Albabat Ransomware
آلبابات نوع خاصی از بدافزار است که به دلیل رفتار مشخصه آن در رده باج افزار دسته بندی می شود. این نرم افزار تهدید کننده با رمزگذاری فایل ها در یک سیستم آلوده عمل می کند. Albabat به عنوان بخشی از فرآیند رمزگذاری خود، پسوند '.abbt' را به نام فایل های اصلی اضافه می کند و در نتیجه فرمت فایل را تغییر می دهد. علاوه بر این، آلبابات با اصلاح تصویر زمینه دسکتاپ، تأثیر بصری بیشتری بر سیستم آلوده نشان می دهد. برای برقراری ارتباط با قربانی و درخواست باج، بدافزار یک فایل "README.html" تولید می کند که به عنوان یادداشت باج عمل می کند.
به عنوان مثال، الگوی تغییر نام که توسط Albabat برای فایلهای رمزگذاری شده اعمال میشود، از یک فرمت ثابت پیروی میکند. به عنوان مثال، فایلی که در ابتدا با نام '1.png' به '1.png.abbt' تبدیل می شود، و به طور مشابه، '2.jpg' به '2.jpg.abbt' تبدیل می شود و غیره. این قرارداد تغییر نام یک مشخصه متمایز از فرآیند رمزگذاری فایل آلبابات است و به عنوان یک شناسه برای نوع باج افزاری است که بر فایل های در معرض خطر تأثیر می گذارد.
باج افزار آلبابات می تواند طیف گسترده ای از انواع فایل ها را برای درخواست باج قفل کند.
کاغذ دیواری دسکتاپ آلبابات پیامی را نمایش می دهد که قربانی را از رمزگذاری برخی از فایل های خود آگاه می کند و آنها را راهنمایی می کند تا اطلاعات بیشتری را در فایل 'README.html' جستجو کنند. این فایل به طور خاص در پوشه 'Albabat' واقع در فهرست اصلی کاربران در رایانه آنها قرار دارد.
برای کاربران ویندوز، مسیر %USERPROFILE%\Albabat\readme\README.html است و به کاربران لینوکس دستور داده شده است که آن را در $HOME/Albabat/readme/README.html پیدا کنند. در این فایل، بر یک جزئیات بسیار مهم تأکید شده است - رمزگشایی فایل های رمزگذاری شده نیاز به یک کلید خصوصی دارد که منحصراً توسط مهاجم نگهداری می شود. به قربانی صراحتاً نسبت به هرگونه اقدامی که ممکن است منجر به از دست دادن یا تغییر کلید "Albabat.ekey" شود، از جمله حذف یا تغییر نام، هشدار داده می شود.
یادداشت باج همچنین اطلاعات تماس را از طریق ایمیل (albabat.help@protonmail.com) ارائه میکند و به قربانیان دستور میدهد که فقط پس از تکمیل فرآیند پرداخت با آنها تماس بگیرند. مشخصات مربوط به پرداخت، مانند آدرس بیت کوین و مبلغ تعیین شده (0.0015 بیت کوین)، به طور کلی توضیح داده شده است.
مشخص میشود که دسترسی مجدد به فایلهای رمزگذاریشده معمولاً بدون ابزار رمزگشایی خاصی که مهاجمان در اختیار دارند، غیرممکن است. با این وجود، دلسردی شدیدی نسبت به پرداخت باج به مهاجمان ابراز میشود، زیرا احتمال زیادی وجود دارد که قربانیان قربانی کلاهبرداریها شوند، علیرغم هر وعدهای که مجرمان دادهاند.
اقدامات امنیتی مهمی که باید در برابر عفونت های باج افزار استفاده شود
محافظت در برابر عفونتهای باجافزار نیازمند رویکردی چندلایه شامل اقدامات امنیتی مختلف است. در اینجا شش اقدام مهم برای کمک به محافظت در برابر باج افزار آورده شده است:
- به طور منظم از داده های خود نسخه پشتیبان تهیه کنید : به طور منظم از داده های مهم در یک راه حل ذخیره سازی آفلاین یا مبتنی بر ابر پشتیبان تهیه کنید. در صورت عفونت باج افزار، داشتن نسخه پشتیبان به روز شده تضمین می کند که داده ها می توانند بدون پرداخت باج بازیابی شوند. سیستمهای پشتیبانگیری خودکار با قابلیت نسخهسازی بسیار مؤثر هستند.
