Proton Ransomware

Cybersäkerhetsforskare upptäckte Proton Ransomware-hotet och varnar användare om dess farliga funktioner. Vid analys fastställdes det att Proton använder kryptering för att göra filerna till sina offer otillgängliga.

Hotet lägger också till offrets ID, e-postadressen 'kigatsu@tutanota.com' och tillägget '.kigatsu' till filnamnet på de krypterade filerna. En lösennota kommer sedan att släppas på de intrångade enheterna i form av en lösennota med namnet 'README.txt'. En instans av hur Proton ransomware ändrar filnamn kan ses med byte av '1.png' till '1.png.[Kigatsu@tutanota.com][729159DF].kigatsu.'

Offer för Proton Ransomware kommer att hålla sina data som gisslan

Lösenanteckningen som offren för PRoton Ransomware får indikerar att deras filer har krypterats med en kombination av två olika algoritmer: AES och ECC. I noteringen står det också att det är omöjligt att återställa de krypterade filerna utan att skaffa dekrypteringstjänster från hotaktörerna. För att visa sin förmåga erbjuder angriparna en garanti att dekryptera en exempelfil som är mindre än 1 MB.

Lösenbeloppet innehåller flera olika kontaktmetoder: ett Telegram-konto (@ransom70) och två e-postadresser ('kigatsu@tutanota.com' och 'kigatsu@mailo.com'). Anteckningen uppmanar offret att agera snabbt och betala lösen för att få ett dekrypteringsverktyg till ett lägre pris. Dessutom rekommenderas offret att inte ta bort eller försöka modifiera de krypterade filerna på något sätt eftersom det kan påverka dekrypteringen.

Det är viktigt att notera att det inte rekommenderas att betala lösensumman, eftersom det innebär en hög risk att bli lurad. Även efter att ha betalat lösensumman är offren inte garanterade att få ett dekrypteringsverktyg. Det är också extremt viktigt att ta bort ransomware från infekterade system omedelbart för att förhindra att ytterligare datakryptering inträffar.

Hur kan man inte bli ännu ett offer för ransomware-attacker?

För att förhindra en ransomware-attack måste användare vara medvetna om taktiken och teknikerna som angripare använder för att sprida ransomware. Detta inkluderar att vara uppmärksam när du klickar på länkar eller laddar ner bilagor från okända källor, samt att vara försiktig med misstänkta e-postmeddelanden eller meddelanden.

Användare bör också hålla sin programvara och operativsystem uppdaterade med de senaste säkerhetskorrigeringarna för att förhindra känslighet som kan utnyttjas av angripare. Dessutom är det avgörande att ha ett tillförlitligt backupsystem på plats så att data kan återställas utan att betala en lösensumma om en attack inträffar.

Dessutom bör användare använda starka lösenord och multifaktorautentisering för att säkra sina konton och enheter. De bör också begränsa tillgången till känslig information och system endast för dem som behöver det.

Slutligen är det viktigt att hålla sig informerad om de senaste hoten och säkerhetstrenderna och att utbilda andra om riskerna med ransomware. Genom att vara vaksam och vidta proaktiva åtgärder kan användare minska risken att falla offer för en ransomware-attack.

Lösenbeloppet för Proton Ransomware innehåller följande meddelande:

'~~~ Proton ~~~

>>> What happened?

We encrypted and stolen all of your files.

We use AES and ECC algorithms.

Nobody can recover your files without our decryption service.

>>> How to recover?

We are not a politically motivated group and we want nothing more than money.

If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?

You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.

If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?

Our Telegram ID: @ransom70

Our email address: Kigatsu@tutanota.com

In case of no answer within 24 hours, contact to this email: Kigatsu@mailo.com

Write your personal ID in the subject of the email.

>>>>> Your personal ID: - <<<<<

>>> Warnings!

- Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.

They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

- Do not hesitate for a long time. The faster you pay, the lower the price.

- Do not delete or modify encrypted files, it will lead to problems with decryption of files'.