Albabat Ransomware
Albabat هو نوع محدد من البرامج الضارة المصنفة على أنها برامج فدية بسبب سلوكها المميز. يعمل برنامج التهديد هذا عن طريق تشفير الملفات الموجودة على نظام مصاب. كجزء من عملية التشفير، يقوم Albabat بإلحاق الامتداد ".abbt" بأسماء الملفات الأصلية، وبالتالي تغيير تنسيق الملف. بالإضافة إلى ذلك، يُظهر Albabat مزيدًا من التأثير البصري على النظام المصاب من خلال تعديل خلفية سطح المكتب. للتواصل مع الضحية وطلب فدية، تقوم البرامج الضارة بإنشاء ملف "README.html"، ليكون بمثابة مذكرة فدية.
على سبيل المثال، يتبع نمط إعادة التسمية الذي تطبقه Albabat على الملفات المشفرة تنسيقًا ثابتًا. على سبيل المثال، سيتم تحويل الملف المسمى في البداية "1.png" إلى "1.png.abbt"، وبالمثل، سيصبح "2.jpg" "2.jpg.abbt"، وهكذا. يعد تقليد إعادة التسمية هذا سمة مميزة لعملية تشفير الملفات لدى Albabat، ويعمل كمعرف لنوع برنامج الفدية الذي يؤثر على الملفات المخترقة.
يمكن لبرنامج Albabat Ransomware قفل مجموعة واسعة من أنواع الملفات للمطالبة بفدية
تعرض خلفية سطح مكتب البابات رسالة تنبه الضحية إلى تشفير بعض ملفاته وترشده للبحث عن مزيد من المعلومات في ملف "README.html". يقع هذا الملف على وجه التحديد داخل مجلد "Albabat"، الموجود في الدليل الجذر للمستخدمين على أجهزة الكمبيوتر الخاصة بهم.
بالنسبة لمستخدمي Windows، المسار هو %USERPROFILE%\Albabat\readme\README.html، ويتم توجيه مستخدمي Linux للعثور عليه في $HOME/Albabat/readme/README.html. داخل هذا الملف، يتم التركيز على تفاصيل مهمة، وهي أن فك تشفير الملفات المشفرة يتطلب مفتاحًا خاصًا يحتفظ به المهاجم حصريًا. ويتم تحذير الضحية صراحةً من أي إجراء قد يؤدي إلى فقدان أو تغيير مفتاح "Albabat.ekey"، بما في ذلك الحذف أو إعادة التسمية.
توفر مذكرة الفدية أيضًا معلومات الاتصال عبر البريد الإلكتروني (albabat.help@protonmail.com)، وتطلب من الضحايا التواصل فقط بعد إكمال عملية الدفع. تم توضيح تفاصيل الدفع، مثل عنوان Bitcoin والمبلغ المحدد (0.0015 BTC).
تم التأكيد على أن استعادة الوصول إلى الملفات المشفرة لا يمكن تحقيقها عادةً بدون أداة فك التشفير المحددة التي يمتلكها المهاجمون. ومع ذلك، هناك إحباط شديد من دفع فدية للمهاجمين، حيث أن هناك احتمال كبير لوقوع الضحايا ضحية لعمليات الاحتيال على الرغم من أي وعود يقدمها الجناة.
تدابير أمنية مهمة يجب استخدامها ضد إصابات برامج الفدية
تتطلب الحماية من عدوى برامج الفدية اتباع نهج متعدد الطبقات يشتمل على تدابير أمنية مختلفة. فيما يلي ستة إجراءات مهمة للمساعدة في الحماية من برامج الفدية:
- النسخ الاحتياطي لبياناتك بانتظام : قم بعمل نسخة احتياطية منتظمة من البيانات الهامة إلى حل تخزين غير متصل بالإنترنت أو قائم على السحابة. في حالة الإصابة ببرامج الفدية، يضمن الحصول على نسخ احتياطية محدثة إمكانية استعادة البيانات دون دفع الفدية. تعتبر أنظمة النسخ الاحتياطي الآلية ذات إمكانيات الإصدار فعالة بشكل خاص.
