Albabat Ransomware

Albabat je specifična vrsta malwarea kategorizirana kao ransomware zbog svog karakterističnog ponašanja. Ovaj prijeteći softver radi šifriranjem datoteka na zaraženom sustavu. Kao dio procesa enkripcije, Albabat dodaje ekstenziju '.abbt' izvornim nazivima datoteka, mijenjajući tako format datoteke. Dodatno, Albabat pokazuje dodatni vizualni utjecaj na zaraženi sustav mijenjanjem pozadine radne površine. Za komunikaciju sa žrtvom i traženje otkupnine, zlonamjerni softver generira datoteku 'README.html' koja služi kao poruka o otkupnini.

Na primjer, obrazac preimenovanja koji Albabat primjenjuje na šifrirane datoteke slijedi dosljedan format. Na primjer, datoteka prvobitno nazvana '1.png' transformirala bi se u '1.png.abbt', a slično bi '2.jpg' postala '2.jpg.abbt' i tako dalje. Ova konvencija preimenovanja prepoznatljiv je znak Albabatovog procesa enkripcije datoteka i služi kao identifikator za vrstu ransomwarea koji utječe na ugrožene datoteke.

Ransomware Albabat može zaključati širok raspon vrsta datoteka kako bi zatražio otkupninu

Albabatova pozadina radne površine prikazuje poruku koja upozorava žrtvu na enkripciju nekih od njihovih datoteka i navodi je da potraži dodatne informacije u datoteci 'README.html'. Ova se datoteka posebno nalazi unutar mape 'Albabat', koja se nalazi u korijenskom direktoriju korisnika na njihovim računalima.

Za Windows korisnike, staza je %USERPROFILE%\Albabat\readme\README.html, a Linux korisnici se upućuju da je pronađu na $HOME/Albabat/readme/README.html. Unutar ove datoteke naglašen je ključni detalj—dešifriranje šifriranih datoteka zahtijeva privatni ključ koji isključivo drži napadač. Žrtva se izričito upozorava na bilo kakvu radnju koja može rezultirati gubitkom ili izmjenom ključa 'Albabat.ekey', uključujući brisanje ili preimenovanje.

Obavijest o otkupnini dalje sadrži podatke za kontakt putem e-pošte (albabat.help@protonmail.com), upućujući žrtve da se jave tek nakon dovršetka procesa plaćanja. Navedene su pojedinosti o plaćanju, kao što su Bitcoin adresa i određeni iznos (0,0015 BTC).

Naglašeno je da je vraćanje pristupa šifriranim datotekama obično nedostižno bez specifičnog alata za dešifriranje koji posjeduju napadači. Unatoč tome, izraženo je veliko obeshrabrivanje protiv plaćanja otkupnine napadačima, budući da postoji velika vjerojatnost da će žrtve postati žrtve prijevara unatoč bilo kakvim obećanjima počinitelja.

Važne sigurnosne mjere koje treba koristiti protiv infekcija ransomwareom

Zaštita od infekcija ransomwareom zahtijeva višeslojni pristup koji uključuje različite sigurnosne mjere. Evo šest važnih mjera za zaštitu od ransomwarea:

• Redovito sigurnosno kopirajte svoje podatke : redovito sigurnosno kopirajte kritične podatke u izvanmrežno rješenje ili rješenje za pohranu u oblaku. U slučaju infekcije ransomwareom, ažuriranje sigurnosnih kopija osigurava da se podaci mogu vratiti bez plaćanja otkupnine. Automatizirani sustavi za sigurnosno kopiranje s mogućnostima upravljanja verzijama posebno su učinkoviti.
• Obuka zaposlenika i podizanje svijesti : provodite redovitu obuku o kibernetičkoj sigurnosti za zaposlenike kako biste ih educirali o rizicima povezanim s e-porukama za krađu identiteta, nesigurnim poveznicama i sumnjivim privicima. Pobrinite se da zaposlenici budu oprezni i na oprezu kada komuniciraju s e-poštom i drugim mrežnim sadržajem kako bi spriječili nenamjerne infekcije zlonamjernim softverom.
• Korištenje sigurnosnog softvera : Upotrijebite snažan sigurnosni softver, uključujući rješenja protiv zlonamjernog softvera, za otkrivanje i blokiranje prijetnji ransomwarea. Redovno ažurirajte ove sigurnosne alate kako biste bili sigurni da mogu prepoznati i ublažiti najnovije vrste ransomwarea. Rješenja za zaštitu krajnjih točaka mogu dodati dodatni sloj obrane.
• Segmentacija mreže : Implementirajte segmentaciju mreže za odvajanje kritičnih sustava i privatnih podataka od ostatka mreže. To ograničava potencijalno bočno kretanje ransomwarea unutar mreže, smanjujući utjecaj infekcije.
• Zakrpi i ažuriraj sustave : Redovito ažuriraj operativne sustave, softver i aplikacije kako bi zakrpao poznate ranjivosti. Ransomware često iskorištava sigurnosne propuste u zastarjelim sustavima. Automatizirani alati za upravljanje zakrpama mogu pomoći u pojednostavljenju ovog procesa i osigurati da su svi sustavi ažurni.
• Filtriranje e-pošte i filtriranje privitaka : koristite rješenja za filtriranje e-pošte za blokiranje phishing e-poruka i filtriranje nesigurnih privitaka. Mnogi napadi ransomwarea pokreću se putem phishing e-pošte, a blokiranje takvih e-poruka na pristupniku može spriječiti zlonamjerni softver da dođe do krajnjih korisnika.

