Albabat Ransomware
Το Albabat είναι ένας συγκεκριμένος τύπος κακόβουλου λογισμικού που κατηγοριοποιείται ως ransomware λόγω της χαρακτηριστικής συμπεριφοράς του. Αυτό το απειλητικό λογισμικό λειτουργεί κρυπτογραφώντας αρχεία σε ένα μολυσμένο σύστημα. Ως μέρος της διαδικασίας κρυπτογράφησης, το Albabat προσθέτει την επέκταση '.abbt' στα αρχικά ονόματα αρχείων, αλλάζοντας έτσι τη μορφή του αρχείου. Επιπλέον, το Albabat παρουσιάζει περαιτέρω οπτικό αντίκτυπο στο μολυσμένο σύστημα τροποποιώντας την ταπετσαρία της επιφάνειας εργασίας. Για να επικοινωνήσει με το θύμα και να ζητήσει λύτρα, το κακόβουλο λογισμικό δημιουργεί ένα αρχείο «README.html», το οποίο χρησιμεύει ως σημείωση λύτρων.
Για παράδειγμα, το μοτίβο μετονομασίας που εφαρμόζεται από το Albabat σε κρυπτογραφημένα αρχεία ακολουθεί μια συνεπή μορφή. Για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν "1.png" θα μετασχηματιζόταν σε "1.png.abbt" και ομοίως, το "2.jpg" θα γίνει "2.jpg.abbt" και ούτω καθεξής. Αυτή η σύμβαση μετονομασίας είναι ένα χαρακτηριστικό γνώρισμα της διαδικασίας κρυπτογράφησης αρχείων του Albabat και χρησιμεύει ως αναγνωριστικό για τον τύπο του ransomware που επηρεάζει τα αρχεία που έχουν παραβιαστεί.
Το Albabat Ransomware μπορεί να κλειδώσει ένα ευρύ φάσμα τύπων αρχείων για να ζητήσει λύτρα
Η ταπετσαρία επιφάνειας εργασίας του Albabat εμφανίζει ένα μήνυμα που ειδοποιεί το θύμα για την κρυπτογράφηση ορισμένων από τα αρχεία του και το καθοδηγεί να αναζητήσει περισσότερες πληροφορίες στο αρχείο «README.html». Αυτό το αρχείο βρίσκεται ειδικά στο φάκελο "Albabat", που βρίσκεται στον ριζικό κατάλογο των χρηστών στους υπολογιστές τους.
Για χρήστες Windows, η διαδρομή είναι %USERPROFILE%\Albabat\readme\README.html και οι χρήστες Linux λαμβάνουν οδηγίες να τη βρουν στη διεύθυνση $HOME/Albabat/readme/README.html. Μέσα σε αυτό το αρχείο, δίνεται έμφαση σε μια κρίσιμη λεπτομέρεια - η αποκρυπτογράφηση των κρυπτογραφημένων αρχείων απαιτεί ένα ιδιωτικό κλειδί που κατέχει αποκλειστικά ο εισβολέας. Το θύμα προειδοποιείται ρητά για οποιαδήποτε ενέργεια που μπορεί να οδηγήσει σε απώλεια ή αλλαγή του κλειδιού "Albabat.ekey", συμπεριλαμβανομένης της διαγραφής ή της μετονομασίας.
Το σημείωμα λύτρων παρέχει περαιτέρω στοιχεία επικοινωνίας μέσω email (albabat.help@protonmail.com), δίνοντας οδηγίες στα θύματα να επικοινωνήσουν μόνο αφού ολοκληρώσουν τη διαδικασία πληρωμής. Περιγράφονται λεπτομέρειες σχετικά με την πληρωμή, όπως μια διεύθυνση Bitcoin και το καθορισμένο ποσό (0,0015 BTC).
