Cipher (Proton) Ransomware

Wraz ze wzrostem liczby coraz bardziej wyrafinowanych ataków ransomware ochrona urządzeń przed zagrożeniami ze strony złośliwego oprogramowania stała się ważniejsza niż kiedykolwiek. Ransomware, szczególnie destrukcyjny typ złośliwego oprogramowania, blokuje ważne dane, szyfrując je, a następnie żąda okupu w zamian za oprogramowanie deszyfrujące. Pojawił się nowo odkryty wariant o nazwie Cipher (Proton) Ransomware, który dołączył do listy groźnych rodzin ransomware atakujących zarówno osoby prywatne, jak i organizacje. Zrozumienie, jak działa ten ransomware i wdrożenie silnych środków bezpieczeństwa jest niezbędne do zapewnienia bezpieczeństwa systemów.

Czym jest ransomware Cipher (Proton)?

Cipher (Proton) Ransomware to nowy szczep ransomware, który należy do niesławnej rodziny Proton Ransomware . Nie należy go mylić ze starszym ransomware, również śledzonym jako Cipher, ponieważ jest to osobne i nowsze zagrożenie. Podobnie jak wiele innych wariantów ransomware, Cipher (Proton) szyfruje dane w systemie ofiary, czyniąc pliki niedostępnymi. Ofiary są następnie zmuszane do zapłacenia okupu w zamian za możliwość odzyskania swoich plików, chociaż nie ma gwarancji odzyskania nawet po dokonaniu płatności.

Po wdrożeniu ransomware w zainfekowanym systemie rozpoczyna szyfrowanie plików i dodawanie do ich nazw unikatowego identyfikatora. Zazwyczaj identyfikator ten obejmuje adres e-mail atakującego, po którym następuje rozszerzenie „.cipher” — plik, który pierwotnie nazywał się 1.png, po zaszyfrowaniu będzie wyglądał jak 1.png.[watchdogs20@tuta.io].cipher.

Notatki i komunikaty dotyczące okupu

Po zakończeniu procesu szyfrowania oprogramowanie Cipher (Proton) Ransomware wyświetla żądania okupu w różnych formach:

• Przed ekranem logowania pojawia się komunikat na pełnym ekranie, który uniemożliwia użytkownikom dostęp do urządzeń do czasu zapłacenia okupu.
• Tapeta na pulpicie została zmieniona na wiadomość z żądaniem okupu.
• Plik tekstowy o nazwie „#Read-for-recovery.txt” jest umieszczany w różnych katalogach w systemie.

Te notatki różnią się od typowych wiadomości ransomware, które wyraźnie wyjaśniają proces szyfrowania i odszyfrowywania. Zamiast tego instrukcje są proste i jedynie nakłaniają ofiary do skontaktowania się z atakującymi za pomocą podanego adresu e-mail. Jednak ten brak szczegółów nie zmniejsza powagi ataku, ponieważ ofiary nadal muszą negocjować z cyberprzestępcami, aby potencjalnie odzyskać dostęp do swoich danych.

Niebezpieczeństwa związane z płaceniem okupu

Ofiary ataków ransomware, w tym te, które zostały zaatakowane przez Cipher (Proton) Ransomware, powinny być świadome, że zapłata okupu nie gwarantuje odzyskania plików. Cyberprzestępcy często nie dostarczają kluczy deszyfrujących nawet po otrzymaniu zapłaty. W wielu przypadkach ofiary pozostają bez swoich plików i po prostu finansują dalsze działania przestępcze.

Ponadto zapłata okupu zachęca cyberprzestępców do kontynuowania nielegalnych działań, atakowania większej liczby ofiar i udoskonalania taktyk. Podczas gdy niektóre ransomware mogą mieć wadliwe szyfrowanie, które można ominąć, zdarza się to rzadko i zazwyczaj do odszyfrowania wymagana jest zewnętrzna interwencja atakujących. Dlatego zaleca się, aby nie spełniać żądań okupu, ponieważ może to nie rozwiązać problemu i utrwali cykl cyberprzestępczości.

