Albabat Ransomware

O Albabat é um tipo específico de malware categorizado como ransomware devido ao seu comportamento característico. Este software ameaçador opera criptografando arquivos em um sistema infectado. Como parte do seu processo de encriptação, o Albabat acrescenta a extensão '.abbt' aos nomes dos ficheiros originais, alterando assim o formato do ficheiro. Além disso, o Albabat exibe um impacto visual adicional no sistema infectado, modificando o papel de parede da área de trabalho. Para comunicar com a vítima e fazer pedidos de resgate, o malware gera um ficheiro 'README.html', que serve como nota de resgate.

Por exemplo, o padrão de renomeação aplicado pela Albabat aos arquivos criptografados segue um formato consistente. Por exemplo, um arquivo inicialmente denominado '1.png' seria transformado em '1.png.abbt' e, da mesma forma, '2.jpg' se tornaria '2.jpg.abbt' e assim por diante. Essa convenção de renomeação é uma marca distintiva do processo de criptografia de arquivos do Albabat e serve como um identificador para o tipo de ransomware que afeta os arquivos comprometidos.

O Albabat Ransomware pode Bloquear uma Ampla Variedade de Tipos de Arquivos para Exigir um Resgate

O papel de parede da área de trabalho do Albabat exibe uma mensagem alertando a vítima sobre a criptografia de alguns de seus arquivos e orienta-a a buscar mais informações no arquivo 'README.html'. Este arquivo está localizado especificamente na pasta 'Albabat', situada no diretório raiz dos usuários em seus computadores.

Para usuários do Windows, o caminho é %USERPROFILE%\Albabat\readme\README.html, e os usuários do Linux são instruídos a encontrá-lo em $HOME/Albabat/readme/README.html. Neste arquivo, um detalhe crucial é enfatizado: a descriptografia dos arquivos criptografados requer uma chave privada mantida exclusivamente pelo invasor. A vítima é explicitamente advertida contra qualquer ação que possa resultar na perda ou alteração da chave 'Albabat.ekey', incluindo exclusão ou renomeação.

A nota de resgate fornece ainda informações de contato por e-mail (albabat.help@protonmail.com), instruindo as vítimas a entrar em contato somente após concluir o processo de pagamento. Detalhes específicos sobre o pagamento, como endereço Bitcoin e o valor designado (0,0015 BTC), são descritos.

É destacado que recuperar o acesso aos ficheiros encriptados é normalmente inatingível sem a ferramenta de desencriptação específica possuída pelos invasores. No entanto, é expresso um forte desânimo contra o pagamento de resgate aos atacantes, uma vez que existe uma grande probabilidade de as vítimas serem vítimas de fraudes, apesar de quaisquer promessas feitas pelos perpetradores.

Medidas de Segurança Importantes a Serem Usadas contra Infecções por Ransomware

A proteção contra infecções por ransomware requer uma abordagem em várias camadas que envolve várias medidas de segurança. Aqui estão seis medidas importantes para ajudar na proteção contra ransomware:

• Faça backup de seus dados regularmente : Faça backup regularmente de dados críticos em uma solução de armazenamento offline ou baseada em nuvem. No caso de uma infecção por ransomware, ter backups atualizados garante que os dados possam ser restaurados sem pagar o resgate. Os sistemas de backup automatizados com recursos de controle de versão são particularmente eficazes.
• Treinamento e conscientização dos funcionários : Realize treinamentos regulares de reconhecimento de segurança cibernética para os funcionários, a fim de educá-los sobre os riscos associados a e-mails de phishing, links inseguros e anexos suspeitos. Certifique-se de que os funcionários sejam cautelosos e vigilantes ao interagir com e-mails e outros conteúdos on-line para evitar infecções inadvertidas por malware.
• Uso de software de segurança : Empregue software de segurança robusto, incluindo soluções antimalware, para detectar e bloquear ameaças de ransomware. Mantenha essas ferramentas de segurança atualizadas para garantir que possam reconhecer e mitigar as últimas variedades de ransomware. As soluções de proteção de endpoint podem adicionar uma camada extra de defesa.
• Segmentação de rede : Implemente segmentação de rede para segregar sistemas críticos e dados privados do resto da rede. Isto limita o movimento lateral potencial do ransomware dentro da rede, reduzindo o impacto de uma infecção.
• Sistemas de correção e atualização : Atualize regularmente sistemas operacionais, software e aplicativos para corrigir vulnerabilidades conhecidas. O ransomware frequentemente explora falhas de segurança em sistemas desatualizados. Ferramentas automatizadas de gerenciamento de patches podem ajudar a agilizar esse processo e garantir que todos os sistemas estejam atualizados.
• Filtragem de e-mail e filtragem de anexos : Use soluções de filtragem de e-mail para bloquear e-mails de phishing e filtrar anexos inseguros. Muitos ataques de ransomware são iniciados por meio de e-mails de phishing, e o bloqueio desses e-mails no gateway pode impedir que o malware chegue aos usuários finais.