Επισημαίνεται ότι η ανάκτηση πρόσβασης στα κρυπτογραφημένα αρχεία είναι συνήθως ανέφικτη χωρίς το συγκεκριμένο εργαλείο αποκρυπτογράφησης που διαθέτουν οι εισβολείς. Ωστόσο, εκφράζεται έντονη αποθάρρυνση για την καταβολή λύτρων στους επιτιθέμενους, καθώς υπάρχει μεγάλη πιθανότητα τα θύματα να πέσουν θύματα απάτης παρά τις όποιες υποσχέσεις έχουν δοθεί από τους δράστες.
Σημαντικά μέτρα ασφαλείας που πρέπει να χρησιμοποιούνται κατά των λοιμώξεων ransomware
Η προστασία από μολύνσεις ransomware απαιτεί μια πολυεπίπεδη προσέγγιση που περιλαμβάνει διάφορα μέτρα ασφαλείας. Ακολουθούν έξι σημαντικά μέτρα για την προστασία από ransomware:
- Δημιουργήστε αντίγραφα ασφαλείας των δεδομένων σας τακτικά : Δημιουργήστε τακτικά αντίγραφα ασφαλείας κρίσιμων δεδομένων σε μια λύση αποθήκευσης εκτός σύνδεσης ή σε cloud. Σε περίπτωση μόλυνσης από λογισμικό ransomware, η ενημέρωση των αντιγράφων ασφαλείας διασφαλίζει ότι τα δεδομένα μπορούν να αποκατασταθούν χωρίς να πληρώσετε τα λύτρα. Τα αυτοματοποιημένα συστήματα δημιουργίας αντιγράφων ασφαλείας με δυνατότητες έκδοσης εκδόσεων είναι ιδιαίτερα αποτελεσματικά.
- Εκπαίδευση και ευαισθητοποίηση εργαζομένων : Πραγματοποιήστε τακτική εκπαίδευση αναγνώρισης ασφάλειας στον κυβερνοχώρο για τους υπαλλήλους για να τους εκπαιδεύσετε σχετικά με τους κινδύνους που σχετίζονται με τα μηνύματα ηλεκτρονικού ψαρέματος, τους μη ασφαλείς συνδέσμους και τα ύποπτα συνημμένα. Βεβαιωθείτε ότι οι εργαζόμενοι είναι προσεκτικοί και προσεκτικοί όταν αλληλεπιδρούν με μηνύματα ηλεκτρονικού ταχυδρομείου και άλλο διαδικτυακό περιεχόμενο για την αποφυγή ακούσιων μολύνσεων από κακόβουλο λογισμικό.
- Χρήση λογισμικού ασφαλείας : Χρησιμοποιήστε ισχυρό λογισμικό ασφαλείας, συμπεριλαμβανομένων λύσεων κατά του κακόβουλου λογισμικού, για τον εντοπισμό και τον αποκλεισμό απειλών ransomware. Διατηρήστε αυτά τα εργαλεία ασφαλείας ενημερωμένα για να διασφαλίσετε ότι μπορούν να αναγνωρίσουν και να μετριάσουν τα πιο πρόσφατα στελέχη ransomware. Οι λύσεις προστασίας τελικού σημείου μπορούν να προσθέσουν ένα επιπλέον επίπεδο άμυνας.
- Τμηματοποίηση Δικτύου : Εφαρμογή τμηματοποίησης δικτύου για διαχωρισμό κρίσιμων συστημάτων και ιδιωτικών δεδομένων από το υπόλοιπο δίκτυο. Αυτό περιορίζει την πιθανή πλευρική κίνηση του ransomware εντός του δικτύου, μειώνοντας τον αντίκτυπο μιας μόλυνσης.
- Patch and Update Systems : Ενημερώνετε τακτικά λειτουργικά συστήματα, λογισμικό και εφαρμογές για να επιδιορθώνετε γνωστά τρωτά σημεία. Το Ransomware εκμεταλλεύεται συχνά ελαττώματα ασφαλείας σε απαρχαιωμένα συστήματα. Τα αυτοματοποιημένα εργαλεία διαχείρισης ενημερώσεων κώδικα μπορούν να βοηθήσουν στον εξορθολογισμό αυτής της διαδικασίας και να διασφαλίσουν ότι όλα τα συστήματα είναι ενημερωμένα.
