Albabat Ransomware
Albabat ir īpaša veida ļaunprātīga programmatūra, kas tai raksturīgās uzvedības dēļ klasificēta kā izpirkuma programmatūra. Šī draudīgā programmatūra darbojas, šifrējot failus inficētā sistēmā. Kā daļu no šifrēšanas procesa Albabat pievieno paplašinājumu “.abbt” oriģinālajiem failu nosaukumiem, tādējādi mainot faila formātu. Turklāt Albabat uzrāda turpmāku vizuālu ietekmi uz inficēto sistēmu, mainot darbvirsmas fonu. Lai sazinātos ar upuri un pieprasītu izpirkuma maksu, ļaunprogrammatūra ģenerē failu README.html, kas kalpo kā izpirkuma piezīme.
Piemēram, pārdēvēšanas modelis, ko Albabat izmanto šifrētiem failiem, atbilst konsekventam formātam. Piemēram, fails sākotnēji ar nosaukumu “1.png” tiktu pārveidots par “1.png.abbt”, un līdzīgi, “2.jpg” kļūtu par “2.jpg.abbt” un tā tālāk. Šī pārdēvēšanas metode ir Albabat failu šifrēšanas procesa atšķirīga iezīme, un tā kalpo kā identifikators izpirkuma programmatūras veidam, kas ietekmē apdraudētos failus.
Albabat Ransomware var bloķēt plašu failu tipu klāstu, lai pieprasītu izpirkuma maksu
Albabat darbvirsmas fonā tiek parādīts ziņojums, kas brīdina upuri par dažu viņa failu šifrēšanu un palīdz meklēt papildu informāciju failā README.html. Šis fails atrodas īpaši mapē "Albabat", kas atrodas lietotāju datora saknes direktorijā.
Windows lietotājiem ceļš ir %USERPROFILE%\Albabat\readme\README.html, un Linux lietotājiem ir norādīts to atrast vietnē $HOME/Albabat/readme/README.html. Šajā failā ir uzsvērta svarīga detaļa — šifrēto failu atšifrēšanai ir nepieciešama privāta atslēga, kas pieder tikai uzbrucējam. Cietušais tiek skaidri brīdināts par jebkādām darbībām, kuru rezultātā var tikt zaudēta vai mainīta atslēga “Albabat.ekey”, ieskaitot dzēšanu vai pārdēvēšanu.
Izpirkuma vēstulē tālāk ir norādīta kontaktinformācija pa e-pastu (albabat.help@protonmail.com), norādot upuriem sazināties tikai pēc maksājuma procesa pabeigšanas. Ir norādīta maksājuma specifika, piemēram, Bitcoin adrese un norādītā summa (0,0015 BTC).
Tiek uzsvērts, ka piekļuves atgūšana šifrētajiem failiem parasti nav iespējama bez uzbrucēju rīcībā esošā īpašā atšifrēšanas rīka. Tomēr tiek izteikta liela neapmierinātība pret izpirkuma maksu uzbrucējiem, jo pastāv liela iespējamība, ka upuri kļūs par krāpniecības upuriem, neskatoties uz vainīgo solījumiem.
Svarīgi drošības pasākumi, kas jāizmanto pret Ransomware infekcijām
Lai aizsargātu pret izspiedējvīrusu infekcijām, nepieciešama daudzslāņu pieeja, kas ietver dažādus drošības pasākumus. Šeit ir seši svarīgi pasākumi, kas palīdz aizsargāties pret izspiedējprogrammatūru:
- Regulāri dublējiet savus datus : regulāri dublējiet svarīgus datus bezsaistes vai mākoņa krātuves risinājumā. Izpirkuma programmatūras infekcijas gadījumā dublējumkopiju atjaunināšana nodrošina, ka datus var atjaunot, nemaksājot izpirkuma maksu. Īpaši efektīvas ir automatizētās dublēšanas sistēmas ar versiju veidošanas iespējām.
