Albabat Ransomware

Albabat er en specifik type malware kategoriseret som ransomware på grund af dens karakteristiske adfærd. Denne truende software fungerer ved at kryptere filer på et inficeret system. Som en del af sin krypteringsproces tilføjer Albabat filtypen '.abbt' til de originale filnavne og ændrer derved filformatet. Derudover udviser Albabat yderligere visuel indvirkning på det inficerede system ved at ændre skrivebordets tapet. For at kommunikere med offeret og stille krav om løsesum genererer malwaren en 'README.html'-fil, der fungerer som løsesumseddel.

For eksempel følger det omdøbningsmønster, som Albabat anvender på krypterede filer, et konsekvent format. For eksempel vil en fil med navnet '1.png' blive transformeret til '1.png.abbt', og på samme måde ville '2.jpg' blive til '2.jpg.abbt' og så videre. Denne omdøbningskonvention er et karakteristisk kendetegn for Albabats filkrypteringsproces, og den tjener som en identifikator for den type ransomware, der påvirker de kompromitterede filer.

Albabat Ransomware kan låse en lang række filtyper for at kræve løsesum

Albabats skrivebordsbaggrund viser en besked, der advarer offeret om kryptering af nogle af deres filer og guider dem til at søge yderligere information i filen 'README.html'. Denne fil er specifikt placeret i mappen 'Albabat', placeret i brugernes rodmappe på deres computere.

For Windows-brugere er stien %USERPROFILE%\Albabat\readme\README.html, og Linux-brugere bliver bedt om at finde den på $HOME/Albabat/readme/README.html. Inden for denne fil er en afgørende detalje fremhævet - dekrypteringen af de krypterede filer kræver en privat nøgle, som udelukkende opbevares af angriberen. Offeret advares eksplicit mod enhver handling, der kan resultere i tab eller ændring af 'Albabat.ekey'-nøglen, herunder sletning eller omdøbning.

Løsesedlen giver yderligere kontaktoplysninger via e-mail (albabat.help@protonmail.com), og instruerer ofrene om først at kontakte efter at have gennemført betalingsprocessen. Specifikke oplysninger om betalingen, såsom en Bitcoin-adresse og det angivne beløb (0,0015 BTC), er beskrevet.

Det fremhæves, at genvinding af adgang til de krypterede filer typisk er uopnåelig uden det specifikke dekrypteringsværktøj, som angriberne besidder. Ikke desto mindre udtrykkes der en stærk modløshed mod at betale løsesum til angriberne, da der er stor sandsynlighed for, at ofre bliver ofre for svindel på trods af eventuelle løfter fra gerningsmændene.

Vigtige sikkerhedsforanstaltninger, der skal bruges mod ransomware-infektioner

Beskyttelse mod ransomware-infektioner kræver en flerlagstilgang, der involverer forskellige sikkerhedsforanstaltninger. Her er seks vigtige foranstaltninger til at hjælpe med at beskytte mod ransomware:

• Sikkerhedskopier dine data regelmæssigt : Sikkerhedskopier regelmæssigt vigtige data til en offline eller cloud-baseret lagerløsning. I tilfælde af en ransomware-infektion sikrer det at have opdaterede sikkerhedskopier, at data kan gendannes uden at betale løsesummen. Automatiserede sikkerhedskopieringssystemer med versionsfunktioner er særligt effektive.
• Medarbejdertræning og bevidsthed : Gennemfør regelmæssig anerkendelsestræning i cybersikkerhed for medarbejdere for at oplyse dem om risici forbundet med phishing-e-mails, usikre links og mistænkelige vedhæftede filer. Sørg for, at medarbejderne er forsigtige og årvågne, når de interagerer med e-mails og andet onlineindhold for at forhindre utilsigtede malwareinfektioner.
• Brug af sikkerhedssoftware : Anvend robust sikkerhedssoftware, inklusive anti-malware-løsninger, til at opdage og blokere ransomware-trusler. Hold disse sikkerhedsværktøjer opdateret for at sikre, at de kan genkende og afbøde de seneste stammer af ransomware. Endpoint-beskyttelsesløsninger kan tilføje et ekstra lag af forsvar.
• Netværkssegmentering : Implementer netværkssegmentering for at adskille kritiske systemer og private data fra resten af netværket. Dette begrænser den potentielle laterale bevægelse af ransomware inden for netværket, hvilket reducerer virkningen af en infektion.
• Patch- og opdateringssystemer : Opdater regelmæssigt operativsystemer, software og applikationer for at rette kendte sårbarheder. Ransomware udnytter ofte sikkerhedsfejl i forældede systemer. Automatiserede programrettelsesstyringsværktøjer kan hjælpe med at strømline denne proces og sikre, at alle systemer er opdaterede.
• E-mailfiltrering og filtrering af vedhæftede filer : Brug e-mailfiltreringsløsninger til at blokere phishing-e-mails og bortfiltrere usikre vedhæftede filer. Mange ransomware-angreb initieres gennem phishing-e-mails, og blokering af sådanne e-mails ved gatewayen kan forhindre malwaren i at nå ud til slutbrugere.

