Albabat Ransomware

Albabat yra specifinis kenkėjiškų programų tipas, dėl būdingo elgesio priskiriamas išpirkos reikalaujančioms programoms. Ši grėsminga programinė įranga veikia šifruodama failus užkrėstoje sistemoje. Vykdydamas šifravimo procesą, Albabat prie pradinių failų pavadinimų prideda plėtinį „.abbt“, taip pakeisdamas failo formatą. Be to, modifikuodamas darbalaukio ekrano užsklandą, „Albabat“ dar labiau paveikia užkrėstą sistemą. Kad galėtų bendrauti su auka ir reikalauti išpirkos, kenkėjiška programa sugeneruoja failą README.html, kuris naudojamas kaip išpirkos laiškas.

Pavyzdžiui, pervardijimo šablonas, kurį Albabat taiko užšifruotiems failams, atitinka nuoseklų formatą. Pavyzdžiui, failas iš pradžių pavadintas „1.png“ būtų paverstas „1.png.abbt“ ir panašiai „2.jpg“ taptų „2.jpg.abbt“ ir pan. Šis pervadinimo susitarimas yra išskirtinis Albabato failų šifravimo proceso požymis ir naudojamas kaip išpirkos reikalaujančios programinės įrangos, turinčios įtakos pažeistiems failams, tipo identifikatorius.

„Albabat Ransomware“ gali užrakinti daugybę failų tipų ir reikalauti išpirkos

Albabato darbalaukio fone rodomas pranešimas, įspėjantis auką apie kai kurių failų šifravimą ir nukreipiamas ieškoti papildomos informacijos faile README.html. Šis failas yra specialiai aplanke „Albabat“, esančiame naudotojų kompiuterių šakniniame kataloge.

„Windows“ naudotojams kelias yra %USERPROFILE%\Albabat\readme\README.html, o „Linux“ naudotojams nurodoma jį rasti adresu $HOME/Albabat/readme/README.html. Šiame faile pabrėžiama esminė detalė – užšifruotų failų iššifravimui reikalingas privatus raktas, kurį turi išimtinai užpuolikas. Auka yra aiškiai įspėjama dėl bet kokių veiksmų, dėl kurių gali būti prarastas arba pakeistas „Albabat.ekey“ raktas, įskaitant ištrynimą ar pervardijimą.

Išpirkos rašte taip pat pateikiama kontaktinė informacija el. paštu (albabat.help@protonmail.com), nurodant aukoms susisiekti tik baigus mokėjimo procesą. Nurodoma mokėjimo specifika, pvz., Bitcoin adresas ir nurodyta suma (0,0015 BTC).

Pabrėžiama, kad atgauti prieigą prie užšifruotų failų paprastai neįmanoma be konkretaus užpuoliko turimo iššifravimo įrankio. Nepaisant to, išreiškiamas didelis atgrasymas nemokėti išpirkos užpuolikams, nes yra didelė tikimybė, kad aukos taps sukčių aukomis, nepaisant bet kokių nusikaltėlių pažadų.

Svarbios saugos priemonės, kurios turi būti taikomos nuo išpirkos reikalaujančių infekcijų

Norint apsisaugoti nuo ransomware infekcijų, reikalingas daugiasluoksnis požiūris, apimantis įvairias saugumo priemones. Štai šešios svarbios priemonės, padedančios apsisaugoti nuo išpirkos reikalaujančių programų:

• Reguliariai kurkite atsargines duomenų kopijas : Reguliariai kurkite svarbių duomenų atsargines kopijas į neprisijungus arba debesyje pagrįstą saugyklos sprendimą. Užsikrėtus išpirkos reikalaujančia programine įranga, atnaujintos atsarginės kopijos užtikrina, kad duomenis bus galima atkurti nemokant išpirkos. Ypač efektyvios yra automatizuotos atsarginės kopijos sistemos su versijų kūrimo galimybėmis.
• Darbuotojų mokymas ir informavimas : reguliariai rengkite darbuotojams kibernetinio saugumo patvirtinimo mokymus, kad supažindintumėte juos su sukčiavimo el. laiškais, nesaugiomis nuorodomis ir įtartinais priedais susijusią riziką. Užtikrinkite, kad darbuotojai būtų atsargūs ir budrūs bendraudami su el. laiškais ir kitu internetiniu turiniu, kad išvengtumėte netyčinių kenkėjiškų programų užkrėtimo.
• Apsaugos programinės įrangos naudojimas : naudokite patikimą saugos programinę įrangą, įskaitant sprendimus nuo kenkėjiškų programų, kad aptiktumėte ir blokuotumėte išpirkos reikalaujančias programas. Nuolat atnaujinkite šiuos saugos įrankius, kad jie atpažintų ir sumažintų naujausias išpirkos reikalaujančių programų padermes. Galinių taškų apsaugos sprendimai gali pridėti papildomą apsaugos sluoksnį.
• Tinklo segmentavimas : įdiekite tinklo segmentavimą, kad atskirtumėte svarbias sistemas ir privačius duomenis nuo likusio tinklo. Tai apriboja galimą išpirkos reikalaujančių programų šoninį judėjimą tinkle ir sumažina infekcijos poveikį.
• Pataisymas ir naujinimo sistemos : reguliariai atnaujinkite operacines sistemas, programinę įrangą ir programas, kad pataisytumėte žinomus pažeidžiamumus. Ransomware dažnai išnaudoja pasenusių sistemų saugumo trūkumus. Automatiniai pataisų valdymo įrankiai gali padėti supaprastinti šį procesą ir užtikrinti, kad visos sistemos būtų atnaujintos.
• El. pašto filtravimas ir priedų filtravimas : naudokite el. pašto filtravimo sprendimus, kad blokuotumėte sukčiavimo el. laiškus ir filtruotumėte nesaugius priedus. Daugelis išpirkos reikalaujančių programų atakų pradedamos naudojant sukčiavimo el. laiškus, o užblokavus tokius el. laiškus vartuose, kenkėjiška programa gali nepasiekti galutinių vartotojų.

Be šių priemonių, labai svarbu turėti reagavimo į incidentus planą. Į šį projektą turėtų būti įtraukti veiksmai, skirti greitai nustatyti, atskirti ir sušvelninti išpirkos reikalaujančios programos atakos poveikį. Metodinis reagavimo į incidentą plano patikrinimas modeliavimu ar pratybomis gali padėti užtikrinti jo veiksmingumą iškilus realiai grėsmei. Be to, siekiant išlaikyti nuolatinį įsipareigojimą laikytis geriausios kibernetinio saugumo praktikos, organizacijoje būtina puoselėti saugumu grindžiamą kultūrą.

Visas Albabat Ransomware pateikto išpirkos rašto tekstas yra toks:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Kiek jums svarbūs failai?
Perskaitykite šį dokumentą, kad gautumėte informacijos apie tai, kas atsitiko ir kaip vėl atkurti failus.

[+] 1 – APIE „Albabat Ransomware“ [+]
„Albabat Ransomware“ yra kelių platformų išpirkos reikalaujanti programa, kuri užšifruoja įvairius VARTOTOJUI svarbius failus kompiuterių saugojimo diskuose, naudodama simetrinį šifravimo algoritmą su karinio lygio identifikavimu.

„Albabat Ransomware“ automatiškai sukurs aplanką pavadinimu „Albabat“ jūsų kompiuterio vartotojo kataloge, bet būtent čia: „C:\Users**\Albabat\“.

REKOMENDUOJAME sukurti VISO „C:\Users**\Albabat\“ aplanko ATSARGINĘ KOPĄ, nes jame yra svarbūs failai, skirti atkurti failus, kurie bus paaiškinti vėliau šiame dokumente apie kiekvieną iš jų.