- Darbinieku apmācība un informētība : regulāri veiciet darbinieku apmācību par kiberdrošības apstiprināšanu, lai izglītotu viņus par riskiem, kas saistīti ar pikšķerēšanas e-pastiem, nedrošām saitēm un aizdomīgiem pielikumiem. Nodrošiniet, lai darbinieki būtu piesardzīgi un modri, mijiedarbojoties ar e-pastiem un citu tiešsaistes saturu, lai novērstu nejaušu ļaunprātīgas programmatūras inficēšanos.
- Drošības programmatūras izmantošana : izmantojiet spēcīgu drošības programmatūru, tostarp pretļaundabīgo programmu risinājumus, lai atklātu un bloķētu izspiedējvīrusu draudus. Atjauniniet šos drošības rīkus, lai nodrošinātu, ka tie spēj atpazīt un mazināt jaunākos izspiedējvīrusu celmus. Galapunktu aizsardzības risinājumi var pievienot papildu aizsardzības līmeni.
- Tīkla segmentēšana : ieviesiet tīkla segmentāciju, lai nošķirtu kritiskās sistēmas un privātos datus no pārējā tīkla. Tas ierobežo iespējamo izspiedējprogrammatūras sānu kustību tīklā, samazinot infekcijas ietekmi.
- Sistēmas labošana un atjaunināšana : regulāri atjauniniet operētājsistēmas, programmatūru un lietojumprogrammas, lai izlabotu zināmās ievainojamības. Ransomware bieži izmanto novecojušu sistēmu drošības nepilnības. Automatizēti ielāpu pārvaldības rīki var palīdzēt racionalizēt šo procesu un nodrošināt, ka visas sistēmas ir atjauninātas.
- E-pasta filtrēšana un pielikumu filtrēšana : izmantojiet e-pasta filtrēšanas risinājumus, lai bloķētu pikšķerēšanas e-pastus un filtrētu nedrošos pielikumus. Daudzi ransomware uzbrukumi tiek uzsākti, izmantojot pikšķerēšanas e-pastus, un šādu e-pasta ziņojumu bloķēšana vārtejā var novērst ļaunprātīgas programmatūras nokļūšanu galalietotājiem.
Papildus šiem pasākumiem ir ļoti svarīgi izveidot negadījumu reaģēšanas plānu. Šajā projektā jāiekļauj darbības, lai ātri identificētu, izolētu un mazinātu izspiedējvīrusu uzbrukuma ietekmi. Negadījumu reaģēšanas plāna metodiskā pārbaude, izmantojot simulācijas vai mācības, var palīdzēt nodrošināt tā efektivitāti reālu draudu gadījumā. Turklāt drošības izpratnes kultūras veicināšana organizācijā ir būtiska, lai saglabātu pastāvīgu apņemšanos ievērot kiberdrošības paraugpraksi.
Albabat Ransomware iesniegtās izpirkuma naudas pilns teksts ir:
'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:Copy
::> Cik svarīgi jums ir jūsu faili?
Izlasiet šo dokumentu, lai iegūtu informāciju par notikušo un to, kā vēlreiz atgūt failus.[+] 1 — PAR "Albabat Ransomware" [+]
"Albabat Ransomware" ir starpplatformu izpirkuma programmatūra, kas šifrē dažādus LIETOTĀJAM svarīgus failus datora atmiņas diskos, izmantojot simetrisku šifrēšanas algoritmu ar militāra līmeņa identifikāciju.Programma "Albabat Ransomware" automātiski izveidos mapi ar nosaukumu "Albabat" jūsu datora lietotāju direktorijā, bet tieši šādā mapē: "C:\Users**\Albabat\".
IR IETEICAMS izveidot VISAS mapes "C:\Users**\Albabat\" DUBLĒJUMU, jo tajā ir jūsu failu atkopšanai svarīgi faili, kas par katru no tiem tiks izskaidroti vēlāk šajā dokumentā.
Šajā mapē ir arī šie paši piezīmju dokumenti mapē "C:\Users**\Albabat\readme\README.html".