Osim ovih mjera, ključno je imati plan odgovora na incident. Ovaj bi projekt trebao uključivati korake za brzo identificiranje, izoliranje i ublažavanje utjecaja napada ransomwarea. Metodično testiranje plana odgovora na incident putem simulacija ili vježbi može pomoći u osiguravanju njegove učinkovitosti kada se pojavi stvarna prijetnja. Osim toga, njegovanje kulture osviještene o sigurnosti unutar organizacije ključno je za održavanje stalne predanosti najboljim praksama kibernetičke sigurnosti.

Potpuni tekst obavijesti o otkupnini koju je predstavio Albabat Ransomware je:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Koliko su vam datoteke važne?
Pročitajte ovaj dokument za informacije o tome što se dogodilo i kako ponovno oporaviti svoje datoteke.

[+] 1 - O "Albabat Ransomware" [+]
"Albabat Ransomware" je višeplatformski ransomware koji šifrira različite datoteke važne KORISNIKU na diskovima za pohranu računala koristeći simetrični algoritam šifriranja s vojnom identifikacijom.

"Albabat Ransomware" će automatski stvoriti mapu pod nazivom "Albabat" u korisničkom direktoriju vašeg računala, ali točno u: "C:\Users**\Albabat\".

PREPORUČAJE SE da napravite SIGURNOSNU KOPJU CIJELE "C:\Users**\Albabat\" mape, jer sadrži važne datoteke za oporavak vaših datoteka, što će biti objašnjeno kasnije u ovom dokumentu o svakoj od njih.

Ova mapa također sadrži te iste dokumente s bilješkama, u: "C:\Users**\Albabat\readme\README.html".

1.1 - KLJUČ ZA KRIPTOGRAFIJU
Vaše su datoteke šifrirane KLJUČEM koji je pohranjen u datoteci "Albabat.ekey". Prisutan u direktoriju "C:\Users**\Albabat\". Međutim, ovaj KLJUČ je također ŠIFRIRAN JAVNIM KLJUČEM (asimetrična enkripcija), što znači da zahtijeva PRIVATNI KLJUČ za dešifriranje, a samo ja (tH3_CyberXY) imam PRIVATNI KLJUČ za izvođenje ovog dešifriranja, tako da možete koristiti KLJUČ "Albabat.key" u oporavku vaših datoteka.

Ne postoji način za dešifriranje vaših datoteka bez moje usluge dešifriranja podataka.

Ne postoji način za dešifriranje datoteka bez dešifriranja ključa "Albabat.ekey".

Nemojte brisati, nemojte preimenovati, nemojte izgubiti ključ "Albabat.ekey".

1.2 - VAŠA OSOBNA ID
Baš kao i "Albabat.ekey", OSOBNI ID je važan u procesu dešifriranja vaših datoteka, koji će se koristiti u dekriptoru, o čemu će biti riječi kasnije u odjeljku "POSTUPAK DEKRIPTIRANJA".

Ovaj broj održava jedinstveni identitet u procesu šifriranja vašeg stroja. Uz informacije u ovom dokumentu, vaš OSOBNI ID također će biti ispisan u datoteci "personal_id.txt" u "C:\Users**\Albabat\".

Nemojte izgubiti svoju OSOBNU ID, kao što NE smijete izgubiti ključ "Albabat.ekey".

1.3 - PROCES ŠIFRIRANJA
Šifrirane datoteke imaju nastavak ".abbt".

Ne pokušavajte ga preimenovati, neće uspjeti. Naprotiv, možete oštetiti svoje datoteke.

Veličina datoteka koje "Albabat Ransomware" šifrira je najviše 5 megabajta (MB).

"Albabat Ransomware" nasumično rekurzivno prolazi kroz sve direktorije koji ne pripadaju operacijskom sustavu. Šifrira datoteke u korisničkom imeniku, čak i lokacije baza podataka i pogone montirane na stroju ako ih ima.

"Albabat Ransomware" šifrira samo datoteke koje su relevantne. Operativni sustav i binarne datoteke bit će netaknuti. Nismo to birali.

