Ransomware Albabat

Albabat è un tipo specifico di malware classificato come ransomware a causa del suo comportamento caratteristico. Questo software minaccioso funziona crittografando i file su un sistema infetto. Come parte del processo di crittografia, Albabat aggiunge l'estensione ".abbt" ai nomi dei file originali, alterando così il formato del file. Inoltre, Albabat esercita un ulteriore impatto visivo sul sistema infetto modificando lo sfondo del desktop. Per comunicare con la vittima e presentare richieste di riscatto, il malware genera un file "README.html" che funge da richiesta di riscatto.

Ad esempio, il modello di ridenominazione applicato da Albabat ai file crittografati segue un formato coerente. Ad esempio, un file inizialmente denominato "1.png" verrebbe trasformato in "1.png.abbt" e, analogamente, "2.jpg" diventerebbe "2.jpg.abbt" e così via. Questa convenzione di ridenominazione è un segno distintivo del processo di crittografia dei file di Albabat e funge da identificatore per il tipo di ransomware che colpisce i file compromessi.

Il ransomware Albabat può bloccare un'ampia gamma di tipi di file per richiedere un riscatto

Lo sfondo del desktop di Albabat visualizza un messaggio che avvisa la vittima della crittografia di alcuni dei suoi file e la guida a cercare ulteriori informazioni nel file "README.html". Questo file si trova specificamente nella cartella "Albabat", situata nella directory principale degli utenti sui loro computer.

Per gli utenti Windows, il percorso è %USERPROFILE%\Albabat\readme\README.html e agli utenti Linux viene richiesto di trovarlo in $HOME/Albabat/readme/README.html. All'interno di questo file viene sottolineato un dettaglio cruciale: la decrittografia dei file crittografati richiede una chiave privata detenuta esclusivamente dall'aggressore. La vittima è esplicitamente messa in guardia contro qualsiasi azione che possa comportare la perdita o l'alterazione della chiave 'Albabat.ekey', inclusa la cancellazione o la ridenominazione.

La richiesta di riscatto fornisce inoltre informazioni di contatto via e-mail (albabat.help@protonmail.com), istruendo le vittime a contattare solo dopo aver completato il processo di pagamento. Vengono delineate le specifiche relative al pagamento, come l'indirizzo Bitcoin e l'importo designato (0,0015 BTC).

È evidenziato che riottenere l'accesso ai file crittografati è in genere irraggiungibile senza lo specifico strumento di decrittazione posseduto dagli aggressori. Tuttavia, si esprime un forte scoraggiamento nei confronti del pagamento di un riscatto agli aggressori, poiché esiste un'elevata probabilità che le vittime cadano vittime di truffe nonostante le promesse degli autori.

Importanti misure di sicurezza da utilizzare contro le infezioni ransomware

La protezione dalle infezioni ransomware richiede un approccio a più livelli che coinvolge varie misure di sicurezza. Ecco sei misure importanti per proteggersi dal ransomware:

• Esegui regolarmente il backup dei tuoi dati : esegui regolarmente il backup dei dati critici su una soluzione di archiviazione offline o basata su cloud. In caso di infezione da ransomware, avere backup aggiornati garantisce che i dati possano essere ripristinati senza pagare il riscatto. I sistemi di backup automatizzati con funzionalità di controllo delle versioni sono particolarmente efficaci.
• Formazione e sensibilizzazione dei dipendenti : condurre regolarmente corsi di formazione sul riconoscimento della sicurezza informatica per i dipendenti per istruirli sui rischi associati a e-mail di phishing, collegamenti non sicuri e allegati sospetti. Assicurati che i dipendenti siano cauti e vigili quando interagiscono con e-mail e altri contenuti online per prevenire infezioni malware involontarie.
• Utilizzo di software di sicurezza : utilizzare software di sicurezza robusti, comprese soluzioni antimalware, per rilevare e bloccare le minacce ransomware. Mantieni aggiornati questi strumenti di sicurezza per garantire che possano riconoscere e mitigare gli ultimi ceppi di ransomware. Le soluzioni di protezione degli endpoint possono aggiungere un ulteriore livello di difesa.
• Segmentazione della rete : implementa la segmentazione della rete per separare i sistemi critici e i dati privati dal resto della rete. Ciò limita il potenziale movimento laterale del ransomware all’interno della rete, riducendo l’impatto di un’infezione.
• Sistemi di patch e aggiornamento : aggiorna regolarmente i sistemi operativi, il software e le applicazioni per correggere le vulnerabilità note. Il ransomware spesso sfrutta le falle di sicurezza nei sistemi obsoleti. Gli strumenti automatizzati di gestione delle patch possono contribuire a semplificare questo processo e garantire che tutti i sistemi siano aggiornati.
• Filtraggio e-mail e filtraggio degli allegati : utilizza soluzioni di filtraggio e-mail per bloccare le e-mail di phishing e filtrare gli allegati non sicuri. Molti attacchi ransomware vengono avviati tramite e-mail di phishing e il blocco di tali e-mail a livello del gateway può impedire al malware di raggiungere gli utenti finali.

