Albabat Ransomware

Albabat는 특유의 행위로 인해 랜섬웨어로 분류되는 특정 유형의 악성 코드입니다. 이 위협적인 소프트웨어는 감염된 시스템의 파일을 암호화하여 작동합니다. 암호화 프로세스의 일부로 Albabat는 원본 파일 이름에 '.abbt' 확장자를 추가하여 파일 형식을 변경합니다. 또한 Albabat는 바탕 화면 배경 무늬를 수정하여 감염된 시스템에 추가적인 시각적 영향을 미칩니다. 피해자와 통신하고 몸값을 요구하기 위해 악성코드는 몸값 메모 역할을 하는 'README.html' 파일을 생성합니다.

예를 들어, Albabat이 암호화된 파일에 적용하는 이름 바꾸기 패턴은 일관된 형식을 따릅니다. 예를 들어, 처음에 '1.png'라는 파일은 '1.png.abbt'로 변환되고 마찬가지로 '2.jpg'는 '2.jpg.abbt'가 됩니다. 이 이름 변경 규칙은 Albabat 파일 암호화 프로세스의 독특한 특징이며 손상된 파일에 영향을 미치는 랜섬웨어 유형에 대한 식별자 역할을 합니다.

Albabat 랜섬웨어는 몸값을 요구하기 위해 다양한 파일 형식을 잠글 수 있습니다.

Albabat의 바탕 화면에는 피해자에게 일부 파일이 암호화되어 있음을 알리고 'README.html' 파일에서 추가 정보를 찾도록 안내하는 메시지가 표시됩니다. 이 파일은 특히 사용자 컴퓨터의 루트 디렉터리에 있는 'Albabat' 폴더 내에 있습니다.

Windows 사용자의 경우 경로는 %USERPROFILE%\Albabat\readme\README.html이고, Linux 사용자의 경우 $HOME/Albabat/readme/README.html에서 찾으라고 안내됩니다. 이 파일에는 암호화된 파일을 해독하려면 공격자가 독점적으로 보유하고 있는 개인 키가 필요하다는 중요한 세부 사항이 강조되어 있습니다. 피해자는 삭제나 이름 변경을 포함하여 'Albabat.ekey' 키의 손실이나 변경을 초래할 수 있는 모든 행위에 대해 명시적으로 경고를 받습니다.

랜섬노트는 이메일(albabat.help@protonmail.com)을 통해 연락처 정보를 추가로 제공하여 피해자에게 결제 프로세스를 완료한 후에만 연락하도록 지시합니다. 비트코인 주소, 지정 금액(0.0015 BTC) 등 결제에 대한 구체적인 내용이 설명되어 있습니다.

일반적으로 공격자가 보유한 특정 암호 해독 도구 없이는 암호화된 파일에 대한 액세스를 다시 얻는 것이 불가능하다는 점이 강조되었습니다. 그럼에도 불구하고 가해자의 어떠한 약속에도 불구하고 피해자가 사기 피해를 입을 가능성이 높기 때문에 공격자에게 몸값을 지불하는 것에 대해 강한 낙담을 표명합니다.

랜섬웨어 감염에 대해 사용되는 중요한 보안 조치

랜섬웨어 감염으로부터 보호하려면 다양한 보안 조치를 포함하는 다계층 접근 방식이 필요합니다. 랜섬웨어로부터 보호하는 데 도움이 되는 6가지 중요한 조치는 다음과 같습니다.

• 데이터를 정기적으로 백업하십시오 . 중요한 데이터를 오프라인 또는 클라우드 기반 스토리지 솔루션에 정기적으로 백업하십시오. 랜섬웨어에 감염된 경우 백업을 업데이트하면 몸값을 지불하지 않고도 데이터를 복원할 수 있습니다. 버전 관리 기능을 갖춘 자동화된 백업 시스템이 특히 효과적입니다.
• 직원 교육 및 인식 : 피싱 이메일, 안전하지 않은 링크 및 의심스러운 첨부 파일과 관련된 위험에 대해 교육하기 위해 직원을 대상으로 정기적인 사이버 보안 승인 교육을 실시합니다. 의도하지 않은 악성 코드 감염을 방지하기 위해 직원이 이메일 및 기타 온라인 콘텐츠와 상호 작용할 때 주의를 기울이고 경계하도록 하십시오.
• 보안 소프트웨어 사용 : 맬웨어 방지 솔루션을 포함한 강력한 보안 소프트웨어를 사용하여 랜섬웨어 위협을 탐지하고 차단합니다. 최신 랜섬웨어 변종을 인식하고 완화할 수 있도록 보안 도구를 최신 상태로 유지하세요. 엔드포인트 보호 솔루션은 추가 방어 계층을 추가할 수 있습니다.
• 네트워크 분할 : 네트워크 분할을 구현하여 중요한 시스템과 개인 데이터를 나머지 네트워크와 분리합니다. 이는 네트워크 내에서 랜섬웨어의 잠재적인 측면 이동을 제한하여 감염의 영향을 줄입니다.
• 패치 및 업데이트 시스템 : 운영 체제, 소프트웨어 및 애플리케이션을 정기적으로 업데이트하여 알려진 취약점을 패치합니다. 랜섬웨어는 종종 오래된 시스템의 보안 결함을 악용합니다. 자동화된 패치 관리 도구는 이 프로세스를 간소화하고 모든 시스템을 최신 상태로 유지하는 데 도움이 될 수 있습니다.
• 이메일 필터링 및 첨부 파일 필터링 : 이메일 필터링 솔루션을 사용하여 피싱 이메일을 차단하고 안전하지 않은 첨부 파일을 필터링합니다. 많은 랜섬웨어 공격은 피싱 이메일을 통해 시작되며 게이트웨이에서 이러한 이메일을 차단하면 맬웨어가 최종 사용자에게 도달하는 것을 방지할 수 있습니다.