- تدريب الموظفين وتوعيتهم : إجراء تدريب منتظم على إقرار الأمن السيبراني للموظفين لتثقيفهم حول المخاطر المرتبطة برسائل البريد الإلكتروني التصيدية والروابط غير الآمنة والمرفقات المشبوهة. تأكد من أن الموظفين يتوخون الحذر واليقظة عند التفاعل مع رسائل البريد الإلكتروني والمحتويات الأخرى عبر الإنترنت لمنع الإصابة بالبرامج الضارة غير المقصودة.
- استخدام برامج الأمان : استخدم برامج أمان قوية، بما في ذلك حلول مكافحة البرامج الضارة، لاكتشاف تهديدات برامج الفدية وحظرها. حافظ على تحديث أدوات الأمان هذه للتأكد من قدرتها على التعرف على أحدث سلالات برامج الفدية والتخفيف منها. يمكن أن تضيف حلول حماية نقطة النهاية طبقة إضافية من الدفاع.
- تجزئة الشبكة : تنفيذ تجزئة الشبكة لفصل الأنظمة الهامة والبيانات الخاصة عن بقية الشبكة. وهذا يحد من الحركة الجانبية المحتملة لبرامج الفدية داخل الشبكة، مما يقلل من تأثير العدوى.
- أنظمة التصحيح والتحديث : قم بتحديث أنظمة التشغيل والبرامج والتطبيقات بانتظام لتصحيح نقاط الضعف المعروفة. غالبًا ما تستغل برامج الفدية الثغرات الأمنية في الأنظمة القديمة. يمكن أن تساعد أدوات إدارة التصحيح التلقائية في تبسيط هذه العملية والتأكد من تحديث جميع الأنظمة.
- تصفية البريد الإلكتروني وتصفية المرفقات : استخدم حلول تصفية البريد الإلكتروني لمنع رسائل البريد الإلكتروني التصيدية وتصفية المرفقات غير الآمنة. تبدأ العديد من هجمات برامج الفدية من خلال رسائل البريد الإلكتروني التصيدية، ويمكن أن يؤدي حظر رسائل البريد الإلكتروني هذه عند البوابة إلى منع البرامج الضارة من الوصول إلى المستخدمين النهائيين.
بالإضافة إلى هذه التدابير، من الضروري أن يكون لديك خطة للاستجابة للحوادث. يجب أن يتضمن هذا المشروع خطوات لتحديد تأثير هجوم برامج الفدية وعزله وتخفيفه بسرعة. يمكن أن يساعد الاختبار المنهجي لخطة الاستجابة للحوادث من خلال عمليات المحاكاة أو التدريبات في ضمان فعاليتها عند ظهور تهديد حقيقي. بالإضافة إلى ذلك، يعد تعزيز ثقافة الوعي الأمني داخل المنظمة أمرًا ضروريًا للحفاظ على الالتزام المستمر بأفضل ممارسات الأمن السيبراني.
النص الكامل لمذكرة الفدية المقدمة من Albabat Ransomware هو:
'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:Copy
::> ما مدى أهمية ملفاتك بالنسبة لك؟
اقرأ هذا المستند للحصول على معلومات حول ما حدث وكيفية استعادة ملفاتك مرة أخرى.[+] 1 - حول "Albabat Ransomware" [+]
"Albabat Ransomware" هو برنامج فدية متعدد المنصات يقوم بتشفير ملفات مختلفة مهمة للمستخدم على أقراص تخزين الكمبيوتر باستخدام خوارزمية تشفير متماثلة مع تعريف من الدرجة العسكرية.سيقوم "Albabat Ransomware" تلقائيًا بإنشاء مجلد يسمى "Albabat" في دليل مستخدم جهازك، ولكن على وجه التحديد في: "C:\Users**\Albabat\".
يُنصح بعمل نسخة احتياطية للمجلد "C:\Users**\Albabat\" بأكمله، لأنه يحتوي على ملفات مهمة لاستعادة ملفاتك، والتي سيتم شرحها لاحقًا في هذه الوثيقة عن كل منها.
يحتوي هذا المجلد أيضًا على نفس مستندات الملاحظات هذه، في: "C:\Users**\Albabat\readme\README.html".