Oltre a queste misure, è fondamentale disporre di un piano di risposta agli incidenti. Questo progetto dovrebbe includere passaggi per identificare, isolare e mitigare rapidamente l'impatto di un attacco ransomware. Il test metodico del piano di risposta agli incidenti attraverso simulazioni o esercitazioni può aiutare a garantirne l’efficacia quando si presenta una minaccia reale. Inoltre, promuovere una cultura attenta alla sicurezza all’interno dell’organizzazione è essenziale per mantenere un impegno costante nei confronti delle migliori pratiche di sicurezza informatica.

Il testo completo della richiesta di riscatto presentata da Albabat Ransomware è:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Quanto sono importanti per te i tuoi file?
Leggi questo documento per informazioni su cosa è successo e come recuperare nuovamente i tuoi file.

[+] 1 - INFORMAZIONI SU "Albabat Ransomware" [+]
"Albabat Ransomware" è un ransomware multipiattaforma che crittografa vari file importanti per l'UTENTE sui dischi di archiviazione del computer utilizzando un algoritmo di crittografia simmetrica con identificazione di livello militare.

"Albabat Ransomware" creerà automaticamente una cartella chiamata "Albabat" nella directory utente della tua macchina, ma precisamente in: "C:\Users**\Albabat\".

SI CONSIGLIA di effettuare un BACKUP dell'INTERA cartella "C:\Users**\Albabat\", poiché contiene file importanti per il recupero dei propri file, che verrà spiegato più avanti in questo documento su ciascuno di essi.

Questa cartella contiene anche gli stessi documenti di nota, in: "C:\Users**\Albabat\readme\README.html".

1.1 - LA CHIAVE DELLA CRITTOGRAFIA
I tuoi file sono stati crittografati con una CHIAVE memorizzata nel file "Albabat.ekey". Presente nella directory "C:\Users**\Albabat\". Tuttavia, questa CHIAVE è stata anche CRIPTATA con una CHIAVE PUBBLICA (crittografia asimmetrica), il che significa che richiede una CHIAVE PRIVATA per essere decrittografata e solo io (tH3_CyberXY) ho la CHIAVE PRIVATA per eseguire questa decrittografia, in modo che tu possa utilizzare la CHIAVE "Albabat.key" nel recupero dei file.

Non c'è modo di decrittografare i tuoi file senza il mio servizio di decrittografia dei dati.

Non è possibile decrittografare i file senza decrittografare la chiave "Albabat.ekey".

Non eliminare, non rinominare, non perdere la chiave "Albabat.ekey".

1.2 - IL TUO ID PERSONALE
Proprio come "Albabat.ekey", l'ID PERSONALE è importante nel processo di decrittografia dei tuoi file, che verranno utilizzati nel decryptor, di cui parleremo più avanti nella sezione "PROCESSO DI DECRYPTION".

Questo numero mantiene un'identità univoca nel processo di crittografia della tua macchina. Oltre ad essere riportato in questo documento, il tuo ID PERSONALE verrà stampato anche nel file "personal_id.txt" in "C:\Users**\Albabat\".

Non perdere il tuo ID PERSONALE, così come NON dovresti perdere la chiave "Albabat.ekey".

1.3 - IL PROCESSO DI CRITTOGRAFIA
I file crittografati hanno l'estensione ".abbt".

Non provare a rinominarlo, non funzionerà. Al contrario, potresti danneggiare i tuoi file.

La dimensione dei file crittografati da "Albabat Ransomware" è massima di 5 megabyte (MB).

Il "Albabat Ransomware" attraversa in modo ricorsivo e casuale tutte le directory che non appartengono al funzionamento del sistema operativo. Crittografa i file nella directory dell'utente, anche le posizioni dei database e le unità montate sulla macchina, se presenti.

"Albabat Ransomware" crittografa solo i file rilevanti. Il sistema operativo e i file binari saranno intatti. Non l'abbiamo scelto noi.

"Albabat Ransomware" salva un file di registro denominato "Albabat_Logs.log" nella directory "C:\Users**\Albabat\". In questo file puoi vedere tutti i file che sono stati crittografati da "Albabat Ransomware" sotto forma di percorso.

