Cipher (Proton) Ransomware
З появою дедалі складніших атак програм-вимагачів захист ваших пристроїв від загроз зловмисного програмного забезпечення став ще важливішим, ніж будь-коли. Програми-вимагачі, особливо руйнівний тип зловмисного програмного забезпечення, блокують життєво важливі дані шляхом їх шифрування, а потім просять викуп в обмін на програмне забезпечення для дешифрування. З’явився нещодавно виявлений варіант під назвою Cipher (Proton) Ransomware, який поповнив список загрозливих сімей програм-вимагачів, націлених як на окремих осіб, так і на організації. Розуміння того, як працює ця програма-вимагач, і впровадження надійних заходів безпеки є важливими для забезпечення безпеки ваших систем.
Зміст
Що таке програмне забезпечення-вимагач Cipher (Proton)?
Програмне забезпечення-вимагач Cipher (Proton) — це свіжа версія програм-вимагачів, яка належить до відомого сімейства програм-вимагачів Proton . Його не слід плутати зі старішим програмним забезпеченням-вимагачем, яке також відстежується як Cipher, оскільки це окрема та новіша загроза. Як і багато інших варіантів програм-вимагачів, Cipher (Proton) шифрує дані в системі жертви, роблячи файли недоступними. Тоді жертви змушені заплатити викуп в обмін на можливість отримати свої файли, хоча гарантії відновлення немає навіть після оплати.
Після того, як програмне забезпечення-вимагач розгорнуто на скомпрометованій системі, воно починає шифрувати файли та додавати до їхніх імен файлів унікальний ідентифікатор. Як правило, цей ідентифікатор містить адресу електронної пошти зловмисників, а потім розширення «.cipher» — файл, який спочатку мав назву 1.png, після шифрування відображатиметься як 1.png.[watchdogs20@tuta.io].cipher.
Нотатки про викуп і повідомлення
Після завершення процесу шифрування програма-вимагач Cipher (Proton) відображає повідомлення про викуп у різних формах:
- Перед екраном входу з’являється повноекранне повідомлення, яке не дозволяє користувачам отримати доступ до своїх пристроїв, доки не буде розглянуто викуп.
- Шпалери робочого столу змінюються на повідомлення про викуп.
- Текстовий файл із назвою "#Read-for-recovery.txt" розміщується в різних каталогах у системі.
Ці примітки відрізняються від типових повідомлень про програми-вимагачі, які чітко пояснюють процес шифрування та дешифрування. Натомість інструкції прості й лише закликають жертв зв’язатися зі зловмисниками за допомогою наданої електронної адреси. Однак ця відсутність деталей не зменшує серйозність атаки, оскільки очікується, що жертви все ще домовляться з кіберзлочинцями, щоб потенційно відновити доступ до їхніх даних.
Небезпека сплати викупу
Жертви атак програм-вимагачів, включно з програмами-вимагачами Cipher (Proton), повинні знати, що оплата викупу не гарантує відновлення файлів. Кіберзлочинці часто не надають ключі розшифровки навіть після отримання платежу. У багатьох випадках жертви залишаються без своїх справ і просто фінансують подальшу злочинну діяльність.
Крім того, виплата викупу спонукає кіберзлочинців продовжувати свої незаконні операції, націлюючись на більше жертв і вдосконалюючи свою тактику. Хоча деякі програми-вимагачі можуть мати несправне шифрування, яке можна обійти, це трапляється рідко, і зазвичай для дешифрування потрібне зовнішнє втручання зловмисників. Тому рекомендується не виконувати вимоги про викуп, оскільки це може не вирішити проблему та призведе до продовження циклу кіберзлочинності.
Найкращі методи безпеки для захисту від програм-вимагачів
Щоб захиститися від програм-вимагачів, таких як Cipher (Proton), користувачі повинні застосувати надійні методи безпеки, які зменшують ймовірність зараження та мінімізують шкоду у разі атаки. Нижче наведено кілька найефективніших стратегій:
- Регулярне резервне копіювання: Часте резервне копіювання життєво важливих даних є важливим для пом’якшення шкоди, завданої програмами-вимагачами. Зберігаючи офлайн або хмарні резервні копії, ви гарантуєте, що зашифровані файли можна буде відновити без сплати викупу. Переконайтеся, що резервні копії зберігаються в безпечних окремих місцях, щоб запобігти їх націленню на програму-вимагач.
