start publishing and selling your data on the darknet on hacker sites and offer the information to your competitors
email us: tutu@onionmail.org YOUR ID -
If you haven't heard back within 24 hours, write to this email:tutu@onionmail.org
IMPORTANT INFORMATION!
Keep in mind that once your data appears on our leak site,it could be bought by your competitors at any second, so don't hesitate for a long time.The sooner you pay the ransom, the sooner your company will be safe..
Guarantee:If we don't provide you with a decryptor or delete your data after you pay,no one will pay us in the future. We value our reputation.
Guarantee key:To prove that the decryption key exists, we can test the file (not the database and backup) for free.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Don't go to recovery companies - they are essentially just middlemen.Decryption of your files with the help of third parties may cause increased price (they add their fee to our) we're the only ones who have the decryption keys.

The text file generated by Tutu Ransomware contains the following instructions:

Your data has been stolen and encrypted!

email us

tutu@onionmail.org'