1.1 - مفتاح التشفير
تم تشفير ملفاتك بمفتاح تم تخزينه في الملف "Albabat.ekey". موجود في الدليل "C:\Users**\Albabat\". ومع ذلك، تم تشفير هذا المفتاح أيضًا باستخدام مفتاح عام (تشفير غير متماثل)، مما يعني أنه يتطلب مفتاحًا خاصًا لفك تشفيره، وأنا فقط (tH3_CyberXY) لدي المفتاح الخاص لتنفيذ عملية فك التشفير هذه، بحيث يمكنك استخدام المفتاح "Albabat.key" في استعادة ملفاتك.لا توجد طريقة لفك تشفير ملفاتك دون خدمة فك تشفير البيانات الخاصة بي.
لا توجد طريقة لفك تشفير الملفات دون فك تشفير مفتاح "Albabat.ekey".
لا تحذف، لا تعيد تسمية، لا تفقد مفتاح "Albabat.ekey".
1.2 - هويتك الشخصية
تمامًا مثل "Albabat.ekey"، تعد الهوية الشخصية مهمة في عملية فك تشفير ملفاتك، والتي سيتم استخدامها في برنامج فك التشفير، وهو ما سيتم مناقشته لاحقًا في قسم "عملية فك التشفير".يحتفظ هذا الرقم بهوية فريدة في عملية تشفير جهازك. بالإضافة إلى إعلامك بذلك في هذا المستند، سيتم أيضًا طباعة هويتك الشخصية في ملف "personal_id.txt" في "C:\Users**\Albabat\".
لا تفقد هويتك الشخصية، كما لا ينبغي أن تفقد مفتاح "Albabat.ekey".
1.3 - عملية التشفير
الملفات المشفرة لها الامتداد ".abbt".لا تحاول إعادة تسميته، فلن ينجح. على العكس من ذلك، قد تتلف ملفاتك.
يبلغ حجم الملفات التي يقوم برنامج Albabat Ransomware بتشفيرها 5 ميغا بايت كحد أقصى.
يقوم "Albabat Ransomware" باجتياز جميع الأدلة التي لا تنتمي إلى تشغيل نظام التشغيل بشكل عشوائي ومتكرر. يقوم بتشفير الملفات في دليل المستخدم، وحتى مواقع قواعد البيانات ومحركات الأقراص المثبتة على الجهاز إن وجدت.
يقوم "Albabat Ransomware" بتشفير الملفات ذات الصلة فقط. سيكون نظام التشغيل والملفات الثنائية سليمة. نحن لم نختر ذلك.
يقوم "Albabat Ransomware" بحفظ ملف سجل باسم "Albabat_Logs.log" في الدليل "C:\Users**\Albabat\". هذا الملف يمكنك من خلاله رؤية جميع الملفات التي تم تشفيرها بواسطة "Albabat Ransomware" في شكل مسار.
[+] 2 - كيفية الاتصال [+]
هذه هي الطرق الوحيدة للتواصل معك لاستعادة ملفاتك. وأي نموذج آخر موجود على الإنترنت سيكون مزيفًا.طرق الاتصال:
بريد إلكتروني:
albabat.help@protonmail.com
ينسخ
ملاحظة: يرجى الاتصال فقط إذا كنت قد قمت بالدفع. سيتم تجاهل أي نوع آخر من أنواع الاتصال بخلاف هذه الطبيعة.
[+] 3 - الدفع [+]
يتم دفع عملية فك التشفير بعملة البيتكوين، لذلك يجب أن يكون لديك رصيد بيتكوين في بورصة عملة مشفرة أو في محفظة عملة مشفرة لإجراء الإيداع.قد ترغب في قراءة صفحة الأسئلة الشائعة لتعرف ما هي عملة البيتكوين.
بيانات الدفع:
عنوان بيتكوين:
bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj
ينسخ
المبلغ الواجب دفعه:
0,0015 بيتكوين
لإجراء الدفع واستعادة ملفاتك، اتبع الخطوات التالية -
(1) قم بتدوين البيانات لإجراء التحويل عبر عنوان Bitcoin والمبلغ المطلوب دفعه المحدد أعلاه.
