Ransomware Cipher (Proton)

Con l'aumento di attacchi ransomware sempre più sofisticati, proteggere i tuoi dispositivi dalle minacce malware è diventato più critico che mai. Il ransomware, un tipo di malware particolarmente distruttivo, blocca i dati vitali crittografandoli e poi chiede un riscatto in cambio del software di decrittazione. È emersa una variante di recente scoperta chiamata Cipher (Proton) Ransomware, che si aggiunge all'elenco delle famiglie di ransomware minacciose che prendono di mira sia individui che organizzazioni. Comprendere come funziona questo ransomware e implementare misure di sicurezza efficaci è essenziale per mantenere i tuoi sistemi al sicuro.

Che cos’è il ransomware Cipher (Proton)?

Il ransomware Cipher (Proton) è un nuovo ceppo di ransomware che appartiene alla famigerata famiglia di ransomware Proton . Non deve essere confuso con ransomware più vecchi, anch'essi tracciati come Cipher, poiché si tratta di una minaccia separata e più recente. Come molte altre varianti di ransomware, il Cipher (Proton) crittografa i dati sul sistema della vittima, rendendo i file inaccessibili. Le vittime sono quindi costrette a pagare un riscatto in cambio della possibilità di recuperare i propri file, sebbene non vi sia alcuna garanzia di recupero anche dopo il pagamento.

Una volta che il ransomware viene distribuito su un sistema compromesso, inizia a crittografare i file e ad aggiungere ai loro nomi file un identificatore univoco. In genere, questo identificatore include l'indirizzo email degli aggressori, seguito dall'estensione '.cipher': un file che in origine era denominato 1.png apparirebbe come 1.png.[watchdogs20@tuta.io].cipher dopo la crittografia.

Note di riscatto e comunicazione

Dopo aver completato il processo di crittografia, il ransomware Cipher (Proton) visualizza le richieste di riscatto in vari formati:

• Un messaggio a schermo intero appare prima della schermata di accesso, impedendo agli utenti di accedere ai propri dispositivi finché non verrà chiesto il riscatto.
• Lo sfondo del desktop viene sostituito da un messaggio di riscatto.
• Un file di testo denominato '#Read-for-recovery.txt' viene inserito in varie directory del sistema.

Queste note differiscono dai tipici messaggi ransomware che spiegano esplicitamente il processo di crittografia e decrittografia. Invece, le istruzioni sono semplici e sollecitano solo le vittime a contattare gli aggressori utilizzando l'indirizzo e-mail fornito. Tuttavia, questa mancanza di dettagli non riduce la gravità dell'attacco, poiché ci si aspetta comunque che le vittime negozino con i criminali informatici per riavere potenzialmente accesso ai propri dati.

I pericoli del pagamento del riscatto

Le vittime di attacchi ransomware, comprese quelle colpite dal Cipher (Proton) Ransomware, devono essere consapevoli che il pagamento del riscatto non garantisce il recupero dei file. I criminali informatici spesso non forniscono le chiavi di decrittazione anche dopo aver ricevuto il pagamento. In molti casi, le vittime rimangono senza i loro file e stanno semplicemente finanziando ulteriori attività criminali.

Inoltre, il pagamento di un riscatto incoraggia i criminali informatici a continuare le loro operazioni illecite, prendendo di mira più vittime e perfezionando le loro tattiche. Mentre alcuni ransomware potrebbero avere una crittografia difettosa che può essere aggirata, ciò è raro e, in genere, è richiesto un intervento esterno da parte degli aggressori per la decrittazione. Pertanto, si consiglia di non ottemperare alle richieste di riscatto, poiché ciò potrebbe non risolvere il problema e perpetuerebbe il ciclo della criminalità informatica.