- Φιλτράρισμα email και φιλτράρισμα συνημμένων : Χρησιμοποιήστε λύσεις φιλτραρίσματος email για να αποκλείσετε μηνύματα ηλεκτρονικού ψαρέματος και να φιλτράρετε μη ασφαλή συνημμένα. Πολλές επιθέσεις ransomware ξεκινούν μέσω μηνυμάτων ηλεκτρονικού ψαρέματος και ο αποκλεισμός τέτοιων μηνυμάτων ηλεκτρονικού ταχυδρομείου στην πύλη μπορεί να αποτρέψει το κακόβουλο λογισμικό να φτάσει στους τελικούς χρήστες.
Εκτός από αυτά τα μέτρα, είναι σημαντικό να υπάρχει ένα σχέδιο αντιμετώπισης περιστατικών. Αυτό το έργο θα πρέπει να περιλαμβάνει βήματα για τον γρήγορο εντοπισμό, την απομόνωση και τον μετριασμό των επιπτώσεων μιας επίθεσης ransomware. Η μεθοδική δοκιμή του σχεδίου απόκρισης συμβάντος μέσω προσομοιώσεων ή ασκήσεων μπορεί να βοηθήσει στη διασφάλιση της αποτελεσματικότητάς του όταν προκύπτει πραγματική απειλή. Επιπλέον, η προώθηση μιας κουλτούρας με συνείδηση της ασφάλειας εντός του οργανισμού είναι απαραίτητη για τη διατήρηση μιας συνεχούς δέσμευσης στις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο.
Το πλήρες κείμενο του σημειώματος λύτρων που παρουσιάστηκε από το Albabat Ransomware είναι:
'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:Copy
::> Πόσο σημαντικά είναι τα αρχεία σας για εσάς;
Διαβάστε αυτό το έγγραφο για πληροφορίες σχετικά με το τι συνέβη και πώς να ανακτήσετε ξανά τα αρχεία σας.[+] 1 - ΣΧΕΤΙΚΑ ΜΕ το "Albabat Ransomware" [+]
Το "Albabat Ransomware" είναι ένα ransomware πολλαπλών πλατφορμών που κρυπτογραφεί διάφορα αρχεία σημαντικά για τον ΧΡΗΣΤΗ σε δίσκους αποθήκευσης υπολογιστών χρησιμοποιώντας συμμετρικό αλγόριθμο κρυπτογράφησης με αναγνώριση στρατιωτικού βαθμού.Το "Albabat Ransomware" θα δημιουργήσει αυτόματα έναν φάκελο που ονομάζεται "Albabat" στον κατάλογο χρηστών του υπολογιστή σας, αλλά ακριβώς στο: "C:\Users**\Albabat\".
ΣΥΝΙΣΤΑΤΑΙ να δημιουργήσετε ένα ΑΝΤΙΓΡΑΦΙΚΟ ΑΝΤΙΚΕΙΜΕΝΟΥ ΟΛΟΚΛΗΡΟΥ του φακέλου "C:\Users**\Albabat\", καθώς περιέχει σημαντικά αρχεία για την ανάκτηση των αρχείων σας, τα οποία θα εξηγηθούν αργότερα σε αυτό το έγγραφο για καθένα από αυτά.
Αυτός ο φάκελος περιέχει επίσης αυτά τα ίδια έγγραφα σημειώσεων, στο: "C:\Users**\Albabat\readme\README.html".
