Cipher (Proton) вирус-вымогатель

С ростом числа все более сложных атак программ-вымогателей защита ваших устройств от вредоносных угроз стала более важной, чем когда-либо. Программы-вымогатели, особенно разрушительный тип вредоносных программ, блокируют важные данные, шифруя их, а затем требуют выкуп в обмен на программное обеспечение для расшифровки. Появился недавно обнаруженный вариант под названием Cipher (Proton) Ransomware, пополнивший список угрожающих семейств программ-вымогателей, нацеленных как на отдельных лиц, так и на организации. Понимание того, как работает эта программа-вымогатель, и реализация надежных мер безопасности имеют важное значение для обеспечения безопасности ваших систем.

Что такое вирус-вымогатель Cipher (Proton)?

The Cipher (Proton) Ransomware — это новый штамм программ-вымогателей, принадлежащий к печально известному семейству Proton Ransomware . Его не следует путать со старыми программами-вымогателями, также отслеживаемыми как Cipher, поскольку это отдельная и более новая угроза. Как и многие другие варианты программ-вымогателей, Cipher (Proton) шифрует данные в системе жертвы, делая файлы недоступными. Затем жертвы вынуждены платить выкуп в обмен на возможность восстановления своих файлов, хотя нет никакой гарантии восстановления даже после оплаты.

После того, как вирус-вымогатель внедряется в скомпрометированную систему, он начинает шифровать файлы и добавлять к их именам уникальный идентификатор. Обычно этот идентификатор включает адрес электронной почты злоумышленников, за которым следует расширение '.cipher' - файл, который изначально назывался 1.png, после шифрования будет отображаться как 1.png.[watchdogs20@tuta.io].cipher.

Записки о выкупе и сообщения

После завершения процесса шифрования вирус-вымогатель Cipher (Proton) отображает записки с требованием выкупа в различных формах:

• Перед экраном входа в систему появляется полноэкранное сообщение, не позволяющее пользователям получить доступ к своим устройствам до тех пор, пока выкуп не будет выплачен.
• Обои рабочего стола меняются на сообщение с требованием выкупа.
• Текстовый файл с именем «#Read-for-recovery.txt» размещается в различных каталогах системы.

Эти заметки отличаются от типичных сообщений программ-вымогателей, которые явно объясняют процесс шифрования и дешифрования. Вместо этого инструкции просты и только призывают жертв связаться с злоумышленниками, используя предоставленный адрес электронной почты. Однако это отсутствие подробностей не снижает серьезности атаки, поскольку жертвам по-прежнему предстоит вести переговоры с киберпреступниками, чтобы потенциально восстановить доступ к своим данным.

Опасности уплаты выкупа

Жертвы атак программ-вымогателей, включая тех, кто пострадал от Cipher (Proton) Ransomware, должны знать, что выплата выкупа не гарантирует восстановление файлов. Киберпреступники часто не предоставляют ключи дешифрования даже после получения оплаты. Во многих случаях жертвы остаются без своих файлов и просто финансируют дальнейшую преступную деятельность.

Более того, выплата выкупа побуждает киберпреступников продолжать свои незаконные операции, нацеливаясь на большее количество жертв и совершенствуя свою тактику. Хотя некоторые программы-вымогатели могут иметь несовершенное шифрование, которое можно обойти, это случается редко, и обычно для расшифровки требуется внешнее вмешательство злоумышленников. Поэтому рекомендуется не выполнять требования выкупа, поскольку это может не решить проблему и увековечить цикл киберпреступности.