- آموزش و آگاهی کارکنان : به طور منظم آموزش های تأیید امنیت سایبری را برای کارکنان برگزار کنید تا آنها را در مورد خطرات مرتبط با ایمیل های فیشینگ، پیوندهای ناامن و پیوست های مشکوک آموزش دهید. اطمینان حاصل کنید که کارمندان هنگام تعامل با ایمیل ها و سایر محتوای آنلاین محتاط و هوشیار هستند تا از آلودگی های بدافزار سهوی جلوگیری کنند.
- استفاده از نرم افزار امنیتی : از نرم افزارهای امنیتی قوی، از جمله راه حل های ضد بدافزار، برای شناسایی و مسدود کردن تهدیدات باج افزار استفاده کنید. این ابزارهای امنیتی را به روز نگه دارید تا مطمئن شوید که می توانند آخرین گونه های باج افزار را شناسایی و کاهش دهند. راه حل های محافظت از نقطه پایانی می توانند یک لایه دفاعی اضافی اضافه کنند.
- تقسیم بندی شبکه : اجرای بخش بندی شبکه برای جداسازی سیستم های حیاتی و داده های خصوصی از بقیه شبکه. این حرکت جانبی احتمالی باج افزار را در شبکه محدود می کند و تأثیر عفونت را کاهش می دهد.
- وصله و به روز رسانی سیستم ها : به طور منظم سیستم عامل ها، نرم افزارها و برنامه ها را برای اصلاح آسیب پذیری های شناخته شده به روز کنید. باج افزار اغلب از نقص های امنیتی در سیستم های قدیمی سوء استفاده می کند. ابزارهای خودکار مدیریت پچ میتوانند به سادهسازی این فرآیند کمک کنند و اطمینان حاصل کنند که همه سیستمها بهروز هستند.
- فیلتر کردن ایمیل و فیلتر کردن پیوستها : از راهحلهای فیلتر ایمیل برای مسدود کردن ایمیلهای فیشینگ و فیلتر کردن پیوستهای ناامن استفاده کنید. بسیاری از حملات باجافزار از طریق ایمیلهای فیشینگ آغاز میشوند و مسدود کردن چنین ایمیلهایی در دروازه میتواند از دسترسی بدافزار به کاربران نهایی جلوگیری کند.
علاوه بر این اقدامات، وجود یک طرح واکنش به حوادث بسیار مهم است. این پروژه باید شامل مراحلی برای شناسایی سریع، جداسازی و کاهش تأثیر یک حمله باجافزار باشد. آزمایش روشی طرح واکنش به حادثه از طریق شبیه سازی یا تمرین می تواند به اطمینان از اثربخشی آن در هنگام بروز تهدید واقعی کمک کند. علاوه بر این، پرورش یک فرهنگ آگاهانه امنیتی در سازمان برای حفظ تعهد مداوم به بهترین شیوه های امنیت سایبری ضروری است.
متن کامل یادداشت باج ارائه شده توسط باج افزار آلبابات به شرح زیر است:
'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:Copy
::> فایل های شما چقدر برای شما مهم هستند؟
این سند را برای اطلاعات در مورد آنچه اتفاق افتاده و نحوه بازیابی مجدد فایل های خود بخوانید.[+] 1 - درباره "باج افزار آلبابات" [+]
"باج افزار آلبابات" یک باج افزار چند پلتفرمی است که فایل های مختلف مهم برای USER را روی دیسک های ذخیره سازی رایانه با استفاده از الگوریتم رمزگذاری متقارن با شناسایی درجه نظامی رمزگذاری می کند."باج افزار Albabat" به طور خودکار پوشه ای به نام "Albabat" را در فهرست کاربری دستگاه شما ایجاد می کند، اما دقیقاً در: "C:\Users**\Albabat\".
توصیه می شود از کل پوشه "C:\Users**\Albabat\" یک نسخه پشتیبان تهیه کنید، زیرا حاوی فایل های مهم برای بازیابی فایل های شما است که در ادامه در این سند در مورد هر یک از آنها توضیح داده خواهد شد.