[+] 2 - COME CONTATTARE [+]
Questi sono gli unici modi per contattarci per recuperare i tuoi file. Qualsiasi altro modulo trovato su Internet sarà falso.

Metodi di contatto:

E-mail:

albabat.help@protonmail.com

copia

NOTA: contattare SOLO se è stato effettuato il pagamento. Qualsiasi altro tipo di contatto diverso da questo verrà ignorato.
[+] 3 - PAGAMENTO [+]
Il processo di decrittazione è PAGATO in Bitcoin, quindi è necessario disporre di un saldo Bitcoin su uno scambio di criptovaluta o in un portafoglio di criptovaluta per effettuare il deposito.

Potresti voler leggere la pagina delle domande frequenti per sapere cos'è Bitcoin.

Dati di pagamento:

Indirizzo Bitcoin:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

copia

Somma da pagare:

0,0015BTC

Per effettuare il pagamento e ripristinare i tuoi file, segui questi passaggi:

(1) Annotare i dati per effettuare il trasferimento tramite l'indirizzo Bitcoin e l'IMPORTO da pagare sopra specificato.

Nota: ricorda che il prezzo del Bitcoin può variare monetariamente a seconda di quando effettui il pagamento.
(2) - Una volta effettuato il pagamento all'indirizzo Bitcoin sopra, invia un'e-mail con una struttura simile a questa:

Oggetto: Albabat Ransomware - Ho effettuato il pagamento!

Messaggio: Ciao, ho effettuato il pagamento. Il mio indirizzo BTC dove ho effettuato il pagamento è "xxx". La versione di "Albabat Ransomware" in esecuzione sul mio computer era "0.3.0".

Seguire la CHIAVE allegata "Albabat.ekey".

IMPORTANTE: il pagamento verrà verificato utilizzando il TUO INDIRIZZO BTC ("xxx") in cui è stata effettuata la transazione, quindi è IMPORTANTE informarlo al momento dell'invio di questa email.

È inoltre IMPORTANTE che tu invii la CHIAVE "Albabat.ekey" come allegato, indipendentemente dalla modalità di contatto scelta. La chiave verrà decrittografata per te.

Riceverai nella tua email la CHIAVE "Albabat.key", cioè la CHIAVE "Albabat.ekey" decriptata, e il decryptor "decryptor.exe" allegato (zippato).

Nota: Dopo il pagamento, riceverai la CHIAVE "Albabat.key" e "decryptor.exe" entro 24 ore, ma può variare in più o in meno a seconda dei miei tempi di disponibilità e della quantità di richieste che ricevo. Essere pazientare.
[+] 4 - PROCESSO DI DECRITTOGRAFIA [+]

Per decrittografare i tuoi file segui i passaggi seguenti:

(1) Inserisci il file "Albabat.key" che hai ricevuto via email, nella directory "C:\Users**\Albabat\" o, se preferisci, tienilo nella stessa directory di "decryptor.exe".

IMPORTANTE: A questo punto, è molto importante chiudere tutte le finestre aperte di Explorer e i programmi pesanti, per evitare che "decryptor.exe" si blocchi e/o abbia scarse prestazioni.

E disabilita anche PERMANENTEMENTE il tuo ANTIVIRUS in modo che non interferisca con il processo di decrittazione.

(2) Esegui "decryptor.exe" e inserisci il TUO ID PERSONALE, quindi premi INVIO. Apparirà un messaggio di avviso che ti informa che la decrittazione è iniziata, basta fare clic su Ok.

Nota: se utilizzi Linux, apri un terminale ed esegui dalla riga di comando per vedere il processo.

Ad esempio: ./decryptor

(3) Attendi che il messaggio di completamento della decrittografia venga visualizzato nella console, l'operazione potrebbe richiedere del tempo a seconda della quantità di file crittografati e della potenza del tuo computer. Puoi vedere il processo di decrittazione vivendo dai tuoi file, se ho tempo per quello.

(4) Al termine della decrittografia, tutti i file verranno ripristinati e il file di registro della decrittografia "Albabat_Logs.log". verrà creato nella directory del decryptor.

Se hai ulteriori domande, ad esempio: "Come posso essere sicuro che i miei file possano essere decrittografati?", puoi leggere la pagina delle FAQ.

Copyright (c) 2021-2023 Albabat Ransomware - Tutti i diritti riservati. Mantenuto da: tH3_CyberXY.'

Il messaggio di riscatto mostrato come sfondo del desktop è:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'