이러한 조치 외에도 사고 대응 계획을 마련하는 것이 중요합니다. 이 프로젝트에는 랜섬웨어 공격의 영향을 신속하게 식별, 격리 및 완화하기 위한 단계가 포함되어야 합니다. 시뮬레이션이나 훈련을 통해 사고 대응 계획을 체계적으로 테스트하면 실제 위협이 발생할 때 효율성을 보장하는 데 도움이 될 수 있습니다. 또한 사이버 보안 모범 사례에 대한 지속적인 노력을 유지하려면 조직 내에서 보안을 의식하는 문화를 조성하는 것이 필수적입니다.

Albabat Ransomware가 제시한 랜섬노트의 전문은 다음과 같습니다.

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> 귀하의 파일은 귀하에게 얼마나 중요합니까?
발생한 상황과 파일을 다시 복구하는 방법에 대한 정보는 이 문서를 읽어보세요.

[+] 1 - "알바바트 랜섬웨어"에 대하여 [+]
"Albabat Ransomware"는 군용 등급 식별 기능을 갖춘 대칭 암호화 알고리즘을 사용하여 컴퓨터 저장 디스크에 있는 사용자에게 중요한 다양한 파일을 암호화하는 크로스 플랫폼 랜섬웨어입니다.

"Albabat Ransomware"는 컴퓨터의 사용자 디렉터리에 "Albabat"이라는 폴더를 자동으로 생성하지만 정확히는 "C:\Users**\Albabat\"에 생성됩니다.

"C:\Users**\Albabat\" 폴더 전체를 백업하는 것이 좋습니다. 이 폴더에는 파일 복구를 위한 중요한 파일이 포함되어 있으며 각 폴더에 대해서는 이 문서의 뒷부분에서 설명할 것입니다.

이 폴더에는 "C:\Users**\Albabat\readme\README.html"에도 동일한 메모 문서가 포함되어 있습니다.

1.1 - 암호화의 핵심
귀하의 파일은 "Albabat.ekey" 파일에 저장된 KEY로 암호화되었습니다. "C:\Users**\Albabat\" 디렉터리에 있습니다. 하지만 이 KEY는 공개 키(비대칭 암호화)로도 암호화되었습니다. 즉, 복호화하려면 개인 키가 필요하며, 이 복호화를 수행할 개인 키는 나(tH3_CyberXY)만이 가지고 있으므로 사용자가 KEY를 사용할 수 있습니다. 파일 복구 시 "Albabat.key".

내 데이터 복호화 서비스 없이는 파일을 복호화할 수 있는 방법이 없습니다.

"Albabat.ekey" 키를 해독하지 않고는 파일을 해독할 수 있는 방법이 없습니다.

삭제하지 말고, 이름을 바꾸지 말고, "Albabat.ekey" 키를 잃어버리지 마세요.

1.2 - 귀하의 개인 ID
"Albabat.ekey"와 마찬가지로 개인 ID는 파일을 해독하는 과정에서 중요하며, 이는 해독기에서 사용되며 나중에 "해독 프로세스" 섹션에서 설명합니다.

이 번호는 컴퓨터의 암호화 프로세스에서 고유한 ID를 유지합니다. 본 문서에 안내된 것 외에도 귀하의 개인 ID는 "C:\Users**\Albabat\"의 "personal_id.txt" 파일에도 인쇄됩니다.

"Albabat.ekey" 키를 잃어버리면 안되는 것처럼 개인 ID도 잃어버리지 마세요.

1.3 - 암호화 프로세스
암호화된 파일의 확장자는 ".abbt"입니다.

이름을 바꾸려고 시도하지 마십시오. 작동하지 않습니다. 반대로 파일이 손상될 수 있습니다.

"Albabat Ransomware"가 암호화하는 파일의 크기는 최대 5MB입니다.

"Albabat Ransomware"는 운영 체제의 작동에 속하지 않는 모든 디렉터리를 무작위로 재귀적으로 탐색합니다. 사용자 디렉터리의 파일을 암호화합니다. 데이터베이스 위치와 컴퓨터에 탑재된 드라이브도 암호화합니다.

