Oprogramowanie ransomware Proton (Xorist) zaszyfruje systemy ofiar

Podczas rutynowej oceny nowych próbek plików nasz zespół badawczy natknął się na odmianę oprogramowania ransomware Proton. To złośliwe oprogramowanie jest powiązane z rodziną ransomware Xorist. Złośliwe programy należące do tej kategorii kodują dane i żądają zapłaty za proces odszyfrowywania.

Podczas testowania oprogramowania ransomware Proton (Xorist) w naszym systemie eksperymentalnym przeprowadzało ono szyfrowanie plików i dodawało rozszerzenie „.ProToN” do ich oryginalnych nazw. Aby to zilustrować, plik o nazwie „1.jpg” został przekształcony w „1.jpg.ProToN”, podczas gdy „2.png” zmienił się w „2.png.ProToN” i tak dalej dla wszystkich zablokowanych plików.

Następnie program zmienił tło pulpitu i wygenerował żądanie okupu w postaci wyskakującego okienka, tapety pulpitu i dokumentu tekstowego oznaczonego "JAK ODSZYFROWAĆ PLIKI.txt". Te żądania okupu informują ofiarę, że jej pliki zostały zaszyfrowane i że jedynym sposobem na ich przywrócenie jest dokonanie płatności na rzecz atakujących. Kwota okupu jest określona jako 0,045 BTC (kryptowaluta Bitcoin), co w oparciu o obowiązujące kursy wymiany odpowiada w przybliżeniu równowartości 1300 USD (należy pamiętać, że kursy wymiany podlegają ciągłym wahaniom). Po zapłaceniu okupu notatki zapewniają ofiarę, że zostaną dostarczone niezbędne klucze deszyfrujące i oprogramowanie.

Proton Ransom Note prosi o 1300 $ w Bitcoinach

Pełny tekst żądania okupu Proton brzmi następująco:

Cześć

Wszystkie twoje pliki zostały zaszyfrowane
jeśli chcesz je odszyfrować, musisz zapłacić mi 0,045 bitcoina.

Upewnij się, że wysyłasz bitcoiny 0,045 na ten adres:
(ciąg znaków alfanumerycznych)

Jeśli nie posiadasz bitcoina, możesz go łatwo kupić na tych stronach:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.com

Większą listę znajdziesz tutaj:
hxxps://bitcoin.org/en/exchanges

Po wysłaniu bitcoina skontaktuj się ze mną na ten adres e-mail:
protonis2023@tuta.io z tym tematem: -
Po potwierdzeniu płatności,
otrzymasz klucze deszyfrujące i deszyfrujące!

Otrzymasz również informacje, jak bronić się przed kolejnym atakiem ransomware
a najważniejsza jest wasza luka bezpieczeństwa, przez którą weszliśmy.

Uwaga!
Nie próbuj innych tańszych opcji odszyfrowywania, ponieważ nikt i nic nie może
odszyfruj swoje pliki bez kluczy generowanych dla Twojego serwera,
stracisz czas, pieniądze i pliki na zawsze!

W jaki sposób ransomware, takie jak Proton, może dostać się do twojego systemu?

Ransomware, takie jak Proton, może przeniknąć do twojego systemu na różne sposoby, często wykorzystując luki w zabezpieczeniach lub działania człowieka. Oto kilka typowych sposobów, w jakie oprogramowanie ransomware może dostać się do twojego systemu:

• E-maile phishingowe: Cyberprzestępcy często wysyłają przekonujące e-maile ze złośliwymi załącznikami lub linkami. Kliknięcie tych linków lub otwarcie zainfekowanych załączników może spowodować instalację ransomware.
• Złośliwe łącza: Kliknięcie zainfekowanych łączy ze stron internetowych, mediów społecznościowych lub komunikatorów internetowych może prowadzić do pobrania oprogramowania ransomware lub ataków drive-by.
• Złośliwe reklamy: Złośliwe reklamy na legalnych stronach internetowych mogą prowadzić do pobierania ransomware po kliknięciu.
• Zestawy eksploitów: Są to zestawy narzędzi, które atakują luki w oprogramowaniu, takim jak system operacyjny, przeglądarka lub wtyczki. Odwiedzenie zainfekowanej witryny może spowodować, że zestaw exploitów dostarczy oprogramowanie ransomware.
• Zainfekowane oprogramowanie: Pobieranie i instalowanie oprogramowania z niezaufanych źródeł może spowodować niezamierzone zainstalowanie oprogramowania ransomware.
• Luki w protokole pulpitu zdalnego (RDP): jeśli protokół RDP nie jest odpowiednio zabezpieczony, osoby atakujące mogą wykorzystać luki w zabezpieczeniach, aby uzyskać zdalny dostęp do systemu i zainstalować oprogramowanie ransomware.
• Luki w oprogramowaniu: nieaktualne oprogramowanie może mieć luki w zabezpieczeniach, które atakujący mogą wykorzystać do zainstalowania oprogramowania ransomware.
• Złośliwe makra: otwieranie zainfekowanych dokumentów pakietu Microsoft Office z włączonymi makrami może prowadzić do wykonania oprogramowania ransomware.