Le migliori pratiche di sicurezza per difendersi dal ransomware

Per proteggersi da ransomware come Cipher (Proton), gli utenti devono adottare solide pratiche di sicurezza che riducano la probabilità di infezione e minimizzino i danni in caso di attacco. Di seguito sono riportate alcune delle strategie più efficaci:

1. Backup regolari: backup frequenti di dati vitali sono essenziali per mitigare i danni causati dal ransomware. Mantenendo backup offline o su cloud, ti assicuri che i file cifrati possano essere ripristinati senza pagare il riscatto. Assicurati che i backup siano archiviati in posizioni sicure e separate per evitare che vengano presi di mira dal ransomware stesso.
2. Mantieni aggiornati software e sistemi operativi : un ransomware spesso sfrutta le vulnerabilità di software e sistemi operativi obsoleti. Aggiornamenti regolari e gestione delle patch aiutano a proteggere da noti difetti di sicurezza. Mantenere aggiornati firmware, sistema operativo e applicazioni può impedire al ransomware di sfruttare le debolezze del sistema.
3. Utilizza soluzioni anti-malware potenti e aggiornate : una soluzione anti-malware aggiornata può rilevare e bloccare il ransomware prima che abbia la possibilità di essere eseguito. I moderni strumenti anti-malware offrono scansione in tempo reale e protezione dal ransomware in grado di isolare e neutralizzare le minacce prima che si diffondano. Esegui regolarmente la scansione del sistema per identificare potenziali rischi e assicurarti che il software abbia le definizioni dei virus più recenti.
4. Limita i privilegi utente : limitare i privilegi utente è fondamentale per ridurre il rischio di infezione. Assicurati che gli utenti abbiano solo i livelli di accesso di cui hanno bisogno per svolgere le loro attività. Promulga la regola del privilegio minimo per impedire al ransomware di ottenere il controllo amministrativo sul tuo sistema, il che può limitare significativamente l'entità del danno in caso di infezione.
5. Implementare la segmentazione di rete : in ambienti aziendali o su larga scala, la segmentazione di rete può ridurre la diffusione del ransomware. Isolando i sistemi critici e i dati sensibili in diversi segmenti di rete, si riduce la capacità del ransomware di muoversi lateralmente attraverso la rete.

• Disattivare le macro e l'esecuzione di script negli allegati e-mail : il ransomware spesso si diffonde tramite allegati e-mail fraudolenti contenenti macro o script. Disattivare le macro per impostazione predefinita e assicurarsi che i client e-mail siano configurati per bloccare tipi di file potenzialmente pericolosi, come .exe e .js. Insegnare agli utenti a riconoscere le e-mail di phishing ed evitare di accedere a link sospetti o di scaricare allegati sconosciuti.

• Abilita l'autenticazione a più fattori (MFA) : MFA aggiunge un livello di sicurezza complementare ai tuoi account, che renderà più difficile per gli aggressori ottenere un accesso non autorizzato. Anche se le tue credenziali sono compromesse, MFA garantisce che sia richiesta una seconda forma di verifica, riducendo la probabilità che il ransomware si diffonda tramite il protocollo desktop remoto (RDP) o altri servizi di rete.

Il ransomware Cipher (Proton) rappresenta una seria minaccia per chiunque ne cada vittima, con il potenziale di bloccare file critici e richiedere un riscatto che non offre alcuna garanzia di risoluzione. Comprendendo come funziona questo ransomware e implementando solide pratiche di sicurezza, gli utenti possono ridurre significativamente la prospettiva di infezione e minimizzare l'impatto di qualsiasi attacco.

La chiave per proteggersi dal ransomware risiede nella prevenzione, nella preparazione e nella vigilanza. Backup regolari dei dati, software di sicurezza aggiornati e pratiche utente consapevoli sono la pietra angolare di una strategia di difesa efficace. Adottare misure dinamiche aiuterà a garantire che i tuoi dati rimangano al sicuro di fronte a minacce emergenti come il ransomware Cipher (Proton).

La richiesta di riscatto lasciata alle vittime del ransomware Cipher (Proton) è la seguente:

'Email 1:
watchdogs20@tuta.io

Email 2:
watchdogs20@cock.li

Send messages to both emails at the same time

So send messages to our emails, check your spam folder every few hours

ID:
If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
Then send us a message with a new email'

Il messaggio visualizzato durante l'accesso e come immagine di sfondo del desktop è:

'Email us for recovery: watchdogs20@tuta.io
In case of no answer, send to this email:
watchdogs20@cock.li
Your unqiue ID:'