"Albabat Ransomware"는 관련 파일만 암호화합니다. 운영 체제와 바이너리 파일은 그대로 유지됩니다. 우리는 그것을 선택하지 않았습니다.

"Albabat 랜섬웨어"는 "C:\Users**\Albabat\" 디렉터리에 "Albabat_Logs.log"라는 로그 파일을 저장합니다. 이 파일은 "Albabat Ransomware"에 의해 암호화된 모든 파일을 경로 형태로 볼 수 있습니다.

[+] 2 - 연락 방법 [+]
이것이 파일을 복구하기 위해 연락할 수 있는 유일한 방법입니다. 인터넷에서 발견된 다른 양식은 모두 가짜입니다.

연락 방법:

이메일:

albabat.help@protonmail.com

복사

참고: 결제를 완료한 경우에만 문의하시기 바랍니다. 이러한 성격 이외의 다른 유형의 연락은 무시됩니다.
[+] 3 - 결제 [+]
복호화 과정은 비트코인으로 결제되기 때문에 입금을 위해서는 암호화폐 거래소나 암호화폐 지갑에 비트코인 잔고가 있어야 합니다.

비트코인이 무엇인지 알고 싶다면 FAQ 페이지를 읽어보세요.

결제 데이터:

비트코인 주소:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

복사

지불할 금액:

0,0015 BTC

결제하고 파일을 복원하려면 다음 단계를 따르세요.

(1) 위에서 지정한 비트코인 주소와 지불할 금액을 통해 전송할 데이터를 기록합니다.

참고: 비트코인 가격은 결제 시기에 따라 금전적으로 달라질 수 있다는 점을 기억하세요.
(2) - 위의 비트코인 주소로 결제를 완료하신 후, 다음과 유사한 구조의 이메일을 보내주세요:

제목: 알바바트 랜섬웨어 - 결제했어요!

메시지: 안녕하세요. 결제했습니다. 제가 결제한 BTC 주소는 "xxx"입니다. 내 컴퓨터에서 실행중인 "Albabat Ransomware"의 버전은 "0.3.0"이었습니다.

첨부된 KEY "Albabat.ekey"를 따르세요.

중요: 결제는 거래가 진행된 BTC 주소("xxx")를 사용하여 확인되므로 이 이메일을 보낼 때 알리는 것이 중요합니다.

선택한 연락 방법에 관계없이 "Albabat.ekey" 키를 첨부 파일로 보내는 것도 중요합니다. 키가 해독됩니다.

귀하는 귀하의 이메일로 "Albabat.key" 키, 즉 "Albabat.ekey" 키가 해독되고, 해독기 "decryptor.exe"가 첨부(압축)되어 있음을 받게 됩니다.

참고: 결제 후 24시간 이내에 KEY "Albabat.key" 및 "decryptor.exe"를 받게 되지만, 가용성 시간과 받는 요구량에 따라 다소 달라질 수 있습니다. 인내심을 가지십시오.
[+] 4 - 암호 해독 프로세스 [+]

파일의 암호를 해독하려면 다음 단계를 따르세요.

(1) 이메일로 받은 "Albabat.key"를 "C:\Users**\Albabat\" 디렉터리에 넣거나 원하는 경우 "decryptor.exe"와 동일한 디렉터리에 보관합니다.

중요: 이 시점에서는 "decryptor.exe"가 충돌하거나 성능이 저하되는 것을 방지하기 위해 열려 있는 모든 Explorer 창과 무거운 프로그램을 닫는 것이 매우 중요합니다.

또한 해독 프로세스를 방해하지 않도록 안티바이러스를 영구적으로 비활성화하십시오.

(2) "decryptor.exe"를 실행하고 개인 ID를 입력한 후 Enter 키를 누릅니다. 암호 해독이 시작되었음을 알리는 경고 메시지가 나타나면 확인을 클릭하세요.

참고: Linux를 사용하는 경우 터미널을 열고 명령줄에서 실행하여 프로세스를 확인하세요.

예: ./decryptor

(3) 콘솔에 복호화 완료 메시지가 표시될 때까지 기다립니다. 암호화된 파일의 양과 컴퓨터 성능에 따라 다소 시간이 걸릴 수 있습니다. 시간이 있으면 파일에서 라이브로 복호화 프로세스를 볼 수 있습니다.

(4) 복호화가 완료되면 모든 파일이 복원되고 복호화 로그 파일 "Albabat_Logs.log"가 생성됩니다. 해독기 디렉터리에 생성됩니다.

"내 파일이 해독될 수 있는지 어떻게 확신할 수 있나요?"와 같은 추가 질문이 있는 경우 FAQ 페이지를 읽어보세요.

저작권 (c) 2021-2023 Albabat 랜섬웨어 - All Right Reserved. 관리자: tH3_CyberXY.'

데스크탑 배경으로 표시되는 몸값 메시지는 다음과 같습니다.

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'