Albabat Ransomware
Albabat on teatud tüüpi pahavara, mis liigitatakse oma iseloomuliku käitumise tõttu lunavaraks. See ähvardav tarkvara toimib nakatunud süsteemis olevate failide krüptimise teel. Krüpteerimisprotsessi osana lisab Albabat algsetele failinimedele laienduse ".abbt", muutes sellega failivormingut. Lisaks avaldab Albabat nakatunud süsteemile täiendavat visuaalset mõju, muutes töölaua taustapilti. Ohvriga suhtlemiseks ja lunaraha nõudmiseks loob pahavara faili README.html, mis toimib lunaraha märkena.
Näiteks Albabati poolt krüptitud failidele rakendatud ümbernimetamismuster järgib ühtset vormingut. Näiteks algselt nimega "1.png" muudetaks fail "1.png.abbt" ja samamoodi muudetaks failist "2.jpg" "2.jpg.abbt" ja nii edasi. See ümbernimetamiskonventsioon on Albabati failide krüpteerimisprotsessi eristav tunnus ja see toimib ohustatud faile mõjutava lunavara tüübi identifikaatorina.
Albabati lunavara võib lunaraha nõudmiseks lukustada laia valiku failitüüpe
Albabati töölaua taustapildil kuvatakse teade, mis hoiatab ohvrit mõne faili krüptimisest ja juhendab neid failist README.html lisateavet otsima. See fail asub spetsiaalselt kaustas "Albabat", mis asub kasutajate arvuti juurkataloogis.
Windowsi kasutajate jaoks on tee %USERPROFILE%\Albabat\readme\README.html ja Linuxi kasutajatel palutakse see leida aadressilt $HOME/Albabat/readme/README.html. Selles failis on rõhutatud olulist detaili – krüptitud failide dekrüpteerimiseks on vaja privaatvõtit, mida hoiab eranditult ründaja. Ohvrit hoiatatakse selgesõnaliselt mis tahes tegevuse eest, mis võib kaasa tuua võtme „Albabat.ekey” kadumise või muutmise, sealhulgas kustutamise või ümbernimetamise.
Lunarahateatis sisaldab lisaks e-posti teel (albabat.help@protonmail.com) kontaktteavet, andes ohvritele korralduse võtta ühendust alles pärast makseprotsessi lõpetamist. Välja on toodud makse üksikasjad, nagu Bitcoini aadress ja määratud summa (0,0015 BTC).
Tuleb rõhutada, et krüptitud failidele juurdepääsu taastamine on tavaliselt võimatu ilma ründajate käsutuses oleva spetsiifilise dekrüpteerimisvahendita. Sellegipoolest väljendatakse tugevat heidutust ründajatele lunaraha maksmise vastu, kuna on suur tõenäosus, et ohvrid langevad pettuste ohvriks hoolimata kurjategijate lubadustest.
Olulised turvameetmed, mida tuleb kasutada lunavaranakkuste vastu
Lunavaranakkuste eest kaitsmine nõuab mitmekihilist lähenemist, mis hõlmab erinevaid turvameetmeid. Siin on kuus olulist meedet, mis aitavad lunavara eest kaitsta:
- Varundage oma andmeid regulaarselt : varundage regulaarselt olulisi andmeid võrguühenduseta või pilvepõhisesse salvestuslahendusse. Lunavaraga nakatumise korral tagab varukoopiate uuendamine, et andmeid saab taastada ilma lunaraha maksmata. Eriti tõhusad on versioonide loomise võimalustega automatiseeritud varundussüsteemid.
- Töötajate koolitus ja teadlikkuse tõstmine : viige töötajatele regulaarselt läbi küberturvalisuse tunnustamise koolitusi, et teavitada neid andmepüügimeilide, ebaturvaliste linkide ja kahtlaste manustega seotud riskidest. Veenduge, et töötajad oleksid e-kirjade ja muu võrgusisuga suhtlemisel ettevaatlikud ja valvsad, et vältida tahtmatut pahavara nakatumist.
- Turvatarkvara kasutamine : kasutage lunavaraohtude tuvastamiseks ja blokeerimiseks tugevat turbetarkvara, sealhulgas pahavaravastaseid lahendusi. Hoidke neid turbetööriistu ajakohasena, et need suudaksid tuvastada ja leevendada uusimaid lunavara tüvesid. Lõpp-punkti kaitselahendused võivad lisada täiendava kaitsekihi.
- Võrgu segmenteerimine : rakendage võrgu segmenteerimist, et eraldada kriitilised süsteemid ja privaatsed andmed ülejäänud võrgust. See piirab lunavara võimalikku külgsuunalist liikumist võrgus, vähendades infektsiooni mõju.
