Proton (Xorist) Ransomware kommer att kryptera offersystem
Under vår rutinmässiga bedömning av nya filprover kom vårt forskarteam över Proton ransomware-varianten. Denna skadliga programvara är associerad med Xorist ransomware-familjen. Skadliga program som faller under denna kategori kodar data och begär betalning för dekrypteringsprocessen.
När vi testade Proton (Xorist) ransomware på vårt experimentella system, utförde den kryptering av filer och lade till ett ".ProToN"-tillägg till deras ursprungliga namn. För att illustrera, genomgick en fil med namnet "1.jpg" en transformation till "1.jpg.PrOToN", medan "2.png" ändrades till "2.png.PrOToN" och så vidare för alla låsta filer.
Därefter ändrade programmet skrivbordsbakgrunden och genererade lösensedlar i form av ett popup-fönster, skrivbordsunderlägg och ett textdokument märkt "HUR MAN SKRYPTAR FILES.txt." Dessa lösensedlar kommunicerar till offret att deras filer har krypterats och att den enda vägen för att återställa dem är genom att göra en betalning till angriparna. Lösenbeloppet anges som 0,045 BTC (Bitcoin cryptocurrency), vilket, baserat på rådande växelkurser, är ungefär lika med 1300 USD (tänk på att växelkurser är föremål för konstanta fluktuationer). När lösensumman är betald försäkrar anteckningarna offret att de nödvändiga dekrypteringsnycklarna och programvaran kommer att tillhandahållas.
Proton Ransom Note ber om $1300 i Bitcoin
Den fullständiga texten i Proton lösen noten lyder som följer:
Hallå
Alla dina filer har krypterats
om du vill dekryptera dem måste du betala mig 0,045 bitcoin.Se till att du skickar 0,045 bitcoins till denna adress:
(alfanumerisk sträng)Om du inte äger bitcoin kan du enkelt köpa det från dessa webbplatser:
www.coinmama.com
www.bitpanda.com
www.localbitcoins.com
www.paxful.comDu hittar en större lista här:
hxxps://bitcoin.org/en/exchangesEfter att ha skickat bitcoin, kontakta mig på denna e-postadress:
protonis2023@tuta.io med detta ämne: -
Efter att betalningen har bekräftats,
du kommer att få dekrypterings- och dekrypteringsnycklar!Du kommer också att få information om hur du försvarar dig mot en annan ransomware-attack
och det viktigaste är ditt säkerhetshål genom vilket vi gick in.Uppmärksamhet!
Försök inte andra billigare dekrypteringsalternativ eftersom ingen och ingenting kan
dekryptera dina filer utan nycklarna som genereras för din server,
du kommer att förlora tid, pengar och dina filer för alltid!
Hur kan ransomware som proton komma in i ditt system?
Ransomware som Proton kan infiltrera ditt system på olika sätt, ofta genom att utnyttja sårbarheter eller mänskliga handlingar. Här är några vanliga sätt som ransomware kan komma in i ditt system:
- Nätfiske-e-post: Cyberbrottslingar skickar ofta övertygande e-postmeddelanden med skadliga bilagor eller länkar. Att klicka på dessa länkar eller öppna infekterade bilagor kan utlösa installationen av ransomware.
- Skadliga länkar: Att klicka på infekterade länkar från webbplatser, sociala medier eller plattformar för snabbmeddelanden kan leda till nedladdningar av ransomware eller drive-by-attacker.
- Malvertising: Skadliga annonser på legitima webbplatser kan leda till drivande nedladdningar av ransomware när de klickas.
- Exploit Kits: Dessa är verktygssatser som riktar sig mot sårbarheter i programvara som ditt operativsystem, webbläsare eller plugins. Att besöka en komprometterad webbplats kan resultera i ett exploateringspaket som levererar ransomware.
- Infekterad programvara: Nedladdning och installation av programvara från otillförlitliga källor kan resultera i oavsiktlig installation av ransomware.
- Sårbarheter i Remote Desktop Protocol (RDP): Om RDP inte är ordentligt säkrad kan angripare utnyttja sårbarheter för att få fjärråtkomst till ditt system och installera ransomware.
- Sårbarheter i programvara: Föråldrad programvara kan ha säkerhetssårbarheter som angripare kan utnyttja för att installera ransomware.
- Skadliga makron: Att öppna infekterade Microsoft Office-dokument med makron aktiverade kan leda till att ransomware körs.
