Buhti 勒索軟件

Buhti 是一種針對 Windows 和 Linux 系統的勒索軟件威脅。在攻擊 Windows 計算機時，Buhti Ransomware 有效負載基於先前洩露的LockBit 3.0 Ransomware的變體，並進行了細微修改。儘管如此，當它被用來感染 Linux 系統時，Buhti Ransomware 使用了洩露的Babuk Ransomware的修改版本。

Buhti 的操作方式是通過加密文件並將其原始文件名替換為一串隨機字符。此外，勒索軟件會附加受害者的 ID 作為每個加密文件的新擴展名。為了與受害者溝通，Buhti 留下了一張贖金票據，該票據以名為“[victim's_ID].README.txt”的文本文件的形式命名。

Buhti 勒索軟件可鎖定多種文件類型

贖金票據向受害者詳細解釋了使用強大的加密算法對其文件進行加密的情況，使他們幾乎不可能獨立解密數據。然而，該說明指出，受害者可以通過向攻擊者支付贖金來恢復他們的數據，以此作為購買稱為“解密器”的專門程序的一種方式。威脅行為者向他們的受害者保證，該解密軟件已經過全面測試，並且在成功實施後將有效地恢復他們的數據。

為了與網絡犯罪分子建立聯繫，該說明指示受害者使用 Web 瀏覽器並導航到特定網站。到達那里後，系統會提示他們輸入有效的電子郵件地址以在完成付款過程後獲取下載鏈接。按照說明中的規定，付款必須使用比特幣進行，並定向到提供的比特幣地址。

付款完成後，受害者將收到一封電子郵件，其中包含指向下載頁面的鏈接。此頁麵包含有關如何進行解密過程的綜合說明。勒索信強烈強調了與嘗試獨立修改或恢復文件相關的潛在風險，因為它聲稱此類操作不會導致成功恢復。

除了加密文件外，Buhti 還能夠接收指定文件系統中特定目標目錄的命令行指令。此外，它還採用了一種主要用於竊取某些文件類型的滲漏工具，包括 aiff、aspx、docx、epub、json、mpeg、pdf、php、png、ppt、pptx、psd、rar、raw、rtf、sql、svg , swf, tar, txt, wav, wma, wmv, xls, xlsx, xml, yaml 和 yml。

用戶和組織需要保護他們的數據免受勒索軟件感染

為了保護他們的數據和設備免受勒索軟件感染，用戶和組織等可以採取各種主動措施。首先，保持強大的備份策略至關重要。定期備份必要的文件並將它們離線存儲或存儲在安全的雲存儲服務中，確保即使原始文件被勒索軟件加密，用戶也可以從乾淨的備份中恢復它們。

另一個基本步驟是使所有軟件和操作系統保持最新狀態。及時應用安全補丁和更新有助於防止勒索軟件可能利用的已知漏洞。這不僅包括操作系統，還包括應用程序、插件和防病毒軟件。

使用專業的反惡意軟件可以增加額外的防禦層。這些安全解決方案可以檢測並阻止已知的勒索軟件變種和不安全活動，針對潛在威脅提供實時保護。

為所有帳戶實施強而獨特的密碼並儘可能啟用多因素身份驗證 (MFA) 有助於降低未經授權訪問設備和敏感信息的風險。定期更改密碼並避免在多個帳戶中重複使用密碼是必須遵循的重要做法。

自我學習網絡釣魚技術和社會工程學策略，使用戶能夠識別並避免潛在的勒索軟件交付方法。對個人信息、財務詳細信息或登錄憑據的意外或未經請求的請求保持謹慎，有助於防止成為網絡釣魚企圖的受害者。

最後，保持積極主動和警惕的網絡安全方法至關重要。隨時了解最新的勒索軟件威脅、安全最佳實踐和新興趨勢可以幫助用戶相應地調整防禦措施並有效應對潛在風險。

總體而言，保護數據和設備免受勒索軟件感染需要將預防措施、意識和持續努力相結合，以便在不斷演變的威脅中領先一步。

Buhti Ransomware 留給受害者的勒索字條是：

'------------ [歡迎來到 buhtiRansom] -------------->

發生了什麼事？

您的文件已加密。我們使用強大的加密算法，因此您無法解密您的數據。
但是您可以通過從我們這裡購買特殊程序 - 通用解密器來恢復一切。該程序將恢復您的所有文件。
按照下面的說明進行操作，您將恢復所有數據。

什麼保證？

我們重視我們的聲譽。如果我們不做我們的工作和責任，沒有人會付錢給我們。這不符合我們的利益。
我們所有的解密軟件都經過完美測試，可以解密您的數據。

如何獲得訪問權限？

使用瀏覽器：
打開網址：hxxps://satoshidisk.com/pay/CIGsph
輸入有效的電子郵件以在付款後收到下載鏈接。
支付金額到比特幣地址。
接收指向下載頁面的電子郵件鏈接。
包括解密指令。

！！！危險 ！！！
請勿自行修改或嘗試恢復任何文件。它將無法恢復。
！！！危險 ！！！'