Cipher (Proton) Ransomware

Với sự gia tăng của các cuộc tấn công ransomware ngày càng tinh vi, việc bảo vệ thiết bị của bạn khỏi các mối đe dọa phần mềm độc hại đã trở nên quan trọng hơn bao giờ hết. Ransomware, một loại phần mềm độc hại đặc biệt phá hoại, khóa dữ liệu quan trọng bằng cách mã hóa dữ liệu đó và sau đó yêu cầu tiền chuộc để đổi lấy phần mềm giải mã. Một biến thể mới được phát hiện có tên là Cipher (Proton) Ransomware đã xuất hiện, bổ sung vào danh sách các họ ransomware đe dọa nhắm vào cả cá nhân và tổ chức. Hiểu cách thức hoạt động của ransomware này và triển khai các biện pháp bảo mật mạnh mẽ là điều cần thiết để giữ cho hệ thống của bạn an toàn.

Cipher (Proton) Ransomware là gì?

Cipher (Proton) Ransomware là một loại ransomware mới thuộc họ Proton Ransomware khét tiếng. Không nên nhầm lẫn với ransomware cũ hơn, cũng được theo dõi là Cipher, vì đây là một mối đe dọa riêng biệt và mới hơn. Giống như nhiều biến thể ransomware khác, Cipher (Proton) mã hóa dữ liệu trên hệ thống của nạn nhân, khiến các tệp không thể truy cập được. Sau đó, nạn nhân buộc phải trả tiền chuộc để đổi lấy khả năng lấy lại các tệp của họ, mặc dù không có đảm bảo nào về việc khôi phục ngay cả sau khi thanh toán.

Sau khi ransomware được triển khai trên một hệ thống bị xâm phạm, nó bắt đầu mã hóa các tệp và thêm tên tệp của chúng bằng một mã định danh duy nhất. Thông thường, mã định danh này bao gồm địa chỉ email của kẻ tấn công, theo sau là phần mở rộng '.cipher' - một tệp ban đầu có tên là 1.png sẽ xuất hiện dưới dạng 1.png.[watchdogs20@tuta.io].cipher sau khi mã hóa.

Ghi chú về tiền chuộc và thông tin liên lạc

Sau khi hoàn tất quá trình mã hóa, Cipher (Proton) Ransomware sẽ hiển thị thông báo đòi tiền chuộc dưới nhiều hình thức khác nhau:

• Một thông báo toàn màn hình sẽ xuất hiện trước màn hình đăng nhập, ngăn không cho người dùng truy cập vào thiết bị của họ cho đến khi tiền chuộc được giải quyết.
• Hình nền máy tính bị thay đổi thành tin nhắn đòi tiền chuộc.
• Một tệp văn bản có tên '#Read-for-recovery.txt' được đặt trong nhiều thư mục khác nhau trên toàn hệ thống.

Những ghi chú này khác với các thông báo ransomware thông thường giải thích rõ ràng về quá trình mã hóa và giải mã. Thay vào đó, các hướng dẫn rất đơn giản và chỉ thúc giục nạn nhân liên hệ với kẻ tấn công bằng địa chỉ email được cung cấp. Tuy nhiên, việc thiếu chi tiết này không làm giảm mức độ nghiêm trọng của cuộc tấn công, vì nạn nhân vẫn được mong đợi sẽ đàm phán với tội phạm mạng để có thể lấy lại quyền truy cập vào dữ liệu của họ.

Những nguy hiểm khi trả tiền chuộc

Nạn nhân của các cuộc tấn công ransomware, bao gồm cả những nạn nhân bị tấn công bởi Cipher (Proton) Ransomware, cần lưu ý rằng việc thanh toán tiền chuộc không đảm bảo khôi phục tệp. Tội phạm mạng thường không cung cấp khóa giải mã ngay cả sau khi nhận được thanh toán. Trong nhiều trường hợp, nạn nhân không có tệp và chỉ đơn giản là tài trợ cho các hoạt động tội phạm tiếp theo.

Hơn nữa, việc trả tiền chuộc khuyến khích tội phạm mạng tiếp tục các hoạt động bất hợp pháp của chúng, nhắm mục tiêu vào nhiều nạn nhân hơn và tinh chỉnh chiến thuật của chúng. Mặc dù một số phần mềm tống tiền có thể có mã hóa bị lỗi có thể bị bỏ qua, nhưng điều này rất hiếm và thông thường, cần có sự can thiệp bên ngoài của kẻ tấn công để giải mã. Do đó, không nên tuân thủ các yêu cầu đòi tiền chuộc, vì làm như vậy có thể không giải quyết được vấn đề và sẽ tiếp tục chu kỳ tội phạm mạng.

