Albabat Ransomware

Albabat je specifický typ malwaru, který je díky svému charakteristickému chování kategorizován jako ransomware. Tento ohrožující software funguje tak, že šifruje soubory v infikovaném systému. Jako součást procesu šifrování Albabat připojí k původním názvům souborů příponu '.abbt', čímž změní formát souboru. Albabat navíc vykazuje další vizuální dopad na infikovaný systém úpravou tapety plochy. Pro komunikaci s obětí a požadavky na výkupné vygeneruje malware soubor „README.html“, který slouží jako poznámka o výkupném.

Například vzor přejmenování aplikovaný aplikací Albabat na šifrované soubory má konzistentní formát. Například soubor původně pojmenovaný „1.png“ by byl transformován na „1.png.abbt“ a podobně by se „2.jpg“ změnil na „2.jpg.abbt“ a tak dále. Tato konvence přejmenování je charakteristickým znakem procesu šifrování souborů Albabat a slouží jako identifikátor typu ransomwaru ovlivňujícího napadené soubory.

Albabat Ransomware může uzamknout širokou škálu typů souborů a požadovat výkupné

Tapeta na ploše Albabat zobrazuje zprávu upozorňující oběť na zašifrování některých jejich souborů a vede ji k vyhledání dalších informací v souboru 'README.html'. Tento soubor je konkrétně umístěn ve složce 'Albabat', která se nachází v kořenovém adresáři uživatelů na jejich počítačích.

Pro uživatele Windows je cesta %USERPROFILE%\Albabat\readme\README.html a uživatelé Linuxu jsou instruováni, aby ji našli na $HOME/Albabat/readme/README.html. V rámci tohoto souboru je zdůrazněn zásadní detail – dešifrování zašifrovaných souborů vyžaduje soukromý klíč držený výhradně útočníkem. Oběť je výslovně varována před jakoukoli akcí, která by mohla vést ke ztrátě nebo změně klíče 'Albabat.ekey', včetně smazání nebo přejmenování.

Výkupné dále poskytuje kontaktní informace prostřednictvím e-mailu (albabat.help@protonmail.com) a instruuje oběti, aby se ozvaly až po dokončení platebního procesu. Jsou zde uvedeny podrobnosti o platbě, jako je bitcoinová adresa a určená částka (0,0015 BTC).

Je zdůrazněno, že opětovné získání přístupu k zašifrovaným souborům je obvykle nedosažitelné bez specifického dešifrovacího nástroje, který mají útočníci. Přesto je vyjádřeno silné odrazování od placení výkupného útočníkům, protože existuje vysoká pravděpodobnost, že se oběti stanou obětí podvodů navzdory všem slibům, které pachatelé dali.

Důležitá bezpečnostní opatření, která je třeba použít proti ransomwarovým infekcím

Ochrana proti ransomwarovým infekcím vyžaduje vícevrstvý přístup zahrnující různá bezpečnostní opatření. Zde je šest důležitých opatření, která pomáhají chránit se před ransomwarem:

• Pravidelně zálohujte svá data : Pravidelně zálohujte důležitá data do offline nebo cloudového úložiště. V případě infekce ransomwarem zajistí aktualizované zálohy, že data lze obnovit bez placení výkupného. Zvláště efektivní jsou automatizované zálohovací systémy s možností verzování.
• Školení a informovanost zaměstnanců : Provádějte pravidelné školení o uznání kybernetické bezpečnosti pro zaměstnance, abyste je poučili o rizicích spojených s phishingovými e-maily, nebezpečnými odkazy a podezřelými přílohami. Zajistěte, aby zaměstnanci byli opatrní a ostražití při interakci s e-maily a dalším online obsahem, abyste předešli nechtěným infekcím malwarem.
• Použití bezpečnostního softwaru : Použijte robustní bezpečnostní software, včetně řešení proti malwaru, k detekci a blokování hrozeb ransomwaru. Udržujte tyto bezpečnostní nástroje aktualizované, abyste zajistili, že dokážou rozpoznat a zmírnit nejnovější kmeny ransomwaru. Řešení ochrany koncových bodů mohou přidat další vrstvu ochrany.
• Segmentace sítě : Implementujte segmentaci sítě k oddělení kritických systémů a soukromých dat od zbytku sítě. To omezuje potenciální boční pohyb ransomwaru v rámci sítě a snižuje dopad infekce.
• Opravte a aktualizujte systémy : Pravidelně aktualizujte operační systémy, software a aplikace, abyste opravili známá zranitelnost. Ransomware často využívá bezpečnostní chyby v zastaralých systémech. Automatizované nástroje pro správu oprav mohou pomoci zefektivnit tento proces a zajistit, aby byly všechny systémy aktuální.
• Filtrování e-mailů a filtrování příloh : Použijte řešení pro filtrování e-mailů k blokování phishingových e-mailů a odfiltrování nebezpečných příloh. Mnoho ransomwarových útoků je iniciováno prostřednictvím phishingových e-mailů a blokování takových e-mailů na bráně může zabránit tomu, aby se malware dostal ke koncovým uživatelům.

