Proton-ransomware

Cyberbeveiligingsonderzoekers ontdekten de Proton Ransomware-dreiging en waarschuwen gebruikers voor de gevaarlijke mogelijkheden ervan. Na analyse werd vastgesteld dat Proton encryptie gebruikt om de bestanden van zijn slachtoffers ontoegankelijk te maken.

De dreiging voegt ook de ID van het slachtoffer, het e-mailadres 'kigatsu@tutanota.com' en de extensie '.kigatsu' toe aan de bestandsnaam van de versleutelde bestanden. Een losgeldbrief zal dan op de geschonden apparaten worden gedropt in de vorm van een losgeldbrief met de naam 'README.txt'. Een voorbeeld van hoe de Proton-ransomware bestandsnamen verandert, is te zien door de naam van '1.png' te wijzigen in '1.png.[Kigatsu@tutanota.com][729159DF].kigatsu.'

Slachtoffers van de Proton Ransomware zullen hun gegevens laten gijzelen

De losgeldbrief die de slachtoffers van PROton Ransomware ontvangen, geeft aan dat hun bestanden zijn versleuteld met een combinatie van twee verschillende algoritmen: AES en ECC. De notitie stelt ook dat het onmogelijk is om de versleutelde bestanden te herstellen zonder decoderingsdiensten van de bedreigingsactoren te verkrijgen. Om hun capaciteiten aan te tonen, bieden de aanvallers de garantie om één voorbeeldbestand te decoderen dat kleiner is dan 1 MB.

De losgeldbrief biedt verschillende contactmethoden: een Telegram-account (@ransom70) en twee e-mailadressen ('kigatsu@tutanota.com' en 'kigatsu@mailo.com'). De notitie dringt er bij het slachtoffer op aan snel te handelen en het losgeld te betalen om een decoderingstool tegen een lagere prijs te ontvangen. Bovendien wordt het slachtoffer geadviseerd om de versleutelde bestanden op geen enkele manier te verwijderen of te wijzigen, omdat dit de ontsleuteling kan beïnvloeden.

Het is belangrijk op te merken dat het betalen van het losgeld niet wordt aanbevolen, omdat het een hoog risico op oplichting met zich meebrengt. Zelfs nadat ze het losgeld hebben betaald, krijgen de slachtoffers niet gegarandeerd een decoderingstool. Het is ook uiterst belangrijk om de ransomware onmiddellijk van geïnfecteerde systemen te verwijderen om verdere gegevensversleuteling te voorkomen.

Hoe wordt u niet nog een slachtoffer van ransomware-aanvallen?

Om een ransomware-aanval te voorkomen, moeten gebruikers op de hoogte zijn van de tactieken en technieken die aanvallers gebruiken om ransomware te verspreiden. Dit houdt onder meer in dat u op uw hoede moet zijn bij het klikken op links of het downloaden van bijlagen van onbekende bronnen, en dat u op uw hoede moet zijn voor verdachte e-mails of berichten.

Gebruikers moeten ook hun software en besturingssystemen up-to-date houden met de nieuwste beveiligingspatches om kwetsbaarheden te voorkomen die door aanvallers kunnen worden misbruikt. Daarnaast is het cruciaal om een betrouwbaar back-upsysteem te hebben, zodat gegevens kunnen worden hersteld zonder losgeld te betalen als er een aanval plaatsvindt.

Bovendien moeten gebruikers sterke wachtwoorden en meervoudige authenticatie gebruiken om hun accounts en apparaten te beveiligen. Ze moeten ook de toegang tot gevoelige informatie en systemen beperken tot degenen die deze nodig hebben.

Tot slot is het belangrijk om op de hoogte te blijven van de laatste bedreigingen en beveiligingstrends en om anderen te informeren over de risico's van ransomware. Door waakzaam te blijven en proactieve maatregelen te nemen, kunnen gebruikers het risico verkleinen om slachtoffer te worden van een ransomware-aanval.

De losgeldbrief van de Proton Ransomware bevat het volgende bericht:

'~~~ Proton ~~~

>>> What happened?

We encrypted and stolen all of your files.

We use AES and ECC algorithms.

Nobody can recover your files without our decryption service.

>>> How to recover?

We are not a politically motivated group and we want nothing more than money.

If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?

You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.

If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?

Our Telegram ID: @ransom70

Our email address: Kigatsu@tutanota.com

In case of no answer within 24 hours, contact to this email: Kigatsu@mailo.com

Write your personal ID in the subject of the email.

>>>>> Your personal ID: - <<<<<

>>> Warnings!

- Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.

They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

- Do not hesitate for a long time. The faster you pay, the lower the price.

- Do not delete or modify encrypted files, it will lead to problems with decryption of files'.