โปรตอน แรนซัมแวร์
นักวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบภัยคุกคาม Proton Ransomware และเตือนผู้ใช้เกี่ยวกับความสามารถที่เป็นอันตราย จากการวิเคราะห์พบว่า Proton ใช้การเข้ารหัสเพื่อทำให้ไฟล์ของเหยื่อไม่สามารถเข้าถึงได้
ภัยคุกคามยังผนวก ID ของเหยื่อ ที่อยู่อีเมล 'kigatsu@tutanota.com' และนามสกุล '.kigatsu' ต่อท้ายชื่อไฟล์ของไฟล์ที่เข้ารหัส จากนั้นบันทึกค่าไถ่จะถูกทิ้งบนอุปกรณ์ที่ถูกละเมิดภายใต้รูปแบบของบันทึกเรียกค่าไถ่ที่ชื่อว่า 'README.txt' ตัวอย่างของวิธีที่แรนซัมแวร์ Proton เปลี่ยนชื่อไฟล์สามารถดูได้ด้วยการเปลี่ยนชื่อจาก '1.png' เป็น '1.png.[Kigatsu@tutanota.com][729159DF].kigatsu'
ผู้ที่ตกเป็นเหยื่อของ Proton Ransomware จะถูกเก็บข้อมูลไว้เป็นตัวประกัน
หมายเหตุค่าไถ่ที่เหยื่อของ PRoton Ransomware ได้รับระบุว่าไฟล์ของพวกเขาได้รับการเข้ารหัสด้วยอัลกอริทึมที่แตกต่างกันสองแบบ: AES และ ECC หมายเหตุยังระบุว่าเป็นไปไม่ได้ที่จะกู้คืนไฟล์ที่เข้ารหัสโดยไม่ได้รับบริการถอดรหัสจากผู้คุกคาม เพื่อแสดงให้เห็นถึงความสามารถของพวกเขา ผู้โจมตีเสนอการรับประกันว่าจะถอดรหัสไฟล์ตัวอย่างหนึ่งไฟล์ที่มีขนาดเล็กกว่า 1 MB
บันทึกเรียกค่าไถ่มีวิธีการติดต่อที่แตกต่างกันหลายวิธี: บัญชี Telegram (@ransom70) และที่อยู่อีเมลสองรายการ ('kigatsu@tutanota.com' และ 'kigatsu@mailo.com') ข้อความดังกล่าวกระตุ้นให้เหยื่อดำเนินการอย่างรวดเร็วและจ่ายค่าไถ่เพื่อรับเครื่องมือถอดรหัสในราคาที่ถูกลง นอกจากนี้ เหยื่อไม่ควรลบหรือพยายามแก้ไขไฟล์ที่เข้ารหัสด้วยวิธีใดๆ เนื่องจากอาจส่งผลต่อการถอดรหัส
สิ่งสำคัญคือต้องทราบว่าไม่แนะนำให้จ่ายค่าไถ่ เนื่องจากมีความเสี่ยงสูงที่จะถูกหลอกลวง แม้จะจ่ายค่าไถ่แล้ว เหยื่อก็ไม่รับประกันว่าจะได้รับเครื่องมือถอดรหัส สิ่งสำคัญอย่างยิ่งคือต้องลบแรนซัมแวร์ออกจากระบบที่ติดไวรัสทันทีเพื่อป้องกันไม่ให้เกิดการเข้ารหัสข้อมูลเพิ่มเติม
จะไม่ตกเป็นเหยื่อการโจมตีของแรนซัมแวร์อีกได้อย่างไร
เพื่อป้องกันการโจมตีของแรนซัมแวร์ ผู้ใช้จำเป็นต้องทราบกลยุทธ์และเทคนิคที่ผู้โจมตีใช้ในการแพร่กระจายแรนซัมแวร์ ซึ่งรวมถึงการระแวดระวังเมื่อคลิกลิงก์หรือดาวน์โหลดไฟล์แนบจากแหล่งที่ไม่รู้จัก ตลอดจนระวังอีเมลหรือข้อความที่น่าสงสัย
ผู้ใช้ควรปรับปรุงซอฟต์แวร์และระบบปฏิบัติการให้ทันสมัยอยู่เสมอด้วยแพตช์ความปลอดภัยล่าสุด เพื่อป้องกัน ความอ่อนแอ ที่อาจถูกโจมตีโดยผู้โจมตี นอกจากนี้ จำเป็นอย่างยิ่งที่จะต้องมีระบบสำรองข้อมูลที่เชื่อถือได้ เพื่อให้สามารถกู้คืนข้อมูลได้โดยไม่ต้องจ่ายค่าไถ่หากมีการโจมตีเกิดขึ้น
นอกจากนี้ ผู้ใช้ควรใช้รหัสผ่านที่รัดกุมและการยืนยันตัวตนแบบหลายปัจจัยเพื่อรักษาความปลอดภัยบัญชีและอุปกรณ์ของตน นอกจากนี้ยังควรจำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อนและระบบเฉพาะสำหรับผู้ที่ต้องการเท่านั้น
ประการสุดท้าย สิ่งสำคัญคือการรับทราบข้อมูลเกี่ยวกับภัยคุกคามล่าสุดและแนวโน้มด้านความปลอดภัย และให้ความรู้แก่ผู้อื่นเกี่ยวกับความเสี่ยงของแรนซัมแวร์ ด้วยการเฝ้าระวังและใช้มาตรการเชิงรุก ผู้ใช้สามารถลดความเสี่ยงที่จะตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์
หมายเหตุค่าไถ่ของ Proton Ransomware มีข้อความต่อไปนี้:
'~~~ Proton ~~~
>>> What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.
>>> How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.
>>> What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.
>>> How to contact us?
Our Telegram ID: @ransom70
Our email address: Kigatsu@tutanota.com
In case of no answer within 24 hours, contact to this email: Kigatsu@mailo.com
Write your personal ID in the subject of the email.
>>>>> Your personal ID: - <<<<<
>>> Warnings!
- Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
- Do not hesitate for a long time. The faster you pay, the lower the price.
- Do not delete or modify encrypted files, it will lead to problems with decryption of files'.