Kromě těchto opatření je důležité mít připravený plán reakce na incidenty. Tento projekt by měl zahrnovat kroky pro rychlou identifikaci, izolaci a zmírnění dopadu ransomwarového útoku. Metodické testování plánu reakce na incident prostřednictvím simulací nebo cvičení může pomoci zajistit jeho účinnost, když vznikne skutečná hrozba. Kromě toho je pro udržení trvalého závazku k osvědčeným postupům v oblasti kybernetické bezpečnosti zásadní podporovat kulturu zaměřenou na bezpečnost v rámci organizace.

Úplný text výkupného předloženého Albabat Ransomware je:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Jak důležité jsou pro vás vaše soubory?
Přečtěte si tento dokument, kde najdete informace o tom, co se stalo a jak znovu obnovit soubory.

[+] 1 – O „Albabat Ransomware“ [+]
„Albabat Ransomware“ je multiplatformní ransomware, který šifruje různé soubory důležité pro UŽIVATELE na počítačových úložných discích pomocí symetrického šifrovacího algoritmu s identifikací na vojenské úrovni.

"Albabat Ransomware" automaticky vytvoří složku s názvem "Albabat" v uživatelském adresáři vašeho počítače, ale přesně v: "C:\Users**\Albabat\".

DOPORUČUJEME vytvořit ZÁLOHU CELÉ složky "C:\Users**\Albabat\", protože obsahuje důležité soubory pro obnovu vašich souborů, což bude vysvětleno později v tomto dokumentu o každém z nich.

Tato složka také obsahuje tyto stejné dokumenty poznámek v: "C:\Users**\Albabat\readme\README.html".

1.1 - KLÍČ KE KRYPTOGRAFII
Vaše soubory byly zašifrovány pomocí KLÍČE, který byl uložen v souboru "Albabat.ekey". Přítomno v adresáři "C:\Users**\Albabat\". Tento KLÍČ byl však také ZAŠIFROVÁN VEŘEJNÝM KLÍČEM (asymetrické šifrování), což znamená, že k dešifrování vyžaduje SOUKROMÝ KLÍČ a pouze já (tH3_CyberXY) mám PRIVATE KEY k provedení tohoto dešifrování, takže KLÍČ můžete použít "Albabat.key" při obnově souborů.

Neexistuje žádný způsob, jak dešifrovat soubory bez mé služby dešifrování dat.

Neexistuje způsob, jak dešifrovat soubory bez dešifrování klíče "Albabat.ekey".

Nemazat, nepřejmenovávat, neztrácet klíč „Albabat.ekey“.

1.2 – VAŠE OSOBNÍ ID
Stejně jako „Albabat.ekey“ je v procesu dešifrování vašich souborů důležité PERSONAL ID, které bude použito v dešifrovači, o kterém bude řeč později v části „PROCES DECRYPTION“.

Toto číslo zachovává jedinečnou identitu v procesu šifrování vašeho počítače. Kromě toho, že budete informováni v tomto dokumentu, bude vaše OSOBNÍ ID také vytištěno v souboru "personal_id.txt" v "C:\Users**\Albabat\".

Neztraťte své OSOBNÍ ID, stejně jako byste NEMĚLI ztratit klíč „Albabat.ekey“.

1.3 - PROCES ŠIFROVÁNÍ
Šifrované soubory mají příponu „.abbt“.

Nezkoušejte to přejmenovat, nebude to fungovat. Naopak, můžete poškodit své soubory.

Velikost souborů, které „Albabat Ransomware“ šifruje, je maximálně 5 megabajtů (MB).

"Albabat Ransomware" náhodně rekurzivně prochází všechny adresáře, které nepatří do provozu operačního systému. Šifruje soubory v uživatelském adresáři, dokonce i databázová umístění a jednotky připojené k počítači, pokud existují.

„Albabat Ransomware“ šifruje pouze soubory, které jsou relevantní. Operační systém a binární soubory zůstanou nedotčeny. To jsme si nevybrali.

"Albabat Ransomware" uloží soubor protokolu s názvem "Albabat_Logs.log" do adresáře "C:\Users**\Albabat\". Tento soubor můžete vidět všechny soubory, které byly zašifrovány "Albabat Ransomware" ve formě cesty.

