Proton (Xorist) Ransomware crittograferà i sistemi delle vittime

Durante la nostra valutazione di routine di nuovi campioni di file, il nostro team di ricerca si è imbattuto nella variante del ransomware Proton. Questo software dannoso è associato alla famiglia di ransomware Xorist. I programmi dannosi che rientrano in questa categoria codificano i dati e richiedono il pagamento per il processo di decrittazione.

Dopo aver testato il ransomware Proton (Xorist) sul nostro sistema sperimentale, ha eseguito la crittografia dei file e ha aggiunto un'estensione ".PrOToN" ai loro nomi originali. Per illustrare, un file denominato "1.jpg" ha subito una trasformazione in "1.jpg.PrOToN", mentre "2.png" è stato modificato in "2.png.PrOToN" e così via per tutti i file bloccati.

Successivamente, il programma ha modificato lo sfondo del desktop e generato note di riscatto sotto forma di una finestra pop-up, sfondo del desktop e un documento di testo con l'etichetta "COME DECRITTARE FILES.txt". Queste note di riscatto comunicano alla vittima che i suoi file sono stati crittografati e che l'unica strada per ripristinarli è effettuare un pagamento agli aggressori. L'importo del riscatto è specificato in 0,045 BTC (criptovaluta Bitcoin), che, in base ai tassi di cambio prevalenti, è approssimativamente equivalente a 1300 USD (tenere presente che i tassi di cambio sono soggetti a fluttuazioni costanti). Una volta pagato il riscatto, le note assicurano alla vittima che verranno fornite le chiavi e il software di decrittazione necessari.

Proton Ransom Note chiede $ 1300 in Bitcoin

Il testo completo della richiesta di riscatto di Proton recita come segue:

Ciao

Tutti i tuoi file sono stati crittografati
se vuoi decifrarli devi pagarmi 0.045 bitcoin.

Assicurati di inviare gli 0,045 bitcoin a questo indirizzo:
(stringa alfanumerica)

Se non possiedi bitcoin, puoi facilmente acquistarlo da questi siti:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

Puoi trovare un elenco più ampio qui:
hxxps://bitcoin.org/en/exchange

Dopo aver inviato il bitcoin, contattami a questo indirizzo email:
protonis2023@tuta.io con questo oggetto: -
Dopo che il pagamento è stato confermato,
otterrai decryptor e chiavi di decrittazione!

Riceverai anche informazioni su come difenderti da un altro attacco ransomware
e la cosa più importante è il tuo buco di sicurezza attraverso il quale siamo entrati.

Attenzione!
Non provare altre opzioni di decrittazione più economiche perché nessuno e niente può farlo
decifra i tuoi file senza le chiavi generate per il tuo server,
perderai tempo, denaro e i tuoi file per sempre!

In che modo un ransomware come Proton può entrare nel tuo sistema?

Ransomware come Proton può infiltrarsi nel tuo sistema con vari mezzi, spesso sfruttando vulnerabilità o azioni umane. Ecco alcuni modi comuni in cui il ransomware può entrare nel tuo sistema:

• E-mail di phishing: i criminali informatici spesso inviano e-mail convincenti con allegati o collegamenti dannosi. Facendo clic su questi collegamenti o aprendo allegati infetti è possibile attivare l'installazione del ransomware.
• Collegamenti dannosi: fare clic su collegamenti infetti da siti Web, social media o piattaforme di messaggistica istantanea può portare a download di ransomware o attacchi drive-by.
• Malvertising: le pubblicità dannose su siti Web legittimi possono portare a download drive-by di ransomware quando vengono cliccati.
• Kit di exploit: si tratta di toolkit che prendono di mira le vulnerabilità in software come il sistema operativo, il browser o i plug-in. Visitare un sito Web compromesso può portare a un exploit kit che distribuisce ransomware.
• Software infetto: il download e l'installazione di software da fonti non attendibili può comportare l'installazione involontaria di ransomware.
• Vulnerabilità di Remote Desktop Protocol (RDP): se RDP non è adeguatamente protetto, gli aggressori possono sfruttare le vulnerabilità per ottenere l'accesso remoto al sistema e installare ransomware.
• Vulnerabilità software: il software obsoleto può presentare vulnerabilità di sicurezza che gli aggressori possono sfruttare per installare ransomware.
• Macro dannose: l'apertura di documenti Microsoft Office infetti con macro abilitate può portare all'esecuzione di ransomware.