Šiame aplanke taip pat yra tie patys pastabų dokumentai: „C:\Users**\Albabat\readme\README.html“.

1.1 – KRIPTOGRAFIJOS RAKTAS
Jūsų failai buvo užšifruoti naudojant KEY, kuris buvo išsaugotas faile „Albabat.ekey“. Pateikti kataloge „C:\Users**\Albabat\“. Tačiau šis RAKTAS taip pat buvo KRIPTUOTAS VIEŠIU RAKTU (asimetrinis šifravimas), o tai reiškia, kad norint iššifruoti reikia PRIVAČIO RAKTO, o tik aš (tH3_CyberXY) turiu PRIVAČĮ RAKTĄ šiam iššifravimui atlikti, kad galėtumėte naudoti KEY. „Albabat.key“ atkurdami failus.

Jokiu būdu negalima iššifruoti failų be mano duomenų iššifravimo paslaugos.

Jokiu būdu negalima iššifruoti failų neiššifravus rakto „Albabat.ekey“.

Neištrinkite, nepervardykite, nepraraskite rakto „Albabat.ekey“.

1.2 – JŪSŲ ASMENINIS ID
Kaip ir „Albabat.ekey“, Asmeninis ID yra svarbus jūsų failų iššifravimo procese, kuris bus naudojamas iššifruotoje, kuris bus aptartas vėliau skiltyje „IŠKRIPAVIMO PROCESAS“.

Šis numeris išlaiko unikalią tapatybę jūsų įrenginio šifravimo procese. Be informacijos šiame dokumente, jūsų ASMENS ID taip pat bus atspausdintas „personal_id.txt“ faile „C:\Users**\Albabat\“.

Nepraraskite asmeninio ID, kaip ir neturėtumėte prarasti rakto „Albabat.ekey“.

1.3 – KRIPTAVIMO PROCESAS
Šifruoti failai turi plėtinį „.abbt“.

Nebandykite jo pervardyti, tai neveiks. Priešingai, galite sugadinti failus.

Failų, kuriuos „Albabat Ransomware“ užšifruoja, dydis yra ne didesnis kaip 5 megabaitai (MB).

„Albabat Ransomware“ atsitiktinai rekursyviai perkelia visus katalogus, kurie nepriklauso operacinės sistemos veikimui. Užšifruoja failus, esančius vartotojo kataloge, net duomenų bazės vietas ir įrenginyje sumontuotus diskus, jei tokių yra.

„Albabat Ransomware“ užšifruoja tik tuos failus, kurie yra svarbūs. Operacinė sistema ir dvejetainiai failai bus nepažeisti. Mes to nepasirinkome.

„Albabat Ransomware“ išsaugo žurnalo failą pavadinimu „Albabat_Logs.log“ kataloge „C:\Users**\Albabat\“. Šiame faile galite matyti visus failus, kurie buvo užšifruoti „Albabat Ransomware“ kelio formoje.

[+] 2 – KAIP SUSISIEKTI SU [+]
Tai yra vieninteliai būdai susisiekti ir atkurti failus. Bet kuri kita internete rasta forma bus netikra.

Susisiekimo būdai:

El. paštas:

albabat.help@protonmail.com

Kopijuoti

PASTABA: susisiekite TIK sumokėję. Bet koks kitas kontaktas, išskyrus šio pobūdžio, bus ignoruojamas.
[+] 3 – MOKĖJIMAS [+]
Iššifravimo procesas yra MOKAMAS Bitcoin, todėl norint atlikti indėlį, reikia turėti Bitcoin likutį kriptovaliutų biržoje arba kriptovaliutų piniginėje.

Galbūt norėsite perskaityti DUK puslapį, kad sužinotumėte, kas yra Bitcoin.

Mokėjimo duomenys:

Bitcoin adresas:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

Kopijuoti

Mokėtina suma:

0,0015 BTC

Norėdami sumokėti ir atkurti failus, atlikite šiuos veiksmus:

(1) Užsirašykite duomenis, kad atliktumėte pervedimą per Bitcoin adresą, ir MOKĖJIMO SUMĄ, nurodytą aukščiau.