- Оновлюйте програмне забезпечення та операційні системи : програми-вимагачі часто зловживають уразливими місцями застарілого програмного забезпечення та операційних систем. Регулярні оновлення та керування виправленнями допомагають захистити від відомих недоліків безпеки. Підтримуйте оновлене мікропрограмне забезпечення, операційну систему та програми, щоб запобігти використанню програмами-вимагачами слабких місць у вашій системі.
- Використовуйте потужні та сучасні рішення для захисту від зловмисного програмного забезпечення : сучасне рішення для захисту від зловмисного програмного забезпечення може виявляти та блокувати програми-вимагачі до того, як вони встигнуть запуститися. Сучасні засоби захисту від зловмисного програмного забезпечення пропонують сканування в реальному часі та захист від програм-вимагачів, які можуть ізолювати та нейтралізувати загрози до їх поширення. Регулярно скануйте свою систему, щоб виявити потенційні ризики та переконатися, що програмне забезпечення має найновіші визначення вірусів.
- Обмеження привілеїв користувачів : обмеження привілеїв користувачів має вирішальне значення для зниження ризику зараження. Переконайтеся, що користувачі мають лише ті рівні доступу, які їм необхідні для виконання своїх завдань. Застосуйте правило найменших привілеїв, щоб запобігти отриманню адміністративного контролю над вашою системою програмами-вимагачами, що може значно обмежити ступінь шкоди в разі зараження.
- Застосуйте сегментацію мережі : у корпоративних або великих середовищах сегментація мережі може зменшити поширення програм-вимагачів. Ізолюючи критично важливі системи та конфіденційні дані в різних сегментах мережі, ви зменшуєте здатність програм-вимагачів переміщатися по мережі.
- Вимкніть виконання макросів і сценаріїв у вкладеннях електронної пошти : програми-вимагачі часто поширюються через шахрайські вкладення електронної пошти, що містять макроси або сценарії. Вимкніть макроси за замовчуванням і переконайтеся, що клієнти електронної пошти налаштовано на блокування потенційно небезпечних типів файлів, таких як .exe та .js. Навчіть користувачів розпізнавати фішингові електронні листи та уникати доступу до підозрілих посилань або завантаження невідомих вкладень.
- Увімкнути багатофакторну автентифікацію (MFA) : MFA додає до ваших облікових записів додатковий рівень безпеки, що ускладнить несанкціонований доступ зловмисникам. Навіть якщо ваші облікові дані зламано, MFA гарантує, що потрібна друга форма перевірки, зменшуючи ймовірність поширення програм-вимагачів через протокол віддаленого робочого столу (RDP) або інші мережеві служби.
Програмне забезпечення-вимагач Cipher (Proton) становить серйозну загрозу для кожного, хто стане його жертвою, оскільки може заблокувати критичні файли та вимагати викуп, який не гарантує вирішення. Розуміючи, як працює це програмне забезпечення-вимагач, і застосовуючи надійні методи безпеки, користувачі можуть значно зменшити ймовірність зараження та мінімізувати вплив будь-якої атаки.
Ключ до захисту від програм-вимагачів полягає в запобіганні, підготовці та пильності. Регулярне резервне копіювання даних, найновіше програмне забезпечення безпеки та уважна поведінка користувачів є наріжним каменем ефективної стратегії захисту. Виконання динамічних кроків допоможе гарантувати, що ваші дані залишаться в безпеці перед обличчям нових загроз, таких як Cipher (Proton) Ransomware.
Записка про викуп, залишена жертвам програми-вимагача Cipher (Proton):
'Email 1:
watchdogs20@tuta.ioEmail 2:
watchdogs20@cock.liSend messages to both emails at the same time
So send messages to our emails, check your spam folder every few hours
ID:
If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
Then send us a message with a new email'
Повідомлення, яке відображається під час входу та як фонове зображення робочого столу:
'Email us for recovery: watchdogs20@tuta.io
In case of no answer, send to this email:
watchdogs20@cock.li
Your unqiue ID:'