1.1 - ΤΟ ΚΛΕΙΔΙ ΤΗΣ ΚΡΥΠΤΟΓΡΑΦΙΑΣ
Τα αρχεία σας κρυπτογραφήθηκαν με ένα ΚΛΕΙΔΙ που ήταν αποθηκευμένο στο αρχείο "Albabat.ekey". Παρουσιάζεται στον κατάλογο "C:\Users**\Albabat\". Ωστόσο, αυτό το ΚΛΕΙΔΙ ήταν επίσης ΚΡΥΠΤΟΠΟΙΗΜΕΝΟ με ένα ΔΗΜΟΣΙΟ ΚΛΕΙΔΙ (ασύμμετρη κρυπτογράφηση), που σημαίνει ότι απαιτεί ένα ΙΔΙΩΤΙΚΟ ΚΛΕΙΔΙ για την αποκρυπτογράφηση και μόνο εγώ (tH3_CyberXY) έχω το ΙΔΙΩΤΙΚΟ ΚΛΕΙΔΙ για να εκτελέσω αυτήν την αποκρυπτογράφηση, ώστε να μπορείτε να χρησιμοποιήσετε το ΚΛΕΙΔΙ "Albabat.key" στην ανάκτηση των αρχείων σας.Δεν υπάρχει τρόπος να αποκρυπτογραφήσετε τα αρχεία σας χωρίς την υπηρεσία αποκρυπτογράφησης δεδομένων μου.
Δεν υπάρχει τρόπος αποκρυπτογράφησης των αρχείων χωρίς αποκρυπτογράφηση του κλειδιού "Albabat.ekey".
Μην διαγράψετε, μην μετονομάσετε, μην χάσετε το κλειδί "Albabat.ekey".
1.2 - Η ΠΡΟΣΩΠΙΚΗ ΣΑΣ ΤΑΥΤΟΤΗΤΑ
Ακριβώς όπως το "Albabat.ekey", το PERSONAL ID είναι σημαντικό στη διαδικασία αποκρυπτογράφησης των αρχείων σας, το οποίο θα χρησιμοποιηθεί στον αποκρυπτογραφητή, το οποίο θα συζητηθεί αργότερα στην ενότητα "ΔΙΑΔΙΚΑΣΙΑ ΑΠΟΚΡΥΠΤΩΣΗΣ".Αυτός ο αριθμός διατηρεί μια μοναδική ταυτότητα στη διαδικασία κρυπτογράφησης του μηχανήματος σας. Εκτός από την ενημέρωση σε αυτό το έγγραφο, το PERSONAL ID σας θα εκτυπωθεί επίσης στο αρχείο "personal_id.txt" στο "C:\Users**\Albabat\".
Μην χάσετε την ΠΡΟΣΩΠΙΚΗ σας ταυτότητα, όπως ΔΕΝ πρέπει να χάσετε το κλειδί "Albabat.ekey".
1.3 - Η ΔΙΑΔΙΚΑΣΙΑ ΚΡΥΠΤΩΤΙΚΗΣ
Τα κρυπτογραφημένα αρχεία έχουν την επέκταση ".abbt".Μην προσπαθήσετε να το μετονομάσετε, δεν θα λειτουργήσει. Αντίθετα, μπορεί να καταστρέψετε τα αρχεία σας.
Το μέγεθος των αρχείων που κρυπτογραφεί το "Albabat Ransomware" είναι το πολύ 5 Megabyte (MB).
Το "Albabat Ransomware" διασχίζει τυχαία αναδρομικά όλους τους καταλόγους που δεν ανήκουν στη λειτουργία του Λειτουργικού Συστήματος. Κρυπτογραφεί αρχεία στον κατάλογο χρήστη, ακόμη και θέσεις βάσης δεδομένων και μονάδες δίσκου που είναι τοποθετημένες στο μηχάνημα, εάν υπάρχουν.
Το "Albabat Ransomware" κρυπτογραφεί μόνο αρχεία που είναι σχετικά. Το λειτουργικό σύστημα και τα δυαδικά αρχεία θα είναι άθικτα. Δεν το επιλέξαμε.
