양성자 랜섬웨어

사이버 보안 연구원은 Proton 랜섬웨어 위협을 발견하고 사용자에게 위험한 기능에 대해 경고하고 있습니다. 분석 결과, Proton은 암호화를 사용하여 피해자의 파일에 액세스할 수 없도록 만드는 것으로 확인되었습니다.

위협은 또한 피해자의 ID, 이메일 주소 'kigatsu@tutanota.com', 확장자 '.kigatsu'를 암호화된 파일의 파일 이름에 추가합니다. 랜섬 노트는 'README.txt'라는 이름의 랜섬 노트 형식으로 침해된 장치에 드롭됩니다. Proton 랜섬웨어가 파일 이름을 변경하는 방법의 예는 '1.png'를 '1.png.[Kigatsu@tutanota.com][729159DF].kigatsu'로 이름을 바꾸는 것으로 볼 수 있습니다.

Proton 랜섬웨어의 피해자는 데이터를 인질로 잡게 됩니다

PRoton 랜섬웨어의 피해자가 받은 랜섬 노트는 파일이 AES와 ECC라는 두 가지 알고리즘의 조합으로 암호화되었음을 나타냅니다. 이 메모에는 위협 행위자로부터 암호 해독 서비스를 받지 않고는 암호화된 파일을 복구하는 것이 불가능하다고 명시되어 있습니다. 자신의 능력을 입증하기 위해 공격자는 1MB보다 작은 하나의 샘플 파일을 해독할 것을 보장합니다.

랜섬노트는 Telegram 계정(@ransom70)과 두 개의 이메일 주소('kigatsu@tutanota.com' 및 'kigatsu@mailo.com') 등 여러 가지 연락 방법을 제공합니다. 이 메모는 피해자가 더 낮은 가격으로 암호 해독 도구를 받을 수 있도록 신속하게 행동하고 몸값을 지불할 것을 촉구합니다. 또한 피해자는 복호화에 영향을 미칠 수 있으므로 어떤 방식으로든 암호화된 파일을 삭제하거나 수정하려고 시도하지 않는 것이 좋습니다.

몸값을 지불하는 것은 사기를 당할 위험이 높기 때문에 권장하지 않습니다. 몸값을 지불한 후에도 피해자가 암호 해독 도구를 받을 수 있다는 보장은 없습니다. 추가 데이터 암호화가 발생하지 않도록 감염된 시스템에서 랜섬웨어를 즉시 제거하는 것도 매우 중요합니다.

랜섬웨어 공격의 또 다른 피해자가 되지 않으려면 어떻게 해야 합니까?

랜섬웨어 공격을 방지하려면 사용자는 공격자가 랜섬웨어를 확산시키기 위해 사용하는 전술과 기법을 알고 있어야 합니다. 여기에는 링크를 클릭하거나 출처를 알 수 없는 첨부 파일을 다운로드할 때 주의하고 의심스러운 이메일이나 메시지를 경계하는 것이 포함됩니다.

또한 사용자는 공격자가 악용할 수 있는 민감성을 방지하기 위해 최신 보안 패치로 소프트웨어 및 운영 체제를 최신 상태로 유지해야 합니다. 또한 공격이 발생할 경우 몸값을 지불하지 않고 데이터를 복원할 수 있도록 안정적인 백업 시스템을 갖추는 것이 중요합니다.

또한 사용자는 강력한 암호와 다단계 인증을 사용하여 계정과 장치를 보호해야 합니다. 또한 민감한 정보와 시스템에 대한 액세스를 필요한 사람에게만 제한해야 합니다.

마지막으로 최신 위협 및 보안 동향에 대한 정보를 유지하고 다른 사람들에게 랜섬웨어의 위험에 대해 교육하는 것이 중요합니다. 경계를 유지하고 선제적인 조치를 취함으로써 사용자는 랜섬웨어 공격의 피해자가 될 위험을 줄일 수 있습니다.

Proton Ransomware의 랜섬 노트에는 다음 메시지가 포함되어 있습니다.

'~~~ Proton ~~~

>>> What happened?

We encrypted and stolen all of your files.

We use AES and ECC algorithms.

Nobody can recover your files without our decryption service.

>>> How to recover?

We are not a politically motivated group and we want nothing more than money.

If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?

You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.

If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?

Our Telegram ID: @ransom70

Our email address: Kigatsu@tutanota.com

In case of no answer within 24 hours, contact to this email: Kigatsu@mailo.com

Write your personal ID in the subject of the email.

>>>>> Your personal ID: - <<<<<

>>> Warnings!

- Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.

They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

- Do not hesitate for a long time. The faster you pay, the lower the price.

- Do not delete or modify encrypted files, it will lead to problems with decryption of files'.