[+] 2 – JAK KONTAKTOVAT [+]
Toto jsou jediné způsoby, jak se dostat do kontaktu a obnovit své soubory. Jakýkoli jiný formulář nalezený na internetu bude falešný.

Způsoby kontaktu:

E-mailem:

albabat.help@protonmail.com

kopírovat

POZNÁMKA: Kontaktujte prosím POUZE v případě, že jste provedli platbu. Jakýkoli jiný typ kontaktu než této povahy bude ignorován.
[+] 3 – PLATBA [+]
Proces dešifrování je PLACEN v bitcoinech, takže k provedení vkladu musíte mít zůstatek bitcoinů na kryptoměnové burze nebo v kryptoměnové peněžence.

Možná si budete chtít přečíst stránku FAQ, abyste věděli, co je bitcoin.

Platební údaje:

Bitcoinová adresa:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

kopírovat

Částka k zaplacení:

0,0015 BTC

Chcete-li provést platbu a obnovit své soubory, postupujte takto -

(1) Zapište si údaje k provedení převodu přes bitcoinovou adresu a ČÁSTKU k zaplacení specifikovanou výše.

Poznámka: Pamatujte, že cena bitcoinu se může měnit v penězích v závislosti na tom, kdy platbu provedete.
(2) - Jakmile provedete platbu na bitcoinovou adresu výše, pošlete e-mail se strukturou podobnou této:

Předmět: Albabat Ransomware – zaplatil jsem!

Zpráva: Dobrý den, provedl jsem platbu. Moje BTC adresa, kde jsem provedl platbu, je „xxx“. Verze "Albabat Ransomware" běžící na mém počítači byla "0.3.0".

Postupujte podle přiloženého KLÍČE "Albabat.ekey".

DŮLEŽITÉ: Platba bude ověřena pomocí VAŠÍ BTC ADRESY ("xxx"), na které byla transakce provedena, proto je DŮLEŽITÉ informovat při odesílání tohoto e-mailu.

Je také DŮLEŽITÉ, abyste KLÍČ „Albabat.ekey“ zaslali jako přílohu, bez ohledu na zvolený způsob kontaktu. Klíč bude dešifrován za vás.

Do svého e-mailu obdržíte KLÍČ „Albabat.key“, tedy KLÍČ „Albabat.ekey“ dešifrovaný a dešifrovací nástroj „decryptor.exe“ přiložený (zazipovaný).

Poznámka: Po zaplacení obdržíte KLÍČ „Albabat.key“ a „decryptor.exe“ do 24 hodin, ale může se více či méně lišit v závislosti na době mé dostupnosti a množství požadavků, které obdržím. Buď trpělivý.
[+] 4 – PROCES DEŠIFROVÁNÍ [+]

Chcete-li dešifrovat soubory, postupujte takto:

(1) Umístěte "Albabat.key", který jste obdrželi e-mailem, do adresáře "C:\Users**\Albabat\", nebo, chcete-li, ponechte jej ve stejném adresáři jako "decryptor.exe".

DŮLEŽITÉ: V tuto chvíli je velmi důležité, abyste zavřeli všechna otevřená okna Průzkumníka a náročné programy, abyste zabránili zhroucení souboru „decryptor.exe“ a/nebo jeho špatnému výkonu.

A také TRVALO deaktivujte svůj ANTIVIRUS, aby nenarušoval proces dešifrování.

(2) Spusťte "decryptor.exe" a zadejte VAŠE OSOBNÍ ID, poté stiskněte ENTER. Zobrazí se výstražná zpráva informující o zahájení dešifrování, stačí kliknout na OK.

Poznámka: Pokud používáte Linux, otevřete terminál a spusťte z příkazového řádku, abyste viděli proces.

Např.: ./decryptor

(3) Počkejte, až se v konzole zobrazí zpráva o dokončení dešifrování, což může chvíli trvat v závislosti na množství souborů, které byly zašifrovány, a výkonu vašeho počítače. Pokud na to budu mít čas, můžete vidět proces dešifrování podle Živě z vašich souborů.

(4) Po dokončení dešifrování budou všechny vaše soubory obnoveny a soubor protokolu dešifrování „Albabat_Logs.log“. bude vytvořen v adresáři decryptor.

Máte-li další otázky, jako například: "Jak si mohu být jistý, že moje soubory lze dešifrovat?", můžete si přečíst stránku FAQ.

Copyright (c) 2021-2023 Albabat Ransomware – všechna práva vyhrazena. Spravuje: tH3_CyberXY.'

Zpráva o výkupném zobrazená jako pozadí plochy je:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'