Najlepsze praktyki bezpieczeństwa w obronie przed oprogramowaniem ransomware

Aby chronić się przed ransomware, takim jak Cipher (Proton), użytkownicy muszą przyjąć silne praktyki bezpieczeństwa, które zmniejszają prawdopodobieństwo infekcji i minimalizują szkody w przypadku ataku. Poniżej przedstawiono niektóre z najskuteczniejszych strategii:

1. Regularne kopie zapasowe: Częste kopie zapasowe ważnych danych są niezbędne do złagodzenia szkód wyrządzonych przez ransomware. Utrzymując kopie zapasowe offline lub w chmurze, zapewniasz, że zaszyfrowane pliki mogą zostać przywrócone bez płacenia okupu. Upewnij się, że kopie zapasowe są przechowywane w bezpiecznych, oddzielnych lokalizacjach, aby zapobiec ich atakowi przez sam ransomware.
2. Aktualizuj oprogramowanie i systemy operacyjne : ransomware często wykorzystuje luki w zabezpieczeniach przestarzałego oprogramowania i systemów operacyjnych. Regularne aktualizacje i zarządzanie poprawkami pomagają chronić się przed znanymi lukami w zabezpieczeniach. Aktualizowanie oprogramowania układowego, systemu operacyjnego i aplikacji może zapobiec wykorzystywaniu słabości systemu przez ransomware.
3. Używaj silnych, aktualnych rozwiązań antywirusowych : aktualne rozwiązanie antywirusowe może wykryć i zablokować ransomware, zanim zdąży się uruchomić. Nowoczesne narzędzia antywirusowe oferują skanowanie w czasie rzeczywistym i ochronę przed ransomware, które mogą izolować i neutralizować zagrożenia, zanim się rozprzestrzenią. Regularnie skanuj swój system, aby identyfikować potencjalne zagrożenia i upewnić się, że oprogramowanie ma najnowsze definicje wirusów.
4. Ogranicz uprawnienia użytkownika : Ograniczenie uprawnień użytkownika jest kluczowe dla zmniejszenia ryzyka infekcji. Upewnij się, że użytkownicy mają tylko takie poziomy dostępu, jakich potrzebują do wykonywania swoich zadań. Wprowadź zasadę najmniejszych uprawnień, aby uniemożliwić ransomware uzyskanie kontroli administracyjnej nad systemem, co może znacznie ograniczyć zakres szkód w przypadku infekcji.
5. Wdrażanie segmentacji sieci : W środowiskach korporacyjnych lub na dużą skalę segmentacja sieci może zmniejszyć rozprzestrzenianie się ransomware. Izolując krytyczne systemy i poufne dane w różnych segmentach sieci, zmniejszasz możliwość bocznego przemieszczania się ransomware w sieci.

• Wyłącz makra i wykonywanie skryptów w załącznikach e-mail : Ransomware często rozprzestrzenia się za pośrednictwem fałszywych załączników e-mail zawierających makra lub skrypty. Wyłącz makra domyślnie i upewnij się, że klienci poczty e-mail są skonfigurowani tak, aby blokować potencjalnie niebezpieczne typy plików, takie jak .exe i .js. Przeszkol użytkowników w zakresie rozpoznawania wiadomości e-mail phishingowych i unikania dostępu do podejrzanych linków lub pobierania nieznanych załączników.

• Włącz uwierzytelnianie wieloskładnikowe (MFA) : MFA dodaje uzupełniającą warstwę zabezpieczeń do Twoich kont, co utrudni atakującym uzyskanie nieautoryzowanego dostępu. Nawet jeśli Twoje dane uwierzytelniające zostaną naruszone, MFA zapewnia, że wymagana jest druga forma weryfikacji, zmniejszając prawdopodobieństwo rozprzestrzeniania się oprogramowania ransomware za pośrednictwem protokołu pulpitu zdalnego (RDP) lub innych usług sieciowych.

Ransomware Cipher (Proton) stanowi poważne zagrożenie dla każdego, kto padnie jego ofiarą, z potencjałem zablokowania ważnych plików i żądania okupu, który nie daje żadnej gwarancji rozwiązania. Poprzez zrozumienie, jak działa ten ransomware i wdrożenie silnych praktyk bezpieczeństwa, użytkownicy mogą znacznie zmniejszyć prawdopodobieństwo infekcji i zminimalizować wpływ każdego ataku.

Kluczem do ochrony przed ransomware jest zapobieganie, przygotowanie i czujność. Regularne tworzenie kopii zapasowych danych, aktualne oprogramowanie zabezpieczające i świadome praktyki użytkowników są podstawą skutecznej strategii obrony. Podejmowanie dynamicznych kroków pomoże zapewnić bezpieczeństwo danych w obliczu pojawiających się zagrożeń, takich jak Cipher (Proton) Ransomware.

Treść listu z żądaniem okupu pozostawionego ofiarom ransomware Cipher (Proton):

'Email 1:
watchdogs20@tuta.io

Email 2:
watchdogs20@cock.li

Send messages to both emails at the same time

So send messages to our emails, check your spam folder every few hours

ID:
If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
Then send us a message with a new email'

Wiadomość wyświetlana podczas logowania oraz jako tło pulpitu to:

'Email us for recovery: watchdogs20@tuta.io
In case of no answer, send to this email:
watchdogs20@cock.li
Your unqiue ID:'