1.1. KRIPTOGĀFIJAS ATSLĒGA
Jūsu faili tika šifrēti ar KEY, kas tika saglabāta failā "Albabat.ekey". Parādīt direktorijā "C:\Users**\Albabat\". Tomēr arī šī ATSLĒGA tika KRIPTĒTA ar PUBLISKO ATSLĒGU (asimetriskā šifrēšana), kas nozīmē, ka tās atšifrēšanai ir nepieciešama PRIVĀTA ATSLĒGA, un tikai man (tH3_CyberXY) ir PRIVĀTĀ ATSLĒGA, lai veiktu šo atšifrēšanu, lai jūs varētu izmantot ATSLĒGU. "Albabat.key" failu atkopšanā.Bez mana datu atšifrēšanas pakalpojuma nevar atšifrēt failus.
Failus nevar atšifrēt bez atslēgas "Albabat.ekey" atšifrēšanas.
Neizdzēsiet, nepārdēvējiet, nezaudējiet atslēgu "Albabat.ekey".
1.2 — JŪSU PERSONĪGAIS ID
Tāpat kā "Albabat.ekey", PERSONĪGAIS ID ir svarīgs jūsu failu atšifrēšanas procesā, kas tiks izmantots atšifrētājā, par ko tiks runāts vēlāk sadaļā "DEKRIPŠANAS PROCESS".Šis numurs saglabā unikālu identitāti jūsu iekārtas šifrēšanas procesā. Papildus informācijai šajā dokumentā jūsu PERSONĪGAIS ID tiks izdrukāts arī failā "personal_id.txt" mapē "C:\Users**\Albabat\".
Nezaudējiet savu PERSONĪGO ID, tāpat kā jums nevajadzētu pazaudēt atslēgu "Albabat.ekey".
1.3. KRIPŠANAS PROCESS
Šifrētajiem failiem ir paplašinājums ".abbt".Nemēģiniet to pārdēvēt, tas nedarbosies. Gluži pretēji, jūs varat sabojāt savus failus.
Failu lielums, ko "Albabat Ransomware" šifrē, ir ne vairāk kā 5 megabaiti (MB).
"Albabat Ransomware" nejauši rekursīvi šķērso visus direktorijus, kas nepieder operētājsistēmas darbībai. Šifrē failus lietotāja direktorijā, pat datu bāzes atrašanās vietas un iekārtā uzstādītos diskus, ja tādi ir.
Programma "Albabat Ransomware" šifrē tikai atbilstošos failus. Operētājsistēma un binārie faili būs neskarti. Mēs to neizvēlējāmies.
Programma "Albabat Ransomware" saglabā žurnāla failu ar nosaukumu "Albabat_Logs.log" direktorijā "C:\Users**\Albabat\". Šajā failā jūs varat redzēt visus failus, kurus "Albabat Ransomware" šifrēja ceļa formā.
[+] 2. KĀ SAZINĀTIES [+]
Šie ir vienīgie veidi, kā sazināties, lai atgūtu failus. Jebkura cita veidlapa, kas atrodama internetā, būs viltota.Sazināšanās metodes:
E-pasts:
albabat.help@protonmail.com
Kopēt
PIEZĪME: Lūdzu, sazinieties TIKAI tad, ja esat veicis maksājumu. Jebkurš cita veida kontakts, izņemot šāda veida, tiks ignorēts.
[+] 3 — MAKSĀJUMS [+]
Atšifrēšanas process ir MAKSĀTS Bitcoin, tāpēc, lai veiktu iemaksu, jums ir jābūt Bitcoin atlikumam kriptovalūtas biržā vai kriptovalūtas makā.Iespējams, vēlēsities izlasīt FAQ lapu, lai uzzinātu, kas ir Bitcoin.
Maksājuma dati:
Bitcoin adrese:
bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj
Kopēt
Maksājuma summa:
0,0015 BTC
Lai veiktu maksājumu un atjaunotu failus, veiciet šīs darbības:
(1) Pierakstiet datus, lai veiktu pārskaitījumu, izmantojot Bitcoin adresi, un iepriekš norādīto SUMMU, kas jāmaksā.
