Logiciel de rançon Proton

Les chercheurs en cybersécurité ont découvert la menace Proton Ransomware et avertissent les utilisateurs de ses capacités dangereuses. Après analyse, il a été déterminé que Proton utilise le cryptage pour rendre les fichiers de ses victimes inaccessibles.

La menace ajoute également l'ID de la victime, l'adresse e-mail « kigatsu@tutanota.com » et l'extension « .kigatsu » au nom de fichier des fichiers chiffrés. Une note de rançon sera alors déposée sur les appareils piratés sous la forme d'une note de rançon nommée "README.txt". Un exemple de la façon dont le rançongiciel Proton modifie les noms de fichiers peut être vu avec le changement de nom de « 1.png » en « 1.png.[Kigatsu@tutanota.com][729159DF].kigatsu ».

Les victimes du Proton Ransomware verront leurs données prises en otage

La note de rançon que les victimes du PRoton Ransomware reçoivent indique que leurs fichiers ont été cryptés avec une combinaison de deux algorithmes différents : AES et ECC. La note indique également qu'il est impossible de récupérer les fichiers cryptés sans obtenir des services de décryptage des acteurs de la menace. Pour démontrer leur capacité, les attaquants offrent la garantie de déchiffrer un exemple de fichier inférieur à 1 Mo.

La note de rançon propose plusieurs méthodes de contact différentes : un compte Telegram (@ransom70) et deux adresses e-mail ("kigatsu@tutanota.com" et "kigatsu@mailo.com"). La note exhorte la victime à agir rapidement et à payer la rançon pour recevoir un outil de décryptage à un prix inférieur. De plus, il est conseillé à la victime de ne pas supprimer ou essayer de modifier les fichiers cryptés de quelque manière que ce soit car cela pourrait affecter le décryptage.

Il est important de noter que le paiement de la rançon n'est pas recommandé, car il comporte un risque élevé d'escroquerie. Même après avoir payé la rançon, les victimes ne sont pas garanties de recevoir un outil de décryptage. Il est également extrêmement important de supprimer immédiatement le rançongiciel des systèmes infectés pour empêcher un cryptage supplémentaire des données.

Comment ne pas être une victime de plus des attaques de ransomwares ?

Pour empêcher une attaque de ransomware, les utilisateurs doivent connaître les tactiques et les techniques utilisées par les attaquants pour diffuser les ransomwares. Cela inclut d'être vigilant lorsque vous cliquez sur des liens ou de télécharger des pièces jointes à partir de sources inconnues, ainsi que de vous méfier des e-mails ou des messages suspects.

Les utilisateurs doivent également maintenir leurs logiciels et systèmes d'exploitation à jour avec les derniers correctifs de sécurité pour éviter les vulnérabilités qui pourraient être exploitées par des attaquants. De plus, il est crucial de disposer d'un système de sauvegarde fiable afin que les données puissent être restaurées sans payer de rançon en cas d'attaque.

De plus, les utilisateurs doivent utiliser des mots de passe forts et une authentification multifacteur pour sécuriser leurs comptes et leurs appareils. Ils devraient également limiter l'accès aux informations et systèmes sensibles uniquement à ceux qui en ont besoin.

Enfin, il est important de rester informé des dernières menaces et tendances en matière de sécurité et d'éduquer les autres sur les risques des ransomwares. En restant vigilants et en prenant des mesures proactives, les utilisateurs peuvent réduire le risque d'être victimes d'une attaque par ransomware.

La note de rançon du Proton Ransomware contient le message suivant :

'~~~ Proton ~~~

>>> What happened?

We encrypted and stolen all of your files.

We use AES and ECC algorithms.

Nobody can recover your files without our decryption service.

>>> How to recover?

We are not a politically motivated group and we want nothing more than money.

If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?

You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.

If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?

Our Telegram ID: @ransom70

Our email address: Kigatsu@tutanota.com

In case of no answer within 24 hours, contact to this email: Kigatsu@mailo.com

Write your personal ID in the subject of the email.

>>>>> Your personal ID: - <<<<<

>>> Warnings!

- Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.

They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

- Do not hesitate for a long time. The faster you pay, the lower the price.

- Do not delete or modify encrypted files, it will lead to problems with decryption of files'.