Buhti 勒索软件

Buhti 是一种针对 Windows 和 Linux 系统的勒索软件威胁。在攻击 Windows 计算机时，Buhti Ransomware 有效负载基于先前泄露的LockBit 3.0 Ransomware的变体，并进行了细微修改。尽管如此，当它被用来感染 Linux 系统时，Buhti Ransomware 使用了泄露的Babuk Ransomware的修改版本。

Buhti 的操作方式是通过加密文件并将其原始文件名替换为一串随机字符。此外，勒索软件会附加受害者的 ID 作为每个加密文件的新扩展名。为了与受害者沟通，Buhti 留下了一张赎金票据，该票据以名为“[victim's_ID].README.txt”的文本文件的形式命名。

Buhti 勒索软件可锁定多种文件类型

赎金票据向受害者详细解释了使用强大的加密算法对其文件进行加密的情况，使他们几乎不可能独立解密数据。然而，该说明指出，受害者可以通过向攻击者支付赎金来恢复他们的数据，以此作为购买称为“解密器”的专门程序的一种方式。威胁行为者向他们的受害者保证，该解密软件已经过全面测试，并且在成功实施后将有效地恢复他们的数据。

为了与网络犯罪分子建立联系，该说明指示受害者使用 Web 浏览器并导航到特定网站。到达那里后，系统会提示他们输入有效的电子邮件地址以在完成付款过程后获取下载链接。按照说明中的规定，付款必须使用比特币进行，并定向到提供的比特币地址。

付款完成后，受害者将收到一封电子邮件，其中包含指向下载页面的链接。此页面包含有关如何进行解密过程的综合说明。勒索信强烈强调了与尝试独立修改或恢复文件相关的潜在风险，因为它声称此类操作不会导致成功恢复。

除了加密文件外，Buhti 还能够接收指定文件系统中特定目标目录的命令行指令。此外，它还采用了一种主要用于窃取某些文件类型的渗漏工具，包括 aiff、aspx、docx、epub、json、mpeg、pdf、php、png、ppt、pptx、psd、rar、raw、rtf、sql、svg , swf, tar, txt, wav, wma, wmv, xls, xlsx, xml, yaml 和 yml。

用户和组织需要保护他们的数据免受勒索软件感染

为了保护他们的数据和设备免受勒索软件感染，用户和组织等可以采取各种主动措施。首先，保持强大的备份策略至关重要。定期备份必要的文件并将它们离线存储或存储在安全的云存储服务中，确保即使原始文件被勒索软件加密，用户也可以从干净的备份中恢复它们。

另一个基本步骤是使所有软件和操作系统保持最新状态。及时应用安全补丁和更新有助于防止勒索软件可能利用的已知漏洞。这不仅包括操作系统，还包括应用程序、插件和防病毒软件。

使用专业的反恶意软件可以增加额外的防御层。这些安全解决方案可以检测并阻止已知的勒索软件变种和不安全活动，针对潜在威胁提供实时保护。

为所有帐户实施强而独特的密码并尽可能启用多因素身份验证 (MFA) 有助于降低未经授权访问设备和敏感信息的风险。定期更改密码并避免在多个帐户中重复使用密码是必须遵循的重要做法。

自我学习网络钓鱼技术和社会工程学策略，使用户能够识别并避免潜在的勒索软件交付方法。对个人信息、财务详细信息或登录凭据的意外或未经请求的请求保持谨慎，有助于防止成为网络钓鱼企图的受害者。

最后，保持积极主动和警惕的网络安全方法至关重要。随时了解最新的勒索软件威胁、安全最佳实践和新兴趋势可以帮助用户相应地调整防御措施并有效应对潜在风险。

总体而言，保护数据和设备免受勒索软件感染需要将预防措施、意识和持续努力相结合，以便在不断演变的威胁中领先一步。

Buhti Ransomware 留给受害者的勒索字条是：

'------------ [欢迎来到 buhtiRansom] -------------->

发生了什么事？

您的文件已加密。我们使用强大的加密算法，因此您无法解密您的数据。
但是您可以通过从我们这里购买特殊程序 - 通用解密器来恢复一切。该程序将恢复您的所有文件。
按照下面的说明进行操作，您将恢复所有数据。

什么保证？

我们重视我们的声誉。如果我们不做我们的工作和责任，没有人会付钱给我们。这不符合我们的利益。
我们所有的解密软件都经过完美测试，可以解密您的数据。

如何获得访问权限？

使用浏览器：
打开网址：hxxps://satoshidisk.com/pay/CIGsph
输入有效的电子邮件以在付款后收到下载链接。
支付金额到比特币地址。
接收指向下载页面的电子邮件链接。
包括解密指令。

！！！危险 ！！！
请勿自行修改或尝试恢复任何文件。它将无法恢复。
！！！危险 ！！！'