Proton (Xorist) 勒索软件将加密受害者系统

在对新文件样本进行例行评估时，我们的研究团队发现了 Proton 勒索软件变种。该恶意软件与 Xorist 勒索软件系列相关。属于此类别的恶意程序会对数据进行编码并要求为解密过程付费。

在我们的实验系统上测试 Proton (Xorist) 勒索软件时，它对文件进行加密，并在其原始名称的基础上添加了“.ProOToN”扩展名。为了说明这一点，对于所有锁定的文件，名为“1.jpg”的文件已转换为“1.jpg.PrOToN”，而“2.png”则更改为“2.png.ProOToN”，依此类推。

随后，该程序更改了桌面背景并以弹出窗口、桌面壁纸和标记为“HOW TO DECRYPT FILES.txt”的文本文档的形式生成勒索字条。这些勒索信向受害者传达了这样的信息：他们的文件已被加密，恢复文件的唯一途径是向攻击者付款。赎金金额指定为 0.045 BTC（比特币加密货币），根据现行汇率，大约相当于 1300 美元（请记住，汇率会不断波动）。一旦支付了赎金，票据就会向受害者保证将提供必要的解密密钥和软件。

Proton 索要 1300 美元比特币赎金

Proton 勒索信全文如下：

你好

您的所有文件均已加密
如果你想解密它们，你必须付给我 0.045 比特币。

确保您将 0.045 比特币发送到此地址：
（字母数字字符串）

如果您没有比特币，您可以轻松地从以下网站购买：
www.coinmama.com
比特熊猫网
www.localbitcoins.com
www.paxful.com

您可以在这里找到更大的列表：
hxxps://bitcoin.org/en/exchanges

发送比特币后，请通过以下电子邮件地址与我联系：
protonis2023@tuta.io 与此主题：-
确认付款后，
您将获得解密器和解密密钥！

您还将收到有关如何防御其他勒索软件攻击的信息
最重要的是我们进入的安全漏洞。

注意力！
不要尝试其他更便宜的解密选项，因为没有人也没有什么可以
无需为您的服务器生成密钥即可解密您的文件，
您将永远失去时间、金钱和文件！

像 Proton 这样的勒索软件如何进入您的系统？

像 Proton 这样的勒索软件可以通过各种方式渗透您的系统，通常利用漏洞或人为行为。以下是勒索软件进入您系统的一些常见方式：

• 网络钓鱼电子邮件：网络犯罪分子经常发送带有恶意附件或链接的令人信服的电子邮件。单击这些链接或打开受感染的附件可能会触发勒索软件安装。
• 恶意链接：点击网站、社交媒体或即时消息平台上的受感染链接可能会导致勒索软件下载或路过式攻击。
• 恶意广告：合法网站上的恶意广告可能会导致勒索软件的偷渡式下载。
• 漏洞利用工具包：这些工具包针对操作系统、浏览器或插件等软件中的漏洞。访问受感染的网站可能会导致利用漏洞工具包传播勒索软件。
• 受感染的软件：从不受信任的来源下载并安装软件可能会导致无意中安装勒索软件。
• 远程桌面协议 (RDP) 漏洞：如果 RDP 未得到适当保护，攻击者可以利用漏洞远程访问您的系统并安装勒索软件。
• 软件漏洞：过时的软件可能存在安全漏洞，攻击者可利用这些漏洞安装勒索软件。
• 恶意宏：打开启用了宏的受感染 Microsoft Office 文档可能会导致勒索软件执行。