Το "Albabat Ransomware" αποθηκεύει ένα αρχείο καταγραφής με το όνομα "Albabat_Logs.log" στον κατάλογο "C:\Users**\Albabat\". Σε αυτό το αρχείο μπορείτε να δείτε όλα τα αρχεία που κρυπτογραφήθηκαν από το "Albabat Ransomware" σε μορφή διαδρομής.
[+] 2 - ΠΩΣ ΝΑ ΕΠΙΚΟΙΝΩΝΗΣΕΤΕ [+]
Αυτοί είναι οι μόνοι τρόποι για να έρθετε σε επαφή για να ανακτήσετε τα αρχεία σας. Οποιοδήποτε άλλο έντυπο βρεθεί στο διαδίκτυο θα είναι ψεύτικο.Τρόποι επικοινωνίας:
ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ:
albabat.help@protonmail.com
αντίγραφο
ΣΗΜΕΙΩΣΗ: Επικοινωνήστε ΜΟΝΟ εάν έχετε κάνει την πληρωμή. Οποιοσδήποτε άλλος τύπος επαφής εκτός από αυτή τη φύση θα αγνοηθεί.
[+] 3 - ΠΛΗΡΩΜΗ [+]
Η διαδικασία αποκρυπτογράφησης ΠΛΗΡΩΜΕΤΑΙ σε Bitcoin, επομένως πρέπει να έχετε ένα υπόλοιπο Bitcoin σε ένα ανταλλακτήριο κρυπτονομισμάτων ή σε ένα πορτοφόλι κρυπτονομισμάτων για να κάνετε την κατάθεση.Μπορεί να θέλετε να διαβάσετε τη σελίδα FAQ για να μάθετε τι είναι το Bitcoin.
Δεδομένα πληρωμής:
Διεύθυνση Bitcoin:
bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj
αντίγραφο
Ποσό προς πληρωμή:
0,0015 BTC
Για να πραγματοποιήσετε πληρωμή και να επαναφέρετε τα αρχεία σας, ακολουθήστε αυτά τα βήματα -
(1) Σημειώστε τα δεδομένα για να πραγματοποιήσετε τη μεταφορά μέσω της διεύθυνσης Bitcoin και το ΠΟΣΟ προς πληρωμή που καθορίζεται παραπάνω.
Σημείωση: Να θυμάστε ότι η τιμή του Bitcoin μπορεί να διαφέρει νομισματικά ανάλογα με το πότε κάνετε την πληρωμή.
(2) - Μόλις πραγματοποιήσετε την πληρωμή στην παραπάνω διεύθυνση Bitcoin, στείλτε ένα email με παρόμοια δομή:Θέμα: Albabat Ransomware - Έκανα την πληρωμή!
Μήνυμα: Γεια σας, έκανα την πληρωμή. Η διεύθυνσή μου BTC όπου έκανα την πληρωμή είναι "xxx". Η έκδοση του "Albabat Ransomware" που τρέχει στον υπολογιστή μου ήταν "0.3.0".
Ακολουθήστε το συνημμένο ΚΛΕΙΔΙ "Albabat.ekey".
ΣΗΜΑΝΤΙΚΟ: Η πληρωμή θα επαληθεύεται χρησιμοποιώντας τη ΔΙΕΥΘΥΝΣΗ BTC ΣΑΣ ("xxx") στην οποία πραγματοποιήθηκε η συναλλαγή, επομένως είναι ΣΗΜΑΝΤΙΚΟ να ενημερώνετε κατά την αποστολή αυτού του email.
Είναι επίσης ΣΗΜΑΝΤΙΚΟ να στείλετε το ΚΛΕΙΔΙ "Albabat.ekey" ως συνημμένο, ανεξάρτητα από τη μέθοδο επικοινωνίας που επιλέξατε. Το κλειδί θα αποκρυπτογραφηθεί για εσάς.
