A Proton (Xorist) Ransomware titkosítja az áldozati rendszereket

Az új fájlminták rutinszerű értékelése során kutatócsoportunk a Proton ransomware változatára bukkant. Ez a rosszindulatú szoftver a Xorist ransomware családhoz kapcsolódik. Az ebbe a kategóriába tartozó rosszindulatú programok adatokat kódolnak, és fizetést kérnek a visszafejtési folyamatért.

Kísérleti rendszerünkön a Proton (Xorist) ransomware tesztelésekor a fájlok titkosítását végezte el, és egy ".ProToN" kiterjesztést adott az eredeti nevükhöz. Szemléltetésképpen egy „1.jpg” nevű fájl „1.jpg.ProTON”-ra, míg a „2.png” „2.png.ProTON”-ra változott, és így tovább minden zárolt fájl esetében.

Ezt követően a program megváltoztatta az asztal hátterét, és váltságdíj-jegyzeteket generált egy felugró ablak, az asztali háttérkép és egy "HOGYAN MEGTÖLTŐ FÁJLOK.txt" feliratú szöveges dokumentum formájában. Ezek a váltságdíj-jegyzetek közlik az áldozattal, hogy fájljaik titkosítva vannak, és az egyetlen lehetőség a visszaállításukra a támadóknak történő fizetés útján. A váltságdíj összege 0,045 BTC (Bitcoin kriptovaluta), ami az aktuális árfolyamok alapján hozzávetőlegesen 1300 USD-nak felel meg (ne feledje, hogy az árfolyamok állandó ingadozásoknak vannak kitéve). A váltságdíj kifizetése után a jegyzetek biztosítják az áldozatot, hogy a szükséges visszafejtési kulcsokat és szoftvert megkapják.

A Proton Ransom Note 1300 dollárt kér Bitcoinban

A Proton váltságdíjról szóló feljegyzés teljes szövege a következő:

Helló

Minden fájlja titkosítva van
ha vissza akarod fejteni őket, 0,045 bitcoint kell fizetned.

Ügyeljen arra, hogy a 0,045 bitcoint erre a címre küldje:
(alfanumerikus karakterlánc)

Ha nem rendelkezik bitcoinnal, könnyen megvásárolhatja az alábbi oldalakon:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

Nagyobb listát itt találsz:
hxxps://bitcoin.org/en/exchanges

A bitcoin elküldése után vegye fel velem a kapcsolatot ezen az e-mail címen:
protonis2023@tuta.io ezzel a témával: -
A fizetés megerősítése után
kapsz dekódoló és visszafejtő kulcsokat!

Arról is tájékoztatást kap, hogyan védekezhet egy másik zsarolóvírus-támadás ellen
és a legfontosabb dolog a biztonsági lyuk, amelyen keresztül beléptünk.

Figyelem!
Ne próbálkozzon más olcsóbb visszafejtési lehetőséggel, mert senki és semmi nem tudja
dekódolja fájljait a szerverhez generált kulcsok nélkül,
időt, pénzt és fájljait örökre elveszíti!

Hogyan léphet be a rendszerébe a Ransomware, mint a Proton?

A zsarolóvírusok, mint például a Proton, különféle módon behatolhatnak a rendszerébe, gyakran kihasználva a sebezhetőségeket vagy az emberi tevékenységeket. Íme néhány gyakori mód, ahogyan a zsarolóvírusok bejuthatnak a rendszerébe:

• Adathalász e-mailek: A kiberbűnözők gyakran küldenek meggyőző e-maileket rosszindulatú mellékletekkel vagy hivatkozásokkal. Ha ezekre a hivatkozásokra kattint, vagy megnyitja a fertőzött mellékleteket, az elindíthatja a zsarolóprogram telepítését.
• Rosszindulatú linkek: A webhelyekről, közösségi médiáról vagy azonnali üzenetküldő platformokról származó fertőzött linkekre való kattintás zsarolóprogramok letöltéséhez vagy támadásokhoz vezethet.
• Rosszindulatú hirdetések: A törvényes webhelyeken megjelenő rosszindulatú hirdetések kattintás után zsarolóprogramok letöltéséhez vezethetnek.
• Exploit Kits: Ezek olyan eszközkészletek, amelyek olyan szoftverek sebezhetőségeit célozzák meg, mint az operációs rendszer, a böngésző vagy a beépülő modulok. Egy feltört webhely meglátogatása egy zsarolóprogramot szállító exploit készletet eredményezhet.
• Fertőzött szoftver: A nem megbízható forrásból származó szoftverek letöltése és telepítése zsarolóprogramok véletlen telepítését eredményezheti.
• A Remote Desktop Protocol (RDP) biztonsági rései: Ha az RDP nincs megfelelően védett, a támadók kihasználhatják a biztonsági réseket, hogy távoli hozzáférést kapjanak a rendszerhez, és zsarolóprogramokat telepítsenek.
• Szoftver sebezhetőségei: Az elavult szoftverek biztonsági réseket tartalmazhatnak, amelyeket a támadók kihasználhatnak zsarolóvírusok telepítésére.
• Rosszindulatú makrók: A fertőzött Microsoft Office dokumentumok megnyitása engedélyezett makrók mellett zsarolóvírus-végrehajtáshoz vezethet.