این پوشه همچنین حاوی همین اسناد یادداشت است، در: "C:\Users**\Albabat\readme\README.html".
1.1 - کلید رمزنگاری
فایل های شما با یک KEY که در فایل "Albabat.ekey" ذخیره شده بود، رمزگذاری شدند. در فهرست "C:\Users**\Albabat\" ارائه شود. با این حال، این کلید با یک کلید عمومی (رمزگذاری نامتقارن) نیز رمزگذاری شده است، به این معنی که برای رمزگشایی به یک کلید خصوصی نیاز دارد و فقط من (tH3_CyberXY) کلید خصوصی را برای انجام این رمزگشایی دارم تا بتوانید از کلید استفاده کنید. "Albabat.key" در بازیابی فایل های شما.هیچ راهی برای رمزگشایی فایل های شما بدون سرویس رمزگشایی داده های من وجود ندارد.
هیچ راهی برای رمزگشایی فایل ها بدون رمزگشایی کلید "Albabat.ekey" وجود ندارد.
حذف نکنید، نام خود را تغییر ندهید، کلید "Albabat.ekey" را گم نکنید.
1.2 - شناسه شخصی شما
درست مانند "Albabat.ekey"، شناسه شخصی در فرآیند رمزگشایی فایل های شما مهم است، که در رمزگشا استفاده می شود، که بعدا در بخش "فرایند رمزگشایی" مورد بحث قرار خواهد گرفت.این شماره یک هویت منحصر به فرد را در فرآیند رمزگذاری دستگاه شما حفظ می کند. شناسه شخصی شما علاوه بر اطلاع در این سند، در فایل "personal_id.txt" در "C:\Users**\Albabat\" نیز چاپ خواهد شد.
شناسه شخصی خود را گم نکنید، همانطور که نباید کلید "Albabat.ekey" را گم کنید.
1.3 - فرآیند رمزگذاری
فایل های رمزگذاری شده دارای پسوند ".abbt" هستند.سعی نکنید نام آن را تغییر دهید، کار نمی کند. برعکس، ممکن است فایل های خود را خراب کنید.
حجم فایل هایی که «باج افزار آلبابات» رمزگذاری می کند حداکثر 5 مگابایت (MB) است.
"باج افزار آلبابات" به طور تصادفی همه دایرکتوری هایی را که به عملکرد سیستم عامل تعلق ندارد، عبور می دهد. فایلهای موجود در فهرست کاربر، حتی مکانهای پایگاه داده و درایوهای نصب شده روی دستگاه را در صورت وجود رمزگذاری میکند.
"باج افزار آلبابات" فقط فایل های مرتبط را رمزگذاری می کند. سیستم عامل و فایل های باینری دست نخورده خواهند بود. ما آن را انتخاب نکردیم.
"باج افزار Albabat" یک فایل گزارش به نام "Albabat_Logs.log" را در فهرست "C:\Users**\Albabat\" ذخیره می کند. در این فایل میتوانید تمامی فایلهایی را که توسط «باجافزار آلبابات» رمزگذاری شدهاند به صورت مسیر مشاهده کنید.
[+] 2 - نحوه تماس با [+]
این تنها راه های ارتباطی برای بازیابی فایل های شما هستند. هر فرم دیگری که در اینترنت یافت شود جعلی خواهد بود.روش های تماس:
پست الکترونیک:
albabat.help@protonmail.com
کپی 🀄
توجه: لطفا فقط در صورت پرداخت تماس بگیرید. هر نوع تماس دیگری غیر از این ماهیت نادیده گرفته خواهد شد.
[+] 3 - پرداخت [+]
فرآیند رمزگشایی به بیت کوین پرداخت می شود، بنابراین برای واریز وجه باید موجودی بیت کوین را در صرافی ارز دیجیتال یا در کیف پول رمزنگاری داشته باشید.ممکن است بخواهید صفحه پرسش و پاسخ را بخوانید تا بدانید بیت کوین چیست.
داده های پرداخت:
آدرس بیت کوین:
bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj
کپی 🀄
مبلغ پرداختی:
00015 بیت کوین
برای پرداخت و بازیابی فایل های خود، این مراحل را دنبال کنید -
(1) داده ها را برای انجام انتقال از طریق آدرس بیت کوین و مبلغی که باید پرداخت کنید را یادداشت کنید.