Piezīme: atcerieties, ka Bitcoin cena var atšķirties atkarībā no maksājuma veikšanas brīža.
(2) - Kad esat veicis maksājumu uz iepriekš norādīto Bitcoin adresi, nosūtiet e-pastu ar līdzīgu struktūru:Temats: Albabat Ransomware — es veicu maksājumu!
Ziņa: Labdien, es veicu maksājumu. Mana BTC adrese, kurā veicu maksājumu, ir "xxx". Programmas “Albabat Ransomware” versija, kas darbojas manā datorā, bija “0.3.0”.
Izpildiet pievienoto KEY "Albabat.ekey".
SVARĪGI! Maksājums tiks pārbaudīts, izmantojot JŪSU BTC ADRESI ("xxx"), kurā tika veikts darījums, tāpēc ir SVARĪGI informēt, nosūtot šo e-pasta ziņojumu.
Ir arī SVARĪGI, ka jūs nosūtāt KEY "Albabat.ekey" kā pielikumu neatkarīgi no izvēlētās saziņas metodes. Atslēga tiks atšifrēta jūsu vietā.
Jūs saņemsiet savā e-pastā KEY "Albabat.key", tas ir, KEY "Albabat.ekey" ir atšifrēts, un atšifrētājs "decryptor.exe" ir pievienots (zip).
Piezīme: Pēc maksājuma jūs saņemsiet KEY "Albabat.key" un "decryptor.exe" 24 stundu laikā, taču tas var mainīties vairāk vai mazāk atkarībā no maniem pieejamības laikiem un saņemto pieprasījumu apjoma. Esi pacietīgs.
[+] 4. DEKRIPŠANAS PROCESS [+]Lai atšifrētu failus, veiciet tālāk norādītās darbības.
(1) Ievietojiet pa e-pastu saņemto "Albabat.key" direktorijā "C:\Users**\Albabat\" vai, ja vēlaties, saglabājiet to tajā pašā direktorijā, kurā atrodas "decryptor.exe".
SVARĪGI! Šajā brīdī ir ļoti svarīgi aizvērt visus atvērtos Explorer logus un smagās programmas, lai novērstu "decryptor.exe" avāriju un/vai sliktu veiktspēju.
Un arī neatgriezeniski atspējojiet savu PRETVĪRUSU, lai tas netraucētu atšifrēšanas procesam.
(2) Palaidiet "decryptor.exe" un ievadiet SAVU PERSONĪGO ID, pēc tam nospiediet taustiņu ENTER. Parādīsies brīdinājuma ziņojums, kas informēs, ka atšifrēšana ir sākta, vienkārši noklikšķiniet uz Labi.
Piezīme. Ja izmantojat Linux, atveriet termināli un palaidiet no komandrindas, lai skatītu procesu.
Piemēram: ./decryptor
(3) Pagaidiet, līdz konsolē tiek parādīts ziņojums par atšifrēšanas pabeigšanu. Tas var aizņemt kādu laiku atkarībā no šifrēto failu daudzuma un jūsu ierīces jaudas. Atšifrēšanas procesu varat redzēt no jūsu failiem, ja man ir laiks.
(4) Kad atšifrēšana būs pabeigta, tiks atjaunoti visi faili un atšifrēšanas žurnālfails "Albabat_Logs.log". tiks izveidots atšifrētāja direktorijā.
Ja jums ir papildu jautājumi, piemēram: "Kā es varu būt pārliecināts, ka manus failus var atšifrēt?", varat izlasīt FAQ lapu.
Autortiesības (c) 2021-2023 Albabat Ransomware — visas tiesības paturētas. Uztur: tH3_CyberXY.'
Izpirkuma ziņojums, kas tiek parādīts kā darbvirsmas fons, ir:
'Albabat RANSOMWARE
Several of your files have been encrypted!
To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:
Windows: %USERPROFILE% \ Albabat \ readme \ README.html
Linux: $HOME / Albabat / readme / README.html'