Лучшие методы безопасности для защиты от программ-вымогателей

Чтобы защититься от программ-вымогателей, таких как Cipher (Proton), пользователи должны принять надежные меры безопасности, которые снижают вероятность заражения и минимизируют ущерб в случае атаки. Ниже приведены некоторые из наиболее эффективных стратегий:

1. Регулярное резервное копирование: частое резервное копирование важных данных необходимо для смягчения ущерба, наносимого программой-вымогателем. Поддерживая офлайн- или облачные резервные копии, вы гарантируете, что зашифрованные файлы могут быть восстановлены без уплаты выкупа. Убедитесь, что резервные копии хранятся в безопасных отдельных местах, чтобы предотвратить их атаку со стороны самой программы-вымогателя.
2. Обновляйте программное обеспечение и операционные системы : программы-вымогатели часто используют уязвимости в устаревшем программном обеспечении и операционных системах. Регулярные обновления и управление исправлениями помогают защититься от известных уязвимостей безопасности. Поддержание прошивки, операционной системы и приложений в актуальном состоянии может помешать программам-вымогателям использовать уязвимости в вашей системе.
3. Используйте мощные, современные решения по борьбе с вредоносным ПО : современное решение по борьбе с вредоносным ПО может обнаружить и заблокировать программы-вымогатели до того, как они успеют выполниться. Современные средства борьбы с вредоносным ПО предлагают сканирование в реальном времени и защиту от программ-вымогателей, которые могут изолировать и нейтрализовать угрозы до их распространения. Регулярно сканируйте свою систему, чтобы выявить потенциальные риски и убедиться, что программное обеспечение имеет последние определения вирусов.
4. Ограничьте привилегии пользователей : ограничение привилегий пользователей имеет решающее значение для снижения риска заражения. Убедитесь, что пользователи имеют только те уровни доступа, которые им необходимы для выполнения своих задач. Примените правило наименьших привилегий, чтобы не допустить получения администрирования вашей системы программами-вымогателями, что может значительно ограничить масштаб ущерба в случае заражения.
5. Внедрите сегментацию сети : в корпоративных или крупномасштабных средах сегментация сети может уменьшить распространение программ-вымогателей. Изолируя критические системы и конфиденциальные данные в разных сегментах сети, вы уменьшаете способность программ-вымогателей перемещаться по сети.

• Отключите макросы и выполнение скриптов в вложениях электронной почты : программы-вымогатели часто распространяются через мошеннические вложения электронной почты, содержащие макросы или скрипты. Отключите макросы по умолчанию и убедитесь, что почтовые клиенты настроены на блокировку потенциально опасных типов файлов, таких как .exe и .js. Обучите пользователей распознавать фишинговые письма и избегать доступа к подозрительным ссылкам или загрузки неизвестных вложений.

• Включить многофакторную аутентификацию (MFA) : MFA добавляет дополнительный уровень безопасности к вашим учетным записям, что усложнит злоумышленникам получение несанкционированного доступа. Даже если ваши учетные данные скомпрометированы, MFA гарантирует, что потребуется вторая форма проверки, что снижает вероятность распространения программ-вымогателей через протокол удаленного рабочего стола (RDP) или другие сетевые службы.

Программа-вымогатель Cipher (Proton) представляет серьезную угрозу для любого, кто станет ее жертвой, с потенциалом блокировать критически важные файлы и требовать выкуп, который не дает никаких гарантий решения. Понимая, как работает эта программа-вымогатель, и внедряя надежные методы безопасности, пользователи могут значительно снизить вероятность заражения и минимизировать последствия любой атаки.

Ключ к защите от программ-вымогателей заключается в профилактике, подготовке и бдительности. Регулярное резервное копирование данных, актуальное программное обеспечение безопасности и осознанные действия пользователей являются краеугольным камнем эффективной стратегии защиты. Принятие динамических мер поможет гарантировать, что ваши данные останутся в безопасности перед лицом новых угроз, таких как Cipher (Proton) Ransomware.

Записка с требованием выкупа, оставленная жертвам вируса-вымогателя Cipher (Proton), выглядит следующим образом:

'Email 1:
watchdogs20@tuta.io

Email 2:
watchdogs20@cock.li

Send messages to both emails at the same time

So send messages to our emails, check your spam folder every few hours

ID:
If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
Then send us a message with a new email'

Сообщение, отображаемое при входе в систему и в качестве фонового изображения рабочего стола, выглядит следующим образом:

'Email us for recovery: watchdogs20@tuta.io
In case of no answer, send to this email:
watchdogs20@cock.li
Your unqiue ID:'