توجه: به یاد داشته باشید که قیمت بیت کوین ممکن است بسته به زمان پرداخت متفاوت باشد.
(2) - پس از پرداخت به آدرس بیت کوین بالا، یک ایمیل با ساختاری مشابه این ارسال کنید:موضوع: باج افزار آلبابات - پرداخت را انجام دادم!
پیام: سلام من پرداخت کردم. آدرس بیت کوین من که در آن پرداخت کردم "xxx" است. نسخه "باج افزار آلبابات" که روی دستگاه من اجرا می شود "0.3.0" بود.
کلید پیوست "Albabat.ekey" را دنبال کنید.
مهم: پرداخت با استفاده از آدرس BTC شما ("xxx") که تراکنش در آن انجام شده است تأیید می شود، بنابراین مهم است که هنگام ارسال این ایمیل اطلاع دهید.
همچنین مهم است که کلید "Albabat.ekey" را بدون توجه به روش تماسی که انتخاب کرده اید به عنوان پیوست ارسال کنید. کلید برای شما رمزگشایی خواهد شد.
شما کلید "Albabat.key" را در ایمیل خود دریافت خواهید کرد، یعنی کلید "Albabat.ekey" رمزگشایی شده است، و رمزگشا "decryptor.exe" پیوست شده (زیپ شده).
توجه: پس از پرداخت، کلید "Albabat.key" و "decryptor.exe" را ظرف 24 ساعت دریافت خواهید کرد، اما ممکن است بسته به زمان در دسترس بودن و میزان درخواستی که دریافت میکنم، مقدار آن کم و بیش متفاوت باشد. صبور باش.
[+] 4 - فرآیند رمزگشایی [+]برای رمزگشایی فایل های خود مراحل زیر را دنبال کنید:
(1) "Albabat.key" را که از طریق ایمیل دریافت کردید، در فهرست "C:\Users**\Albabat\" قرار دهید، یا در صورت تمایل، آن را در همان فهرست "decryptor.exe" نگه دارید.
مهم: در این مرحله، بسیار مهم است که تمام پنجرههای باز Explorer و برنامههای سنگین را ببندید تا از خراب شدن و/یا عملکرد ضعیف «decryptor.exe» جلوگیری کنید.
و همچنین آنتی ویروس خود را به طور دائم غیرفعال کنید تا در فرآیند رمزگشایی اختلال ایجاد نکند.
(2) "decryptor.exe" را اجرا کنید و ID شخصی خود را وارد کنید، سپس ENTER را فشار دهید. یک پیام هشدار ظاهر می شود که به شما اطلاع می دهد که رمزگشایی شروع شده است، فقط روی Ok کلیک کنید.
توجه: اگر از لینوکس استفاده می کنید، یک ترمینال را باز کنید و از خط فرمان اجرا کنید تا روند را ببینید.
به عنوان مثال: ./رمزگشا
(3) منتظر بمانید تا پیام تکمیل رمزگشایی در کنسول نمایش داده شود، این ممکن است بسته به تعداد فایلهایی که رمزگذاری شدهاند و قدرت دستگاه شما کمی طول بکشد. اگر برای این کار وقت داشته باشم، می توانید فرآیند رمزگشایی توسط I live را از فایل های شما مشاهده کنید.
(4) پس از اتمام رمزگشایی، تمام فایل های شما بازیابی می شود و فایل لاگ رمزگشایی "Albabat_Logs.log" بازیابی می شود. در دایرکتوری رمزگشا ایجاد خواهد شد.
اگر سؤالات بیشتری دارید، مانند: "چگونه می توانم مطمئن شوم که فایل های من می توانند رمزگشایی شوند؟"، می توانید صفحه پرسش و پاسخ را بخوانید.
حق چاپ (ج) 2021-2023 باج افزار آلبابات - کلیه حقوق محفوظ است. نگهداری شده توسط: tH3_CyberXY.'
پیام باج به عنوان پسزمینه دسکتاپ نشان داده شده است:
'Albabat RANSOMWARE
Several of your files have been encrypted!
To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:
Windows: %USERPROFILE% \ Albabat \ readme \ README.html
Linux: $HOME / Albabat / readme / README.html'