Θα λάβετε στο email σας το ΚΛΕΙΔΙ "Albabat.key", δηλαδή το ΚΛΕΙΔΙ "Albabat.ekey" αποκρυπτογραφημένο και τον αποκρυπτογραφητή "decryptor.exe" συνημμένο (συμπιεσμένο).
Σημείωση: Μετά την πληρωμή, θα λάβετε το ΚΛΕΙΔΙ "Albabat.key" και "decryptor.exe" εντός 24 ωρών, αλλά μπορεί να διαφέρει περισσότερο ή λιγότερο ανάλογα με τους χρόνους διαθεσιμότητάς μου και το ποσό των απαιτήσεων που λαμβάνω. Κάνε υπομονή.
[+] 4 - ΔΙΑΔΙΚΑΣΙΑ ΑΠΟΚΡΥΠΤΩΣΗΣ [+]Για να αποκρυπτογραφήσετε τα αρχεία σας ακολουθήστε τα παρακάτω βήματα:
(1) Τοποθετήστε το "Albabat.key" που λάβατε μέσω email, μέσα στον κατάλογο "C:\Users**\Albabat\" ή, αν προτιμάτε, κρατήστε το στον ίδιο κατάλογο με το "decryptor.exe".
ΣΗΜΑΝΤΙΚΟ: Σε αυτό το σημείο, είναι πολύ σημαντικό να κλείσετε όλα τα ανοιχτά παράθυρα του Explorer και τα βαριά προγράμματα, για να αποτρέψετε τη συντριβή του "decryptor.exe" και/ή την κακή απόδοση.
Και επίσης απενεργοποιήστε ΜΟΝΙΜΑ το ΑΝΤΙΙΟΥ σας ώστε να μην παρεμβαίνει στη διαδικασία αποκρυπτογράφησης.
(2) Εκτελέστε το "decryptor.exe" και εισαγάγετε το ΠΡΟΣΩΠΙΚΟ ΣΑΣ ID και μετά πατήστε ENTER. Θα εμφανιστεί ένα μήνυμα ειδοποίησης που θα σας ενημερώνει ότι η αποκρυπτογράφηση ξεκίνησε, απλώς κάντε κλικ στο Ok.
Σημείωση: Εάν είστε σε Linux, ανοίξτε ένα τερματικό και εκτελέστε από τη γραμμή εντολών για να δείτε τη διαδικασία.
Π.χ.: ./αποκρυπτογράφηση
(3) Περιμένετε να εμφανιστεί το μήνυμα ολοκλήρωσης της αποκρυπτογράφησης στην κονσόλα, αυτό μπορεί να διαρκέσει λίγο, ανάλογα με την ποσότητα των αρχείων που έχουν κρυπτογραφηθεί και την ισχύ του μηχανήματός σας. Μπορείτε να δείτε τη διαδικασία αποκρυπτογράφησης από το I live από τα αρχεία σας, αν έχω χρόνο για αυτό.
(4) Αφού ολοκληρωθεί η αποκρυπτογράφηση, όλα τα αρχεία σας θα αποκατασταθούν και το αρχείο καταγραφής αποκρυπτογράφησης "Albabat_Logs.log". θα δημιουργηθεί στον κατάλογο αποκρυπτογράφησης.
Εάν έχετε περαιτέρω ερωτήσεις, όπως: "Πώς μπορώ να είμαι σίγουρος ότι τα αρχεία μου μπορούν να αποκρυπτογραφηθούν;", μπορείτε να διαβάσετε τη σελίδα Συχνές ερωτήσεις.
Πνευματικά δικαιώματα (γ) 2021-2023 Albabat Ransomware - Με την επιφύλαξη παντός δικαιώματος. Συντηρείται από: tH3_CyberXY.'
Το μήνυμα λύτρων που εμφανίζεται ως φόντο της επιφάνειας εργασίας είναι:
'Albabat RANSOMWARE
Several of your files have been encrypted!
To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:
Windows: %USERPROFILE% \ Albabat \ readme \ README.html
Linux: $HOME / Albabat / readme / README.html'