"Albabat Ransomware" sprema datoteku dnevnika pod nazivom "Albabat_Logs.log" u direktoriju "C:\Users**\Albabat\". U ovoj datoteci možete vidjeti sve datoteke koje je kriptirao "Albabat Ransomware" u obliku staze.

[+] 2 - KAKO KONTAKTIRATI [+]
Ovo su jedini načini da stupite u kontakt radi oporavka datoteka. Svaki drugi obrazac koji se nađe na internetu bit će lažan.

Metode kontakta:

Email:

albabat.help@protonmail.com

Kopirati

NAPOMENA: Molimo kontaktirajte SAMO ako ste izvršili uplatu. Svaka druga vrsta kontakta osim ove prirode bit će zanemarena.
[+] 3 - PLAĆANJE [+]
Proces dešifriranja se PLAĆA u Bitcoinima, tako da morate imati Bitcoin saldo na mjenjačnici kriptovaluta ili u novčaniku za kriptovalute kako biste izvršili polog.

Možda biste trebali pročitati stranicu s često postavljanim pitanjima kako biste saznali što je Bitcoin.

Podaci o plaćanju:

Bitcoin adresa:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

Kopirati

Iznos za plaćanje:

0,0015 BTC

Za plaćanje i vraćanje datoteka slijedite ove korake -

(1) Zapišite podatke za prijenos putem Bitcoin adrese i gore navedeni IZNOS za plaćanje.

Napomena: Imajte na umu da cijena Bitcoina može varirati u novčanom smislu ovisno o tome kada izvršite uplatu.
(2) - Nakon što izvršite uplatu na gornju Bitcoin adresu, pošaljite e-poruku sa strukturom sličnom ovoj:

Predmet: Albabat Ransomware - platio sam!

Poruka: Poštovani, izvršio sam uplatu. Moja BTC adresa na kojoj sam izvršio uplatu je "xxx". Verzija "Albabat Ransomwarea" pokrenutog na mom računalu bila je "0.3.0".

Pratite priloženi KLJUČ "Albabat.ekey".

VAŽNO: Plaćanje će se verificirati korištenjem VAŠE BTC ADRESE ("xxx") na kojoj je izvršena transakcija, stoga je VAŽNO obavijestiti prilikom slanja ovog e-maila.

Također je VAŽNO da pošaljete KLJUČ "Albabat.ekey" kao privitak, bez obzira na način kontakta koji ste odabrali. Ključ će biti dešifriran umjesto vas.

Na svoju e-poštu ćete dobiti KLJUČ "Albabat.key", odnosno KLJUČ "Albabat.ekey" dekriptiran, i dekriptor "decryptor.exe" u prilogu (zipanom).

Napomena: Nakon plaćanja, primit ćete KLJUČ "Albabat.key" i "decryptor.exe" u roku od 24 sata, ali može varirati više ili manje ovisno o vremenu moje dostupnosti i količini zahtjeva koje primam. Budi strpljiv.
[+] 4 - PROCES DEKRIPTIRANJA [+]

Za dešifriranje datoteka slijedite korake u nastavku:

(1) Postavite "Albabat.key" koji ste primili e-poštom u direktorij "C:\Users**\Albabat\" ili, ako želite, držite ga u istom direktoriju kao i "decryptor.exe".

VAŽNO: U ovom trenutku vrlo je važno da zatvorite sve otvorene prozore Explorera i teške programe kako biste spriječili rušenje "decryptor.exe" i/ili loše performanse.

I također TRAJNO onemogućite svoj ANTIVIRUS kako ne bi ometao proces dešifriranja.

(2) Pokrenite "decryptor.exe" i unesite VAŠ OSOBNI ID, zatim pritisnite ENTER. Pojavit će se poruka upozorenja koja vas obavještava da je dešifriranje počelo, samo kliknite U redu.

Napomena: Ako ste na Linuxu, otvorite terminal i pokrenite iz naredbenog retka da vidite proces.

Npr.: ./dekriptor

(3) Pričekajte da se na konzoli prikaže poruka o završetku dešifriranja, ovo može potrajati, ovisno o količini datoteka koje su šifrirane i snazi vašeg stroja. Možete vidjeti proces dešifriranja uživo iz vaših datoteka, ako za to budem imao vremena.

(4) Nakon dovršetka dešifriranja, sve vaše datoteke bit će vraćene i datoteka dnevnika dešifriranja "Albabat_Logs.log". kreirat će se u direktoriju dekriptora.

Ako imate dodatnih pitanja, poput: "Kako mogu biti siguran da se moje datoteke mogu dešifrirati?", možete pročitati stranicu s često postavljanim pitanjima.

Autorska prava (c) 2021-2023 Albabat Ransomware - sva prava pridržana. Održava: tH3_CyberXY.'

Poruka o otkupnini prikazana kao pozadina radne površine je:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'