TCYOランサムウェア

Infosecの研究者は、野生で解き放たれた新しいダルマの変種を発見しました。 TCYOランサムウェアと名付けられたこのランサムウェアは、被害者のコンピューターに侵入し、多数のファイルタイプをロックする暗号化プロセスを開始し、影響を受けたユーザーを金銭で強要することを目的としています。

暗号化された各ファイルの名前は大幅に変更されます。 TCYOは、他のDharma 変種で観察された命名パターンに従います。まず、被害者に割り当てられたID番号を追加し、次にハッカーの管理下にある電子メールアドレスを追加し、最後に「.TCYO」を新しいファイル拡張子として配置します。 TCYOがファイル名で使用する電子メールアドレスは'yourfiles1@cock.liです。

脅威の犠牲者には、犯罪者からの指示を含む2つの身代金メモが残されています。メインノートはポップアップウィンドウに表示され、メッセージの短いバージョンが「FILESENCRYPTED.txt」という名前のテキストファイルとして侵害されたシステムのデスクトップにドロップされます。

TCYOランサムウェアの要求

テキストファイルには、ハッカーの要求に関する意味のある詳細は含まれていません。被害者に、提供された2つの電子メールアドレス（「yourfiles1@cock.li」と「tcprx@tutanota.de」）にメッセージを送信して連絡を開始するように指示するだけです。ポップアップウィンドウには、もう少し情報が表示されます。被害者のID番号が表示され、最初の電子メールにメッセージを送信してから12時間以上応答がない場合にのみ、2番目の電子メールアドレスが使用されることになっていることが示されます。ポップアップウィンドウは、暗号化されたファイルの名前を変更しない、サードパーティのプログラムを介してロックを解除しようとするなど、さまざまな警告で終了します。

テキストファイル内にあるメッセージ全体は次のとおりです。

'すべてのデータがロックされています
帰りたい？
メールyourfiles1@cock.liまたはtcprx@tutanota.deを書いてください。

ポップアップウィンドウには、次の手順が表示されます。

'あなたのファイルは暗号化されています

心配しないでください、あなたはあなたのすべてのファイルを返すことができます！
それらを復元したい場合は、次のリンクをたどってください：yourfiles1@cock.liにメールしてくださいあなたのID 1E857D00
リンク経由で12時間以内に回答がない場合は、電子メール：tcprx@tutanota.deでご連絡ください。

注意！
暗号化されたファイルの名前を変更しないでください。
サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。データが永久に失われる可能性があります。
サードパーティの助けを借りてファイルを復号化すると、価格が上昇する可能性があります（彼らは私たちに彼らの料金を追加します）、またはあなたは詐欺の犠牲者になる可能性があります。 '