Ud over disse foranstaltninger er det afgørende at have en hændelsesplan på plads. Dette projekt bør omfatte trin til hurtigt at identificere, isolere og afbøde virkningen af et ransomware-angreb. Metodisk test af hændelsesresponsplanen gennem simuleringer eller øvelser kan hjælpe med at sikre dens effektivitet, når en reel trussel opstår. Derudover er det vigtigt at fremme en sikkerhedsbevidst kultur i organisationen for at opretholde en løbende forpligtelse til bedste praksis inden for cybersikkerhed.

Den fulde tekst af løsesumsedlen præsenteret af Albabat Ransomware er:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Hvor vigtige er dine filer for dig?
Læs dette dokument for at få oplysninger om, hvad der skete, og hvordan du gendanner dine filer igen.

[+] 1 - OM "Albabat Ransomware" [+]
"Albabat Ransomware" er en ransomware på tværs af platforme, der krypterer forskellige filer, der er vigtige for BRUGEREN, på computerlagringsdiske ved hjælp af symmetrisk krypteringsalgoritme med identifikation af militærkvalitet.

"Albabat Ransomware" vil automatisk oprette en mappe kaldet "Albabat" i din maskines brugermappe, men præcist i: "C:\Users**\Albabat\".

DET ANBEFALES at lave en BACKUP af HELE "C:\Users**\Albabat\"-mappen, da den indeholder vigtige filer til gendannelse af dine filer, som vil blive forklaret senere i dette dokument om hver af dem.

Denne mappe indeholder også de samme notedokumenter, i: "C:\Users**\Albabat\readme\README.html".

1.1 - NØGLEN TIL KRYPTOGRAFI
Dine filer blev krypteret med en NØGLE, der blev gemt i filen "Albabat.ekey". Til stede i mappen "C:\Users**\Albabat\". Denne NØGLE blev dog også KRYPTET med en OFFENTLIG NØGLE (asymmetrisk kryptering), hvilket betyder, at det kræver en PRIVAT NØGLE at blive dekrypteret, og kun jeg (tH3_CyberXY) har den PRIVATE NØGLE til at udføre denne dekryptering, så du kan bruge NØGLEN "Albabat.key" til at gendanne dine filer.

Der er ingen måde at dekryptere dine filer på uden min datadekrypteringstjeneste.

Der er ingen måde at dekryptere filerne uden at dekryptere "Albabat.ekey" nøglen.

Slet ikke, omdøb ikke, tab ikke "Albabat.ekey"-tasten.

1.2 - DIT PERSONLIGE ID
Ligesom "Albabat.ekey" er det PERSONLIGE ID vigtigt i processen med at dekryptere dine filer, som vil blive brugt i dekrypteringsprogrammet, hvilket vil blive diskuteret senere i afsnittet "DEKRYPTERINGSPROCES".

Dette nummer bevarer en unik identitet i din maskines krypteringsproces. Ud over at være informeret i dette dokument, vil dit PERSONLIGE ID også blive udskrevet i filen "personal_id.txt" i "C:\Users**\Albabat\".

Mister ikke dit PERSONLIGE ID, ligesom du IKKE skal miste "Albabat.ekey"-tasten.

1.3 - KRYPTERINGSPROCESSEN
Krypterede filer har filtypenavnet ".abbt".

Forsøg ikke at omdøbe det, det virker ikke. Tværtimod kan du ødelægge dine filer.

Størrelsen på de filer, som "Albabat Ransomware" krypterer, er maksimalt 5 megabyte (MB).

"Albabat Ransomware" krydser tilfældigt rekursivt alle mapper, den hører ikke til operativsystemets drift. Krypterer filer i brugermappen, endda databaseplaceringer og drev monteret på maskinen, hvis nogen.

"Albabat Ransomware" krypterer kun filer, der er relevante. Operativsystemet og de binære filer vil være intakte. Det valgte vi ikke.

"Albabat Ransomware" gemmer en logfil med navnet "Albabat_Logs.log" i mappen "C:\Users**\Albabat\". Denne fil kan du se alle filer, der blev krypteret af "Albabat Ransomware" i stiform.