Pastaba: Atminkite, kad Bitcoin kaina gali skirtis pinigine išraiška, priklausomai nuo to, kada atliekate mokėjimą.
(2) – atlikę mokėjimą aukščiau nurodytu Bitcoin adresu, išsiųskite el. laišką, kurio struktūra panaši į šią:

Tema: Albabat Ransomware – aš sumokėjau!

Žinutė: Sveiki, apmokėjau. Mano BTC adresas, kuriame atlikau mokėjimą, yra „xxx“. Mano kompiuteryje veikiančios „Albabat Ransomware“ versija buvo „0.3.0“.

Sekite pridedamą RAKTĄ „Albabat.ekey“.

SVARBU: mokėjimas bus patvirtinamas naudojant JŪSŲ BTC ADRESĄ („xxx“), kuriuo buvo atlikta operacija, todėl SVARBU apie tai informuoti siunčiant šį el. laišką.

Taip pat SVARBU, kad RAKTĄ „Albabat.ekey“ atsiųstumėte kaip priedą, neatsižvelgiant į pasirinktą susisiekimo būdą. Raktas bus iššifruotas už jus.

El. paštu gausite RAKTĄ „Albabat.key“, tai yra, RAKTĄ „Albabat.ekey“, iššifruotą, ir pridėtą (supakuotą) iššifruotoją „decryptor.exe“.

Pastaba: po apmokėjimo gausite KEY "Albabat.key" ir "decryptor.exe" per 24 valandas, tačiau jis gali skirtis daugiau ar mažiau, priklausomai nuo mano pasiekiamumo laiko ir gautų užklausų kiekio. Būk kantrus.
[+] 4 – IŠKRIPTAVIMO PROCESAS [+]

Norėdami iššifruoti failus, atlikite toliau nurodytus veiksmus.

(1) Įdėkite „Albabat.key“, kurį gavote el. paštu, į katalogą „C:\Users**\Albabat\“ arba, jei norite, laikykite jį tame pačiame kataloge kaip „decryptor.exe“.

SVARBU: šiuo metu labai svarbu uždaryti visus atidarytus „Explorer“ langus ir sunkias programas, kad „decryptor.exe“ nesustrigtų ir (arba) neveiktų prastai.

Taip pat VISIŠKAI išjunkite ANTIVIRUSĄ, kad ji netrukdytų iššifravimo procesui.

(2) Paleiskite „decryptor.exe“ ir įveskite savo asmeninį ID, tada paspauskite ENTER. Pasirodys įspėjimo pranešimas, informuojantis, kad iššifravimas prasidėjo, tiesiog spustelėkite Gerai.

Pastaba: jei naudojate „Linux“, atidarykite terminalą ir paleiskite iš komandinės eilutės, kad pamatytumėte procesą.

Pvz.: ./decryptor

(3) Palaukite, kol konsolėje bus rodomas iššifravimo užbaigimo pranešimas. Tai gali šiek tiek užtrukti, priklausomai nuo užšifruotų failų kiekio ir jūsų įrenginio galios. Iššifravimo procesą galite pamatyti iš jūsų failų, jei turėsiu tam laiko.

(4) Kai iššifravimas bus baigtas, visi failai bus atkurti ir iššifravimo žurnalo failas „Albabat_Logs.log“. bus sukurtas iššifruotojo kataloge.

Jei turite papildomų klausimų, pvz.: „Kaip galiu būti tikras, kad mano failus galima iššifruoti?“, galite perskaityti DUK puslapį.

Autorių teisės (c) 2021–2023 Albabat Ransomware – visos teisės saugomos. Prižiūrėjo: tH3_CyberXY.

Išpirkos pranešimas, rodomas kaip darbalaukio fonas, yra:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'