- Paigutused ja värskendamissüsteemid : värskendage regulaarselt operatsioonisüsteeme, tarkvara ja rakendusi, et parandada teadaolevaid turvaauke. Lunavara kasutab sageli ära vananenud süsteemide turvavigu. Automatiseeritud paigahaldustööriistad aitavad seda protsessi sujuvamaks muuta ja tagada, et kõik süsteemid on ajakohased.
- Meilide filtreerimine ja manuste filtreerimine : andmepüügimeilide blokeerimiseks ja ebaturvaliste manuste filtreerimiseks kasutage meilide filtreerimise lahendusi. Paljud lunavararünnakud algatatakse andmepüügimeilide kaudu ja selliste kirjade blokeerimine lüüsis võib takistada pahavara jõudmist lõppkasutajateni.
Lisaks nendele meetmetele on ülioluline, et oleks olemas intsidentidele reageerimise plaan. See projekt peaks sisaldama samme lunavararünnaku kiireks tuvastamiseks, isoleerimiseks ja selle mõju leevendamiseks. Vahejuhtumitele reageerimise plaani metoodiline testimine simulatsioonide või õppuste abil aitab tagada selle tõhususe reaalse ohu ilmnemisel. Lisaks on turvateadliku kultuuri edendamine organisatsioonis hädavajalik, et säilitada pidev pühendumus küberturvalisuse parimatele tavadele.
Albabat Ransomware esitatud lunarahateatise täistekst on järgmine:
'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:Copy
::> Kui olulised on teie failid teile?
Lugege seda dokumenti, et saada teavet juhtunu ja failide taastamise kohta.[+] 1 – „Albabat Ransomware” KOHTA [+]
"Albabat Ransomware" on platvormideülene lunavara, mis krüpteerib erinevaid KASUTAJA jaoks olulisi faile arvuti salvestusketastel, kasutades sümmeetrilist krüpteerimisalgoritmi koos sõjaväelise identifitseerimisega."Albabat Ransomware" loob automaatselt kausta nimega "Albabat" teie masina kasutajakataloogis, kuid täpselt kaustas "C:\Users**\Albabat\".
SOOVITATAKSE VARUNDADA KOGU kaustast "C:\Users**\Albabat\", kuna see sisaldab teie failide taastamiseks olulisi faile, mida kirjeldatakse kõigi nende kohta hiljem selles dokumendis.
See kaust sisaldab ka neid samu märkmete dokumente: "C:\Users**\Albabat\readme\README.html".
1.1 – KRÜPTOGRAAFIA VÕTI
Teie failid krüpteeriti KEY-ga, mis on salvestatud faili "Albabat.ekey". Esitatakse kataloogis "C:\Users**\Albabat\". Kuid see VÕTI Krüpteeriti ka AVALIK VÕTMEGA (asümmeetriline krüptimine), mis tähendab, et selle dekrüpteerimiseks on vaja PRIVAATVÕTTI ja ainult minul (tH3_CyberXY) on selle dekrüpteerimise teostamiseks PRIVAATVÕTI, et saaksite VÕTTI kasutada "Albabat.key" failide taastamisel.Ilma minu andmete dekrüpteerimisteenuseta ei saa faile dekrüpteerida.
Faile ei saa dekrüpteerida ilma võtit "Albabat.ekey" dekrüpteerimata.
Ärge kustutage, ärge nimetage ümber, ärge kaotage klahvi "Albabat.ekey".
1.2 – TEIE ISIKUID
Nii nagu "Albabat.ekey", on teie failide dekrüpteerimisel oluline ISIKKUID, mida kasutatakse dekrüpteerijas, millest räägitakse hiljem jaotises "DEKRÜPTIMISPROTSESS".See number säilitab teie masina krüpteerimisprotsessis ainulaadse identiteedi. Lisaks selles dokumendis teavitamisele prinditakse teie ISIKLIK ID ka failis "personal_id.txt" kaustas "C:\Users**\Albabat\".
Ärge kaotage oma ISIKU ID-d, nagu ka EI tohiks kaotada võtit "Albabat.ekey".
1.3 – KRÜPTIMISPROTSESS
Krüptitud failide laiend on ".abbt".Ärge proovige seda ümber nimetada, see ei tööta. Vastupidi, võite oma faile rikkuda.
Failide suurus, mida "Albabat Ransomware" krüpteerib, on maksimaalselt 5 megabaiti (MB).
"Albabat Ransomware" läbib juhuslikult rekursiivselt kõik kataloogid, mis ei kuulu operatsioonisüsteemi töösse. Krüpteerib kasutajakataloogis olevad failid, isegi andmebaasi asukohad ja masinasse paigaldatud draivid, kui neid on.
"Albabat Ransomware" krüpteerib ainult asjakohased failid. Operatsioonisüsteem ja binaarfailid jäävad puutumata. Me ei valinud seda.
"Albabat Ransomware" salvestab logifaili nimega "Albabat_Logs.log" kataloogi "C:\Users**\Albabat\". Selles failis näete kõiki faile, mille "Albabat Ransomware" krüpteeris tee kujul.
