Proton (Xorist) Ransomware vil kryptere offersystemer
Under vores rutinevurdering af nye filprøver stødte vores forskerhold på Proton ransomware-varianten. Denne ondsindede software er forbundet med Xorist ransomware-familien. Ondsindede programmer, der falder ind under denne kategori, koder data og anmoder om betaling for dekrypteringsprocessen.
Efter at have testet Proton (Xorist) ransomware på vores eksperimentelle system, udførte den kryptering af filer og tilføjede en ".ProToN"-udvidelse til deres originale navne. For at illustrere undergik en fil med navnet "1.jpg" en transformation til "1.jpg.PrOToN", mens "2.png" blev ændret til "2.png.PrOToN" og så videre for alle låste filer.
Efterfølgende ændrede programmet skrivebordsbaggrunden og genererede løsesumsedler i form af et pop-up-vindue, skrivebordsbaggrund og et tekstdokument mærket "SÅDAN DEKRRYPTERER DU FILES.txt." Disse løsesumsedler kommunikerer til offeret, at deres filer er blevet krypteret, og at den eneste mulighed for at genoprette dem er ved at foretage en betaling til angriberne. Løsesummen er angivet som 0,045 BTC (Bitcoin cryptocurrency), som, baseret på gældende valutakurser, svarer omtrent til 1300 USD (husk på, at valutakurser er underlagt konstante udsving). Når løsesummen er betalt, forsikrer sedlerne offeret om, at de nødvendige dekrypteringsnøgler og software vil blive leveret.
Proton Ransom Note beder om $1300 i Bitcoin
Den fulde tekst af Proton løsesum noten lyder som følger:
Hej
Alle dine filer er blevet krypteret
hvis du vil dekryptere dem, skal du betale mig 0,045 bitcoin.Sørg for at sende 0,045 bitcoins til denne adresse:
(alfanumerisk streng)Hvis du ikke ejer bitcoin, kan du nemt købe det fra disse sider:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.comDu kan finde en større liste her:
hxxps://bitcoin.org/en/exchangesEfter at have sendt bitcoin, kontakt mig på denne e-mailadresse:
protonis2023@tuta.io med dette emne: -
Efter at betalingen er bekræftet,
du får dekrypterings- og dekrypteringsnøgler!Du vil også modtage information om, hvordan du forsvarer dig mod endnu et ransomware-angreb
og det vigtigste er dit sikkerhedshul, som vi kom ind igennem.Opmærksomhed!
Prøv ikke andre billigere dekrypteringsmuligheder, fordi ingen og intet kan
dekrypter dine filer uden de nøgler, der er genereret til din server,
du vil miste tid, penge og dine filer for altid!
Hvordan kan ransomware som proton komme ind i dit system?
Ransomware som Proton kan infiltrere dit system på forskellige måder, ofte ved at udnytte sårbarheder eller menneskelige handlinger. Her er nogle almindelige måder, hvorpå ransomware kan komme ind i dit system:
- Phishing-e-mails: Cyberkriminelle sender ofte overbevisende e-mails med ondsindede vedhæftede filer eller links. Hvis du klikker på disse links eller åbner inficerede vedhæftede filer, kan det udløse ransomware-installationen.
- Ondsindede links: Klik på inficerede links fra websteder, sociale medier eller instant messaging-platforme kan føre til ransomware-downloads eller drive-by-angreb.
- Malvertising: Ondsindede annoncer på legitime websteder kan føre til drive-by downloads af ransomware, når der klikkes på dem.
- Udnyttelsessæt: Disse er værktøjssæt, der målretter mod sårbarheder i software som dit operativsystem, browser eller plugins. Besøg på et kompromitteret websted kan resultere i et udnyttelsessæt, der leverer ransomware.
- Inficeret software: Download og installation af software fra upålidelige kilder kan resultere i utilsigtet installation af ransomware.
- Remote Desktop Protocol (RDP) Sårbarheder: Hvis RDP ikke er korrekt sikret, kan angribere udnytte sårbarheder til at få fjernadgang til dit system og installere ransomware.
- Softwaresårbarheder: Forældet software kan have sikkerhedssårbarheder, som angribere kan udnytte til at installere ransomware.
- Ondsindede makroer: Åbning af inficerede Microsoft Office-dokumenter med makroer aktiveret kan føre til udførelse af ransomware.