[+] 2 - SÅDAN KONTAKTER DU [+]
Dette er de eneste måder at komme i kontakt med for at gendanne dine filer. Enhver anden form fundet på internettet vil være falsk.

Kontaktmetoder:

E-mail:

albabat.help@protonmail.com

Kopi

BEMÆRK: Kontakt KUN hvis du har betalt. Enhver anden type kontakt end denne vil blive ignoreret.
[+] 3 - BETALING [+]
Dekrypteringsprocessen er BETALT i Bitcoin, så du skal have en Bitcoin-saldo på en kryptovalutabørs eller i en kryptovaluta-pung for at foretage indbetalingen.

Du vil måske læse FAQ-siden for at vide, hvad Bitcoin er.

Betalingsdata:

Bitcoin adresse:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

Kopi

Beløb, der skal betales:

0.0015 BTC

For at foretage betaling og gendanne dine filer, følg disse trin -

(1) Skriv dataene ned for at foretage overførslen via Bitcoin-adressen og det BELØB, der skal betales angivet ovenfor.

Bemærk: Husk, at prisen på Bitcoin kan variere monetært afhængigt af, hvornår du foretager betalingen.
(2) - Når du har foretaget betalingen til Bitcoin-adressen ovenfor, skal du sende en e-mail med en struktur, der ligner denne:

Emne: Albabat Ransomware - Jeg foretog betalingen!

Besked: Hej, jeg foretog betalingen. Min BTC-adresse, hvor jeg foretog betalingen, er "xxx". Den version af "Albabat Ransomware", der kørte på min maskine, var "0.3.0".

Følg den vedhæftede NØGLE "Albabat.ekey".

VIGTIGT: Betalingen vil blive bekræftet ved hjælp af DIN BTC-ADRESSE ("xxx"), hvor transaktionen blev udført, så det er VIGTIGT at informere, når du sender denne e-mail.

Det er også VIGTIGT, at du sender NØGLEN "Albabat.ekey" som en vedhæftet fil, uanset hvilken kontaktmetode du har valgt. Nøglen vil blive dekrypteret for dig.

Du vil modtage NØGLEN "Albabat.key" i din e-mail, det vil sige NØGLEN "Albabat.ekey" dekrypteret, og decryptoren "decryptor.exe" vedhæftet (zippet).

Bemærk: Efter betaling vil du modtage NØGLEN "Albabat.key" og "decryptor.exe" inden for 24 timer, men det kan variere mere eller mindre afhængigt af mine tilgængelighedstider og mængden af krav, jeg modtager. Vær tålmodig.
[+] 4 - DEKRYPTERINGSPROCES [+]

Følg nedenstående trin for at dekryptere dine filer:

(1) Placer "Albabat.key", som du har modtaget via e-mail, i "C:\Users**\Albabat\"-mappen, eller, hvis du foretrækker det, behold den i samme mappe som "decryptor.exe".

VIGTIGT: På dette tidspunkt er det meget vigtigt, at du lukker alle åbne Explorer-vinduer og tunge programmer for at forhindre "decryptor.exe" i at gå ned og/eller have dårlig ydeevne.

Og deaktiver også din ANTIVIRUS PERMANENT, så den ikke forstyrrer dekrypteringsprocessen.

(2) Kør "decryptor.exe" og indtast DIT PERSONLIGE ID, og tryk derefter på ENTER. Der vises en advarselsmeddelelse, der informerer dig om, at dekrypteringen startede, klik blot på Ok.

Bemærk: Hvis du er på Linux, skal du åbne en terminal og køre fra kommandolinjen for at se processen.

F.eks.: ./decryptor

(3) Vent på, at meddelelsen om fuldførelse af dekryptering vises i konsollen. Dette kan tage et stykke tid afhængigt af mængden af filer, der er blevet krypteret, og din maskines styrke. Du kan se dekrypteringsprocessen ved at I live fra dine filer, hvis jeg har tid til det.

(4) Når dekrypteringen er fuldført, vil alle dine filer blive gendannet og dekrypteringslogfilen "Albabat_Logs.log". oprettes i dekrypteringsmappen.

Hvis du har yderligere spørgsmål, såsom: "Hvordan kan jeg være sikker på, at mine filer kan dekrypteres?", kan du læse FAQ-siden.

Copyright (c) 2021-2023 Albabat Ransomware - Alle rettigheder forbeholdes. Vedligeholdt af: tH3_CyberXY.'

Løsebeløbet, der vises som skrivebordsbaggrund, er:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'