Proton Ransomware

Cercetătorii în domeniul securității cibernetice au descoperit amenințarea Proton Ransomware și avertizează utilizatorii cu privire la capabilitățile sale periculoase. În urma analizei, s-a stabilit că Proton utilizează criptarea pentru a face fișierele victimelor sale inaccesibile.

Amenințarea adaugă, de asemenea, ID-ul victimei, adresa de e-mail „kigatsu@tutanota.com” și extensia „.kigatsu” la numele fișierelor criptate. O notă de răscumpărare va fi apoi aruncată pe dispozitivele încălcate sub forma unei note de răscumpărare numită „README.txt”. O instanță a modului în care ransomware-ul Proton modifică numele fișierelor poate fi văzută cu redenumirea lui „1.png” în „1.png.[Kigatsu@tutanota.com][729159DF].kigatsu”.

Victimele ransomware-ului Proton vor avea datele lor ținute ostatice

Nota de răscumpărare pe care o primesc victimele PRoton Ransomware indică faptul că fișierele lor au fost criptate cu o combinație de doi algoritmi diferiți: AES și ECC. Nota mai precizează că este imposibil să se recupereze fișierele criptate fără a obține servicii de decriptare de la actorii amenințărilor. Pentru a-și demonstra capacitatea, atacatorii oferă garanția de a decripta un fișier eșantion care este mai mic de 1 MB.

Nota de răscumpărare oferă mai multe metode de contact diferite: un cont Telegram (@ransom70) și două adrese de e-mail („kigatsu@tutanota.com” și „kigatsu@mailo.com”). Nota îndeamnă victima să acționeze rapid și să plătească răscumpărarea pentru a primi un instrument de decriptare la un preț mai mic. În plus, victima este sfătuită să nu ștergă sau să încerce să modifice fișierele criptate în niciun fel, deoarece ar putea afecta decriptarea.

Este important de reținut că plata răscumpărării nu este recomandată, deoarece prezintă un risc mare de a fi înșelat. Chiar și după plata răscumpărării, victimelor nu li se garantează că vor primi un instrument de decriptare. De asemenea, este extrem de important să eliminați imediat ransomware-ul din sistemele infectate pentru a preveni criptarea ulterioară a datelor.

Cum să nu mai fii o victimă a atacurilor ransomware?

Pentru a preveni un atac ransomware, utilizatorii trebuie să fie conștienți de tacticile și tehnicile pe care atacatorii le folosesc pentru a răspândi ransomware. Aceasta include să fii atent când dai clic pe linkuri sau când descărcați atașamente din surse necunoscute, precum și să fiți atenți la e-mailurile sau mesajele suspecte.

De asemenea, utilizatorii ar trebui să-și păstreze software-ul și sistemele de operare la zi cu cele mai recente corecții de securitate pentru a preveni susceptibilitatea care ar putea fi exploatată de atacatori. În plus, este esențial să existe un sistem de rezervă de încredere, astfel încât datele să poată fi restaurate fără a plăti o răscumpărare dacă are loc un atac.

În plus, utilizatorii ar trebui să folosească parole puternice și autentificare cu mai mulți factori pentru a-și securiza conturile și dispozitivele. De asemenea, ar trebui să limiteze accesul la informații și sisteme sensibile numai pentru cei care au nevoie de ele.

În cele din urmă, este important să rămâneți informat cu privire la cele mai recente amenințări și tendințe de securitate și să îi educați pe alții cu privire la riscurile ransomware-ului. Fiind vigilenți și luând măsuri proactive, utilizatorii pot reduce riscul de a deveni victima unui atac ransomware.

Nota de răscumpărare a Proton Ransomware conține următorul mesaj:

'~~~ Proton ~~~

>>> What happened?

We encrypted and stolen all of your files.

We use AES and ECC algorithms.

Nobody can recover your files without our decryption service.

>>> How to recover?

We are not a politically motivated group and we want nothing more than money.

If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?

You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.

If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?

Our Telegram ID: @ransom70

Our email address: Kigatsu@tutanota.com

In case of no answer within 24 hours, contact to this email: Kigatsu@mailo.com

Write your personal ID in the subject of the email.

>>>>> Your personal ID: - <<<<<

>>> Warnings!

- Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.

They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

- Do not hesitate for a long time. The faster you pay, the lower the price.

- Do not delete or modify encrypted files, it will lead to problems with decryption of files'.