Các biện pháp bảo mật tốt nhất để phòng chống Ransomware

Để bảo vệ chống lại ransomware như Cipher (Proton), người dùng phải áp dụng các biện pháp bảo mật mạnh mẽ giúp giảm khả năng lây nhiễm và giảm thiểu thiệt hại trong trường hợp bị tấn công. Dưới đây là một số chiến lược hiệu quả nhất:

1. Sao lưu thường xuyên: Sao lưu thường xuyên dữ liệu quan trọng là điều cần thiết để giảm thiểu thiệt hại do ransomware gây ra. Bằng cách duy trì sao lưu ngoại tuyến hoặc đám mây, bạn đảm bảo rằng các tệp đã mã hóa có thể được khôi phục mà không phải trả tiền chuộc. Đảm bảo rằng các bản sao lưu được lưu trữ ở các vị trí an toàn, riêng biệt để ngăn chặn chúng bị ransomware nhắm mục tiêu.
2. Cập nhật phần mềm và hệ điều hành : Ransomware thường lợi dụng lỗ hổng trong phần mềm và hệ điều hành lỗi thời. Cập nhật thường xuyên và quản lý bản vá giúp bảo vệ chống lại các lỗ hổng bảo mật đã biết. Cập nhật chương trình cơ sở, hệ điều hành và ứng dụng của bạn có thể ngăn chặn ransomware khai thác điểm yếu trong hệ thống của bạn.
3. Sử dụng các giải pháp chống phần mềm độc hại mạnh mẽ, cập nhật : Một giải pháp chống phần mềm độc hại cập nhật có thể phát hiện và chặn phần mềm tống tiền trước khi nó có cơ hội thực thi. Các công cụ chống phần mềm độc hại hiện đại cung cấp chức năng quét theo thời gian thực và bảo vệ phần mềm tống tiền có thể cô lập và vô hiệu hóa các mối đe dọa trước khi chúng lây lan. Quét hệ thống thường xuyên để xác định các rủi ro tiềm ẩn và đảm bảo phần mềm có định nghĩa vi-rút mới nhất.
4. Giới hạn Quyền của Người dùng : Việc hạn chế quyền của người dùng là rất quan trọng để giảm nguy cơ lây nhiễm. Đảm bảo rằng người dùng chỉ có các cấp độ truy cập mà họ cần để thực hiện nhiệm vụ của mình. Ban hành quy tắc về quyền tối thiểu để ngăn chặn ransomware giành quyền kiểm soát quản trị đối với hệ thống của bạn, điều này có thể hạn chế đáng kể mức độ thiệt hại trong trường hợp bị lây nhiễm.
5. Triển khai Phân đoạn mạng : Trong môi trường doanh nghiệp hoặc quy mô lớn, phân đoạn mạng có thể làm giảm sự lây lan của ransomware. Bằng cách cô lập các hệ thống quan trọng và dữ liệu nhạy cảm vào các phân đoạn mạng khác nhau, bạn sẽ giảm khả năng ransomware di chuyển ngang qua mạng.

• Tắt Macro và Thực thi Tập lệnh trong Tệp đính kèm Email : Ransomware thường lây lan qua các tệp đính kèm email lừa đảo có chứa macro hoặc tập lệnh. Tắt macro theo mặc định và đảm bảo rằng các ứng dụng email được định cấu hình để chặn các loại tệp có khả năng gây nguy hiểm, chẳng hạn như .exe và .js. Đào tạo người dùng cách nhận biết email lừa đảo và tránh truy cập vào các liên kết đáng ngờ hoặc tải xuống các tệp đính kèm không xác định.

• Bật Xác thực đa yếu tố (MFA) : MFA thêm một lớp bảo mật bổ sung vào tài khoản của bạn, khiến kẻ tấn công khó có thể truy cập trái phép hơn. Ngay cả khi thông tin đăng nhập của bạn bị xâm phạm, MFA vẫn đảm bảo rằng cần có hình thức xác minh thứ hai, giúp giảm khả năng ransomware lây lan qua giao thức máy tính từ xa (RDP) hoặc các dịch vụ mạng khác.

Cipher (Proton) Ransomware gây ra mối đe dọa nghiêm trọng cho bất kỳ ai trở thành nạn nhân của nó, với khả năng khóa các tệp quan trọng và yêu cầu tiền chuộc mà không đảm bảo giải quyết được. Bằng cách hiểu cách thức hoạt động của ransomware này và triển khai các biện pháp bảo mật mạnh mẽ, người dùng có thể giảm đáng kể khả năng bị nhiễm và giảm thiểu tác động của bất kỳ cuộc tấn công nào.

Chìa khóa để bảo vệ chống lại ransomware nằm ở phòng ngừa, chuẩn bị và cảnh giác. Sao lưu dữ liệu thường xuyên, phần mềm bảo mật được cập nhật và thực hành người dùng có ý thức là nền tảng của một chiến lược phòng thủ hiệu quả. Thực hiện các bước năng động sẽ giúp đảm bảo dữ liệu của bạn vẫn an toàn trước các mối đe dọa mới nổi như Cipher (Proton) Ransomware.

Lời yêu cầu đòi tiền chuộc dành cho các nạn nhân của Cipher (Proton) Ransomware là:

'Email 1:
watchdogs20@tuta.io

Email 2:
watchdogs20@cock.li

Send messages to both emails at the same time

So send messages to our emails, check your spam folder every few hours

ID:
If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
Then send us a message with a new email'

Thông báo hiển thị khi đăng nhập và dưới dạng hình nền máy tính là:

'Email us for recovery: watchdogs20@tuta.io
In case of no answer, send to this email:
watchdogs20@cock.li
Your unqiue ID:'