TCYO Ransomware

Les chercheurs d'Infosec ont découvert une nouvelle variante du Dharma qui s'est déchaînée dans la nature. Nommé TCYO Ransomware, il vise à infiltrer les ordinateurs de ses victimes, à lancer un processus de cryptage qui verrouille un large éventail de types de fichiers, puis à extorquer de l'argent aux utilisateurs concernés.

Chaque fichier crypté verra son nom radicalement modifié. TCYO suit les modèles de nommage observés dans d'autres variantes du Dharma. Tout d'abord, il ajoute le numéro d'identification attribué à la victime, puis ajoute une adresse e-mail sous le contrôle des pirates, et enfin, place ".TCYO" comme nouvelle extension de fichier. L'adresse e-mail utilisée par TCYO dans les noms de fichiers est « yourfiles1@cock.li.

Les victimes de la menace se retrouvent avec deux notes de rançon contenant des instructions des criminels. La note principale s'affiche dans une fenêtre contextuelle tandis qu'une version plus courte du message est déposée sur le bureau du système compromis sous la forme d'un fichier texte nommé « FILES ENCRYPTED.txt ».

Demandes de TCYO Ransomware

Le fichier texte ne contient aucun détail significatif sur les demandes des pirates. Il indique uniquement aux victimes d'initier le contact en envoyant un message à deux adresses e-mail fournies - « yourfiles1@cock.li » et « tcprx@tutanota.de ». La fenêtre contextuelle fournit un peu plus d'informations. Il indique le numéro d'identification de la victime et indique que la deuxième adresse e-mail n'est censée être utilisée que si l'utilisateur ne reçoit pas de réponse plus de 12 heures après avoir envoyé le premier e-mail. La fenêtre contextuelle se termine par divers avertissements tels que le fait de ne pas renommer les fichiers cryptés ou d'essayer de les déverrouiller via des programmes tiers.

L'intégralité du message trouvé dans le fichier texte est :

' toutes vos données nous ont été verrouillées
Vous voulez revenir ?
écrivez un e-mail yourfiles1@cock.li ou tcprx@tutanota.de .'

La fenêtre contextuelle fournit les instructions suivantes :

' VOS FICHIERS SONT CRYPTÉS

Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers !
Si vous souhaitez les restaurer, suivez ce lien : envoyez un e-mail à yourfiles1@cock.li VOTRE ID 1E857D00
Si vous n'avez pas reçu de réponse via le lien dans les 12 heures, écrivez-nous par e-mail:tcprx@tutanota.de

Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation des prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez devenir victime d'une arnaque. '