SWIFT 勒索软件锁定受感染系统

在分析新的恶意软件样本时，我们发现了一个与 Proton 系列相关的勒索软件变体，名为 SWIFT。渗透计算机后，SWIFT 会加密并更改文件名称、更改桌面背景并生成标题为“#SWIFT-Help.txt”的勒索字条。

要修改文件名，SWIFT 会附加电子邮件地址 swift_1@tutamail.com 并添加“.SWIFT”扩展名。例如，它将“1.jpg”转换为“1.jpg.[swift_1@tutamail.com].SWIFT”，“2.png”转换为“2.png.[swift_1@tutamail.com].SWIFT”等等。

勒索信首先描述了情况，声称攻击者利用 AES 和 ECC 算法来加密并获取受害者的所有文件，如果没有解密服务，则无法恢复文件。

随后，该说明概述了恢复步骤，强调了网络犯罪分子的经济动机，并提议以付款方式换取解密软件和数据销毁。为了展示他们的能力，该组织建议发送一个小于 1 MB 的无关紧要的文件进行解密，作为他们履行承诺的证明。

提供了联系方式，例如电子邮件地址 (swift_1@tutamail.com) 和 Telegram ID (@swift_support)，如果 24 小时内没有回复，则建议使用备用电子邮件地址 (swift@onionmail.com)。受害者被指示在电子邮件主题中包含他们的个人 ID。

总之，该说明建议不要向回收公司寻求帮助，并警告中间商可能利用其牟利。此外，受害者还被警告不要延迟付款，并不要删除或更改加密文件，以避免解密过程出现复杂情况。

完整的 SWIFT 赎金票据

SWIFT勒索信全文如下：

SWIFT
What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

有什么保证？
您可以向我们发送小于1 MG的不重要文件，我们将其解密作为保证。
如果我们不向您发送解密软件或删除被盗数据，将来就没有人向我们付款，因此我们将信守承诺。

如何联系我们？
我们的电子邮件地址：swift_1@tutamail.com
我们的电报 ID：@swift_support
如果 24 小时内没有回复，请联系此电子邮件：swift@onionmail.com
在电子邮件主题中写下您的个人 ID。

您的个人身份证：-

警告！

不要去恢复公司，他们只是中间人，会从你身上赚钱并欺骗你。
他们秘密地与我们谈判，购买解密软件，然后以数倍的价格卖给你，或者他们会简单地欺骗你。

不要犹豫很久。付款越快，价格越低。

请勿删除或修改加密文件，否则会导致文件解密出现问题。

如何保护您的数据免受勒索软件侵害？

保护您的数据免遭勒索软件侵害需要采取主动、多层次的方法。您可以采取以下一些关键步骤来保护您的数据免受勒索软件攻击：

定期备份：
定期备份重要数据，并确保备份离线存储或存储在单独的安全位置。如果文件被勒索软件加密，这可以帮助您恢复文件。

使用可靠的安全软件：
安装并定期更新信誉良好的防病毒和反恶意软件软件。该软件可以检测并阻止已知的勒索软件威胁。

保持软件更新：
定期更新您的操作系统、软件和应用程序。软件更新通常包括安全补丁，可以帮助防止勒索软件利用的漏洞。

教育和培训员工：
对员工进行安全最佳实践培训，包括如何识别网络钓鱼电子邮件和可疑链接。人为错误是勒索软件攻击的常见入口点。

使用电子邮件安全措施：
实施电子邮件过滤解决方案以阻止网络钓鱼电子邮件和恶意附件。单击链接或从未知或意外来源下载附件时请务必小心。

限制用户权限：
将用户访问权限限制在其工作职能所需的最低级别。这可以通过减少潜在威胁可访问的文件数量来帮助限制勒索软件攻击的影响。

网络分段：
对网络进行分段以隔离关键系统和敏感数据。这可以防止勒索软件在整个网络中快速传播。