Το Proton (Xorist) Ransomware θα κρυπτογραφεί τα συστήματα θυμάτων

Κατά τη συνήθη αξιολόγηση νέων δειγμάτων αρχείων, η ερευνητική μας ομάδα συνάντησε την παραλλαγή Proton ransomware. Αυτό το κακόβουλο λογισμικό σχετίζεται με την οικογένεια ransomware Xorist. Κακόβουλα προγράμματα που εμπίπτουν σε αυτήν την κατηγορία κωδικοποιούν δεδομένα και ζητούν πληρωμή για τη διαδικασία αποκρυπτογράφησης.

Κατά τη δοκιμή του ransomware Proton (Xorist) στο πειραματικό μας σύστημα, πραγματοποίησε την κρυπτογράφηση των αρχείων και πρόσθεσε μια επέκταση ".ProToN" στα αρχικά τους ονόματα. Για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" μετατράπηκε σε "1.jpg.PrOToN", ενώ το "2.png" άλλαξε σε "2.png.ProToN" και ούτω καθεξής για όλα τα κλειδωμένα αρχεία.

Στη συνέχεια, το πρόγραμμα άλλαξε το φόντο της επιφάνειας εργασίας και δημιούργησε σημειώσεις λύτρων με τη μορφή αναδυόμενου παραθύρου, ταπετσαρίας επιφάνειας εργασίας και ενός εγγράφου κειμένου με την ένδειξη "HOW TO DECRYPT FILES.txt". Αυτά τα σημειώματα λύτρων γνωστοποιούν στο θύμα ότι τα αρχεία του έχουν κρυπτογραφηθεί και ότι ο μόνος τρόπος για την επαναφορά τους είναι η πληρωμή στους εισβολείς. Το ποσό των λύτρων καθορίζεται ως 0,045 BTC (κρυπτονομίσματα Bitcoin), το οποίο, με βάση τις ισχύουσες συναλλαγματικές ισοτιμίες, ισοδυναμεί περίπου με 1300 USD (έχετε υπόψη ότι οι συναλλαγματικές ισοτιμίες υπόκεινται σε συνεχείς διακυμάνσεις). Μόλις πληρωθούν τα λύτρα, οι σημειώσεις διαβεβαιώνουν το θύμα ότι θα παρασχεθούν τα απαραίτητα κλειδιά αποκρυπτογράφησης και το λογισμικό.

Το Proton Ransom Note Ζητά 1300 $ σε Bitcoin

Το πλήρες κείμενο του σημειώματος λύτρων Proton έχει ως εξής:

Γειά σου

Όλα τα αρχεία σας έχουν κρυπτογραφηθεί
αν θέλετε να τα αποκρυπτογραφήσετε πρέπει να μου πληρώσετε 0,045 bitcoin.

Βεβαιωθείτε ότι στέλνετε τα 0,045 bitcoins σε αυτήν τη διεύθυνση:
(αλφαριθμητική συμβολοσειρά)

Εάν δεν διαθέτετε bitcoin, μπορείτε εύκολα να το αγοράσετε από αυτούς τους ιστότοπους:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

Μπορείτε να βρείτε μια μεγαλύτερη λίστα εδώ:
hxxps://bitcoin.org/en/exchanges

Μετά την αποστολή του bitcoin, επικοινωνήστε μαζί μου σε αυτήν τη διεύθυνση email:
protonis2023@tuta.io με αυτό το θέμα: -
Αφού επιβεβαιωθεί η πληρωμή,
θα λάβετε κλειδιά αποκρυπτογράφησης και αποκρυπτογράφησης!

Θα λάβετε επίσης πληροφορίες σχετικά με τον τρόπο άμυνας έναντι άλλης επίθεσης ransomware
και το πιο σημαντικό είναι η τρύπα ασφαλείας σας από την οποία μπήκαμε.

Προσοχή!
Μην δοκιμάσετε άλλες φθηνότερες επιλογές αποκρυπτογράφησης γιατί κανείς και τίποτα δεν μπορεί
αποκρυπτογραφήστε τα αρχεία σας χωρίς τα κλειδιά που δημιουργούνται για τον διακομιστή σας,
θα χάσετε χρόνο, χρήμα και τα αρχεία σας για πάντα!

Πώς μπορεί να εισέλθει στο σύστημά σας το Ransomware όπως το Proton;

Ransomware όπως το Proton μπορεί να διεισδύσει στο σύστημά σας με διάφορα μέσα, εκμεταλλευόμενοι συχνά τρωτά σημεία ή ανθρώπινες ενέργειες. Ακολουθούν ορισμένοι συνήθεις τρόποι με τους οποίους το ransomware μπορεί να εισέλθει στο σύστημά σας:

• Email ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου συχνά στέλνουν πειστικά email με κακόβουλα συνημμένα ή συνδέσμους. Κάνοντας κλικ σε αυτούς τους συνδέσμους ή ανοίγοντας μολυσμένα συνημμένα μπορεί να ενεργοποιηθεί η εγκατάσταση ransomware.
• Κακόβουλοι σύνδεσμοι: Κάνοντας κλικ σε μολυσμένους συνδέσμους από ιστοτόπους, μέσα κοινωνικής δικτύωσης ή πλατφόρμες ανταλλαγής άμεσων μηνυμάτων μπορεί να οδηγήσει σε λήψεις ransomware ή σε επιθέσεις με κίνηση.
• Κακόβουλη διαφήμιση: Κακόβουλες διαφημίσεις σε νόμιμους ιστότοπους μπορεί να οδηγήσουν σε λήψεις ransomware κατά τη διάρκεια της διαδικασίας όταν γίνονται κλικ.
• Κιτ εκμετάλλευσης: Πρόκειται για κιτ εργαλείων που στοχεύουν τρωτά σημεία σε λογισμικό όπως το λειτουργικό σας σύστημα, το πρόγραμμα περιήγησης ή τα πρόσθετα. Η επίσκεψη σε έναν παραβιασμένο ιστότοπο μπορεί να οδηγήσει σε ένα κιτ εκμετάλλευσης που παρέχει ransomware.
• Μολυσμένο λογισμικό: Η λήψη και η εγκατάσταση λογισμικού από μη αξιόπιστες πηγές μπορεί να οδηγήσει σε ακούσια εγκατάσταση ransomware.
• Ευπάθειες πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Εάν το RDP δεν είναι σωστά ασφαλισμένο, οι εισβολείς μπορούν να εκμεταλλευτούν τις ευπάθειες για να αποκτήσουν απομακρυσμένη πρόσβαση στο σύστημά σας και να εγκαταστήσουν ransomware.
• Ευπάθειες λογισμικού: Το ξεπερασμένο λογισμικό μπορεί να έχει ευπάθειες ασφαλείας τις οποίες οι εισβολείς μπορούν να εκμεταλλευτούν για να εγκαταστήσουν ransomware.
• Κακόβουλες μακροεντολές: Το άνοιγμα μολυσμένων εγγράφων του Microsoft Office με ενεργοποιημένες μακροεντολές μπορεί να οδηγήσει σε εκτέλεση ransomware.