ملحوظة: تذكر أن سعر البيتكوين قد يختلف ماليًا اعتمادًا على وقت إجراء الدفع.
(2) - بمجرد إجراء الدفع إلى عنوان Bitcoin أعلاه، أرسل بريدًا إلكترونيًا ببنية مشابهة لما يلي:الموضوع: Albabat Ransomware - لقد قمت بالدفع!
الرسالة: مرحبا، لقد قمت بالدفع. عنوان BTC الخاص بي حيث قمت بالدفع هو "xxx". إصدار "Albabat Ransomware" الذي يعمل على جهازي كان "0.3.0".
اتبع المفتاح المرفق "Albabat.ekey".
هام: سيتم التحقق من الدفع باستخدام عنوان BTC الخاص بك ("xxx") الذي تم فيه تنفيذ المعاملة، لذلك من المهم الإبلاغ عند إرسال هذا البريد الإلكتروني.
ومن المهم أيضًا أن تقوم بإرسال المفتاح "Albabat.ekey" كمرفق، بغض النظر عن طريقة الاتصال التي اخترتها. سيتم فك تشفير المفتاح لك.
ستصلك في بريدك الإلكتروني المفتاح "Albabat.key"، أي المفتاح "Albabat.ekey" الذي تم فك تشفيره، وأداة فك التشفير "decryptor.exe" المرفقة (مضغوطة).
ملاحظة: بعد الدفع، سوف تتلقى المفتاح "Albabat.key" و"decryptor.exe" خلال 24 ساعة، ولكن قد يختلف الأمر أكثر أو أقل حسب أوقات التواجد وكمية الطلبات التي أتلقاها. كن صبوراً.
[+] 4 - عملية فك التشفير [+]لفك تشفير ملفاتك اتبع الخطوات التالية:
(1) ضع "Albabat.key" الذي تلقيته عبر البريد الإلكتروني، داخل الدليل "C:\Users**\Albabat\"، أو، إذا كنت تفضل ذلك، احتفظ به في نفس الدليل مثل "decryptor.exe".
هام: في هذه المرحلة، من المهم جدًا أن تقوم بإغلاق كافة نوافذ Explorer المفتوحة، والبرامج الثقيلة، لمنع "decryptor.exe" من التعطل و/أو ضعف الأداء.
وقم أيضًا بتعطيل برنامج ANTIVIRUS الخاص بك بشكل دائم حتى لا يتداخل مع عملية فك التشفير.
(2) قم بتشغيل "decryptor.exe" وأدخل معرفك الشخصي، ثم اضغط على ENTER. ستظهر رسالة تنبيه تخبرك ببدء عملية فك التشفير، فقط اضغط على موافق.
ملاحظة: إذا كنت تستخدم نظام التشغيل Linux، فافتح الوحدة الطرفية وقم بتشغيلها من سطر الأوامر لرؤية العملية.
على سبيل المثال: ./فك التشفير
(3) انتظر حتى يتم عرض رسالة اكتمال فك التشفير في وحدة التحكم، وقد يستغرق ذلك بعض الوقت اعتمادًا على كمية الملفات التي تم تشفيرها وقوة جهازك. يمكنك مشاهدة عملية فك التشفير بواسطة I Live من ملفاتك، إذا كان لدي الوقت لذلك.
(4) بعد اكتمال عملية فك التشفير، سيتم استعادة جميع ملفاتك وملف سجل فك التشفير "Albabat_Logs.log". سيتم إنشاؤه في دليل فك التشفير.
إذا كانت لديك أسئلة أخرى، مثل: "كيف يمكنني التأكد من إمكانية فك تشفير ملفاتي؟"، يمكنك قراءة صفحة الأسئلة الشائعة.
حقوق الطبع والنشر (ج) 2021-2023 Albabat Ransomware - جميع الحقوق محفوظة. تتم صيانته بواسطة: tH3_CyberXY.'
رسالة الفدية التي تظهر كخلفية لسطح المكتب هي:
'Albabat RANSOMWARE
Several of your files have been encrypted!
To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:
Windows: %USERPROFILE% \ Albabat \ readme \ README.html
Linux: $HOME / Albabat / readme / README.html'