[+] 2 – KUIDAS VÕTTA ÜHENDUST [+]
Need on ainsad viisid, kuidas failide taastamiseks ühendust võtta. Kõik muud Internetist leitud vormid on võltsitud.Kontaktmeetodid:
E-post:
albabat.help@protonmail.com
Kopeeri
MÄRKUS: võtke ühendust AINULT siis, kui olete makse sooritanud. Kõik muud tüüpi kontaktid peale seda laadi jäetakse tähelepanuta.
[+] 3 – MAKSE [+]
Dekrüpteerimisprotsess on TASUTA Bitcoinis, seega peab sissemakse tegemiseks olema Bitcoini saldo krüptovaluutabörsil või krüptovaluuta rahakotis.Võib-olla soovite lugeda KKK lehte, et teada saada, mis on Bitcoin.
Makseandmed:
Bitcoini aadress:
bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj
Kopeeri
Tasumisele kuuluv summa:
0,0015 BTC
Maksete tegemiseks ja failide taastamiseks toimige järgmiselt.
(1) Kirjutage üles andmed ülekande tegemiseks Bitcoini aadressi kaudu ja ülaltoodud SUMMA, mida maksta.
Märkus. Pidage meeles, et Bitcoini hind võib sõltuvalt makse tegemise ajast rahaliselt erineda.
(2) – Kui olete ülaltoodud Bitcoini aadressile makse teinud, saatke järgmise struktuuriga meil:Teema: Albabat Ransomware – tegin makse!
Sõnum: Tere, tegin makse. Minu BTC aadress, kuhu makse tegin, on "xxx". Minu masinas töötav "Albabat Ransomware" versioon oli "0.3.0".
Järgige lisatud VÕTI "Albabat.ekey".
TÄHTIS: Makse kinnitamiseks kasutatakse TEIE BTC-AADRESSI ("xxx"), millel tehing sooritati, seega on selle meili saatmisel TÄHTIS sellest teavitada.
Samuti on OLULINE, et saadaksite KEY "Albabat.ekey" manusena, olenemata valitud kontaktimeetodist. Võti dekrüpteeritakse teie eest.
Saate oma e-kirjaga VÕTI "Albabat.key", st VÕTI "Albabat.ekey" dekrüpteerituna ja dekrüpteerija "decryptor.exe" on lisatud (zip).
Märkus. Pärast maksmist saate KEY "Albabat.key" ja "decryptor.exe" 24 tunni jooksul, kuid see võib olenevalt minu saadavusaegadest ja saadavate nõuete hulgast enam-vähem erineda. Ole kannatlik.
[+] 4 – DEKRÜPTIMISPROTSESS [+]Failide dekrüpteerimiseks toimige järgmiselt.
(1) Asetage meili teel saadud võti "Albabat.key" kataloogi "C:\Users**\Albabat\" või soovi korral hoidke seda samas kataloogis kui "decryptor.exe".
TÄHTIS.Siinkohal on väga oluline sulgeda kõik avatud Exploreri aknad ja rasked programmid, et vältida faili "decryptor.exe" kokkujooksmist ja/või kehva jõudlust.
Ja keelake ka oma VIIRUSEANTI PÜDAVALT, et see ei segaks dekrüpteerimisprotsessi.
(2) Käivitage "decryptor.exe" ja sisestage OMA ISIKLIK ID, seejärel vajutage sisestusklahvi. Ilmub hoiatusteade, mis teavitab teid, et dekrüpteerimine algas, klõpsake lihtsalt nuppu OK.
Märkus. Kui kasutate Linuxit, avage terminal ja käivitage protsessi vaatamiseks käsurealt.
Nt: ./decryptor
(3) Oodake, kuni konsoolis kuvatakse dekrüpteerimise lõpetamise teade. See võib veidi aega võtta, olenevalt krüptitud failide hulgast ja teie masina võimsusest. Kui mul on selleks aega, näete dekrüpteerimisprotsessi teie failidest.
(4) Pärast dekrüpteerimise lõpetamist taastatakse kõik teie failid ja dekrüpteerimise logifail "Albabat_Logs.log". luuakse dekrüpteerija kataloogis.
Kui teil on lisaküsimusi, näiteks: "Kuidas saan olla kindel, et mu faile saab dekrüpteerida?", võite lugeda KKK lehte.
Autoriõigus (c) 2021–2023 Albabat Ransomware – kõik õigused kaitstud. Hooldab: tH3_CyberXY.'
Töölaua taustal kuvatav lunarahateade on järgmine:
'Albabat RANSOMWARE
Several of your files have been encrypted!
To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:
Windows: %USERPROFILE% \ Albabat \ readme \ README.html
Linux: $HOME / Albabat / readme / README.html'
