Proton Ransomware

Kyberturvallisuustutkijat löysivät Proton Ransomware -uhan ja varoittavat käyttäjiä sen vaarallisista ominaisuuksista. Analyysin jälkeen todettiin, että Proton käyttää salausta tehdäkseen uhriensa tiedostot käyttökelvottomiksi.

Uhka liittää salattujen tiedostojen tiedostonimeen myös uhrin tunnuksen, sähköpostiosoitteen 'kigatsu@tutanota.com' ja tunnisteen '.kigatsu'. Rikkoutuneille laitteille pudotetaan sitten lunnaita README.txt-nimisen lunnaussetelin alla. Esimerkki siitä, kuinka Proton ransomware muuttaa tiedostonimiä, voidaan nähdä nimeämällä 1.png uudelleen muotoon 1.png.[Kigatsu@tutanota.com][729159DF].kigatsu.

Proton Ransomwaren uhrien tietonsa pidetään panttivankina

PROton Ransomwaren uhrien saama lunnaat osoittavat, että heidän tiedostonsa on salattu kahden eri algoritmin yhdistelmällä: AES ja ECC. Muistiossa todetaan myös, että salattujen tiedostojen palauttaminen on mahdotonta hankkimatta salauksen purkupalveluita uhkatoimijoilta. Osoittaakseen kykynsä hyökkääjät tarjoavat takuun yhden alle 1 Mt:n mallitiedoston salauksen purkamisesta.

Lunnasmuistiossa on useita eri yhteydenottotapoja: Telegram-tili (@ransom70) ja kaksi sähköpostiosoitetta ('kigatsu@tutanota.com' ja 'kigatsu@mailo.com'). Muistio kehottaa uhria toimimaan nopeasti ja maksamaan lunnaat saadakseen salauksenpurkutyökalun halvemmalla. Lisäksi uhria kehotetaan olemaan poistamatta tai yrittämättä muokata salattuja tiedostoja millään tavalla, koska se voi vaikuttaa salauksen purkamiseen.

On tärkeää huomata, että lunnaiden maksamista ei suositella, koska siihen liittyy suuri riski joutua huijatuksi. Jopa lunnaiden maksamisen jälkeen uhrit eivät saa taattua salauksen purkutyökalua. On myös erittäin tärkeää poistaa kiristysohjelmat välittömästi tartunnan saaneista järjestelmistä, jotta vältytään tietojen salaamiselta.

Kuinka olla vielä yksi kiristysohjelmahyökkäysten uhri?

Estääkseen kiristysohjelmahyökkäyksen käyttäjien on oltava tietoisia taktiikoista ja tekniikoista, joita hyökkääjät käyttävät kiristysohjelmien levittämiseen. Tämä sisältää valppautta klikatessa linkkejä tai ladattaessa liitteitä tuntemattomista lähteistä sekä varoa epäilyttäviä sähköposteja tai viestejä.

Käyttäjien tulee myös pitää ohjelmistonsa ja käyttöjärjestelmänsä ajan tasalla uusimmilla tietoturvakorjauksilla, jotta hyökkääjät eivät pääse hyödyntämään herkkyyttä . Lisäksi on tärkeää, että käytössä on luotettava varmuuskopiojärjestelmä, jotta tiedot voidaan palauttaa ilman lunnaita, jos hyökkäys tapahtuu.

Lisäksi käyttäjien tulee käyttää vahvoja salasanoja ja monivaiheista todennusta tiliensä ja laitteidensa suojaamiseen. Niiden olisi myös rajoitettava pääsy arkaluonteisiin tietoihin ja järjestelmiin vain niitä tarvitseviin.

Lopuksi on tärkeää pysyä ajan tasalla uusimmista uhista ja tietoturvatrendeistä ja kouluttaa muita kiristysohjelmien riskeistä. Pysymällä valppaana ja ryhtymällä ennakoiviin toimiin käyttäjät voivat vähentää riskiä joutua kiristysohjelmahyökkäyksen uhriksi.

Proton Ransomwaren lunnaat sisältävät seuraavan viestin:

'~~~ Proton ~~~

>>> What happened?

We encrypted and stolen all of your files.

We use AES and ECC algorithms.

Nobody can recover your files without our decryption service.

>>> How to recover?

We are not a politically motivated group and we want nothing more than money.

If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?

You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.

If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?

Our Telegram ID: @ransom70

Our email address: Kigatsu@tutanota.com

In case of no answer within 24 hours, contact to this email: Kigatsu@mailo.com

Write your personal ID in the subject of the email.

>>>>> Your personal ID: - <<<<<

>>> Warnings!

- Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.

They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

- Do not hesitate for a long time. The faster you pay, the lower the price.

- Do not delete or modify encrypted files, it will lead to problems with decryption of files'.