Proton Ransomware

Natuklasan ng mga mananaliksik ng Cybersecurity ang banta ng Proton Ransomware at binabalaan nila ang mga user tungkol sa mga mapanganib na kakayahan nito. Sa pagsusuri, natukoy na ang Proton ay gumagamit ng encryption upang gawing hindi naa-access ang mga file ng mga biktima nito.

Idinaragdag din ng banta ang ID ng biktima, ang email address na 'kigatsu@tutanota.com,' at ang extension na '.kigatsu' sa filename ng mga naka-encrypt na file. Ang isang ransom note ay ihuhulog sa mga nalabag na device sa ilalim ng anyo ng isang ransom note na pinangalanang 'README.txt.' Ang isang halimbawa kung paano binabago ng Proton ransomware ang mga filename ay makikita sa pagpapalit ng pangalan ng '1.png' sa '1.png.[Kigatsu@tutanota.com][729159DF].kigatsu.'

Ang mga Biktima ng Proton Ransomware ay Iho-hostage ang Kanilang Data

Ang ransom note na natatanggap ng mga biktima ng PRoton Ransomware ay nagpapahiwatig na ang kanilang mga file ay na-encrypt na may kumbinasyon ng dalawang magkaibang algorithm: AES at ECC. Ang tala ay nagsasaad din na imposibleng mabawi ang mga naka-encrypt na file nang hindi kumukuha ng mga serbisyo sa pag-decryption mula sa mga aktor ng pagbabanta. Upang ipakita ang kanilang kakayahan, nag-aalok ang mga umaatake ng garantiya na i-decrypt ang isang sample na file na mas maliit sa 1 MB.

Ang ransom note ay nagbibigay ng ilang iba't ibang paraan ng pakikipag-ugnayan: isang Telegram account (@ransom70) at dalawang email address ('kigatsu@tutanota.com' at 'kigatsu@mailo.com'). Hinihimok ng tala ang biktima na kumilos nang mabilis at magbayad ng ransom para makatanggap ng tool sa pag-decryption sa mas mababang presyo. Bukod pa rito, pinapayuhan ang biktima na huwag tanggalin o subukang baguhin ang mga naka-encrypt na file sa anumang paraan dahil maaari itong makaapekto sa pag-decryption.

Mahalagang tandaan na ang pagbabayad ng ransom ay hindi inirerekomenda, dahil ito ay may mataas na panganib na ma-scam. Kahit na pagkatapos magbayad ng ransom, ang mga biktima ay hindi garantisadong makakatanggap ng tool sa pag-decryption. Napakahalaga din na alisin kaagad ang ransomware mula sa mga nahawaang system upang maiwasan ang karagdagang pag-encrypt ng data na mangyari.

Paano hindi maging Isa pang Biktima ng Ransomware Attacks?

Upang maiwasan ang pag-atake ng ransomware, kailangang malaman ng mga user ang mga taktika at diskarte na ginagamit ng mga umaatake upang maikalat ang ransomware. Kabilang dito ang pagiging mapagbantay kapag nagki-click sa mga link o nagda-download ng mga attachment mula sa hindi kilalang pinagmulan, pati na rin ang pagiging maingat sa mga kahina-hinalang email o mensahe.

Dapat ding panatilihing napapanahon ng mga user ang kanilang software at operating system sa pinakabagong mga patch ng seguridad upang maiwasan ang mga pagkamaramdamin na maaaring pagsamantalahan ng mga umaatake. Bilang karagdagan, napakahalaga na magkaroon ng maaasahang backup system upang maibalik ang data nang hindi nagbabayad ng ransom kung may nangyaring pag-atake.

Higit pa rito, dapat gumamit ang mga user ng malalakas na password at multi-factor authentication para ma-secure ang kanilang mga account at device. Dapat din nilang limitahan ang pag-access sa sensitibong impormasyon at mga sistema lamang sa mga nangangailangan nito.

Panghuli, mahalagang manatiling may kaalaman tungkol sa mga pinakabagong banta at uso sa seguridad at upang turuan ang iba tungkol sa mga panganib ng ransomware. Sa pamamagitan ng pananatiling mapagbantay at pagsasagawa ng mga proactive na hakbang, mababawasan ng mga user ang panganib na mabiktima ng pag-atake ng ransomware.

Ang ransom note ng Proton Ransomware ay naglalaman ng sumusunod na mensahe:

'~~~ Proton ~~~

>>> What happened?

We encrypted and stolen all of your files.

We use AES and ECC algorithms.

Nobody can recover your files without our decryption service.

>>> How to recover?

We are not a politically motivated group and we want nothing more than money.

If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?

You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.

If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?

Our Telegram ID: @ransom70

Our email address: Kigatsu@tutanota.com

In case of no answer within 24 hours, contact to this email: Kigatsu@mailo.com

Write your personal ID in the subject of the email.

>>>>> Your personal ID: - <<<<<

>>> Warnings!

- Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.

They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

- Do not hesitate for a long time. The faster you pay, the lower the price.

- Do not delete or modify encrypted files, it will lead to problems with decryption of files'.