El ransomware Proton (Xorist) cifrará los sistemas de las víctimas

Durante nuestra evaluación de rutina de muestras de archivos nuevos, nuestro equipo de investigación se encontró con la variante del ransomware Proton. Este software malicioso está asociado con la familia de ransomware Xorist. Los programas maliciosos que pertenecen a esta categoría codifican datos y solicitan el pago por el proceso de descifrado.

Al probar el ransomware Proton (Xorist) en nuestro sistema experimental, llevó a cabo el cifrado de archivos y agregó una extensión ".ProToN" a sus nombres originales. Para ilustrar, un archivo llamado "1.jpg" sufrió una transformación a "1.jpg.PrOToN", mientras que "2.png" cambió a "2.png.PrOToN", y así sucesivamente para todos los archivos bloqueados.

Posteriormente, el programa alteró el fondo del escritorio y generó notas de rescate en forma de una ventana emergente, un fondo de escritorio y un documento de texto con la etiqueta "CÓMO DESCIFRAR ARCHIVOS.txt". Estas notas de rescate le comunican a la víctima que sus archivos han sido encriptados y que la única vía para restaurarlos es realizar un pago a los atacantes. El monto del rescate se especifica como 0.045 BTC (criptomoneda Bitcoin), que, según los tipos de cambio vigentes, equivale aproximadamente a 1300 USD (tenga en cuenta que los tipos de cambio están sujetos a fluctuaciones constantes). Una vez que se paga el rescate, las notas aseguran a la víctima que se proporcionarán las claves de descifrado y el software necesarios.

Proton Ransom Note pide $ 1300 en Bitcoin

El texto completo de la nota de rescate de Proton dice lo siguiente:

Hola

Todos sus archivos han sido encriptados
si quieres descifrarlos tienes que pagarme 0.045 bitcoin.

Asegúrate de enviar los 0.045 bitcoins a esta dirección:
(cadena alfanumérica)

Si no posee bitcoin, puede comprarlo fácilmente en estos sitios:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

Puede encontrar una lista más grande aquí:
hxxps://bitcoin.org/en/intercambios

Después de enviar el bitcoin, contácteme en esta dirección de correo electrónico:
protonis2023@tuta.io con este asunto: -
Una vez confirmado el pago,
¡obtendrá claves de descifrado y descifrado!

También recibirá información sobre cómo defenderse de otro ataque de ransomware
y lo más importante es tu agujero de seguridad por el que entramos.

¡Atención!
No intentes otras opciones de descifrado más baratas porque nadie ni nada puede
descifrar sus archivos sin las claves generadas para su servidor,
perderá tiempo, dinero y sus archivos para siempre!

¿Cómo puede ransomware como Proton entrar en su sistema?

El ransomware como Proton puede infiltrarse en su sistema a través de varios medios, a menudo explotando vulnerabilidades o acciones humanas. Aquí hay algunas formas comunes en que el ransomware puede ingresar a su sistema:

• Correos electrónicos de phishing: los ciberdelincuentes a menudo envían correos electrónicos convincentes con archivos adjuntos o enlaces maliciosos. Hacer clic en estos enlaces o abrir archivos adjuntos infectados puede desencadenar la instalación del ransomware.
• Enlaces maliciosos: hacer clic en enlaces infectados de sitios web, redes sociales o plataformas de mensajería instantánea puede provocar descargas de ransomware o ataques desde el automóvil.
• Publicidad maliciosa: los anuncios maliciosos en sitios web legítimos pueden provocar descargas ocultas de ransomware cuando se hace clic en ellos.
• Kits de explotación: estos son kits de herramientas que se enfocan en vulnerabilidades en software como su sistema operativo, navegador o complementos. Visitar un sitio web comprometido puede resultar en un kit de explotación que entrega ransomware.
• Software infectado: la descarga e instalación de software de fuentes no confiables puede resultar en la instalación involuntaria de ransomware.
• Vulnerabilidades del protocolo de escritorio remoto (RDP): si el RDP no está protegido correctamente, los atacantes pueden aprovechar las vulnerabilidades para obtener acceso remoto a su sistema e instalar ransomware.
• Vulnerabilidades de software: el software desactualizado puede tener vulnerabilidades de seguridad que los atacantes pueden explotar para instalar ransomware.
• Macros maliciosas: abrir documentos de Microsoft Office infectados con macros habilitadas puede provocar la ejecución de ransomware.