Além dessas medidas, é crucial ter um plano de resposta a incidentes em vigor. Este projeto deve incluir etapas para identificar, isolar e mitigar rapidamente o impacto de um ataque de ransomware. Testes metódicos do plano de resposta a incidentes através de simulações ou exercícios podem ajudar a garantir a sua eficácia quando surge uma ameaça real. Além disso, promover uma cultura consciente da segurança dentro da organização é essencial para manter um compromisso contínuo com as melhores práticas de segurança cibernética.

O texto completo da nota de resgate apresentada pelo Albabat Ransomware é:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Qual a importância dos seus arquivos para você?
Leia este documento para obter informações sobre o que aconteceu e como recuperar seus arquivos novamente.

[+] 1 - SOBRE "Albabat Ransomware" [+]
O “Albabat Ransomware” é um ransomware multiplataforma que criptografa vários arquivos importantes para o USUÁRIO em discos de armazenamento de computador usando algoritmo de criptografia simétrica com identificação de nível militar.

O "Albabat Ransomware" criará automaticamente uma pasta chamada "Albabat" no diretório de usuários da sua máquina, mas precisamente em: "C:\Users**\Albabat\".

RECOMENDA-SE fazer um BACKUP de TODA a pasta "C:\Users**\Albabat\", pois ela contém arquivos importantes para a recuperação de seus arquivos, que serão explicados posteriormente neste documento sobre cada um deles.

Esta pasta também contém esses mesmos documentos de notas, em: "C:\Users**\Albabat\readme\README.html".

1.1 - A CHAVE DA CRIPTOGRAFIA
Seus arquivos foram criptografados com uma CHAVE que foi armazenada no arquivo "Albabat.ekey". Presente no diretório "C:\Users**\Albabat\". Porém, esta CHAVE também foi ENCRIPTADA com uma CHAVE PÚBLICA (criptografia assimétrica), o que significa que ela necessita de uma CHAVE PRIVADA para ser descriptografada, e somente eu (tH3_CyberXY) possuo a CHAVE PRIVADA para realizar esta descriptografia, para que você possa utilizar a CHAVE "Albabat.key" na recuperação de seus arquivos.

Não há como descriptografar seus arquivos sem meu serviço de descriptografia de dados.

Não há como descriptografar os arquivos sem descriptografar a chave “Albabat.ekey”.

Não exclua, não renomeie, não perca a chave "Albabat.ekey".

1.2 - SUA IDENTIFICAÇÃO PESSOAL
Assim como "Albabat.ekey", o ID PESSOAL é importante no processo de descriptografia de seus arquivos, que será utilizado no descriptografador, que será discutido posteriormente na seção "PROCESSO DE DESCRIPTOGRAFIA".

Este número mantém uma identidade única no processo de criptografia da sua máquina. Além de ser informado neste documento, sua ID PESSOAL também será impressa no arquivo "personal_id.txt" em "C:\Users**\Albabat\".

Não perca o seu ID PESSOAL, assim como NÃO deve perder a chave "Albabat.ekey".

1.3 - O PROCESSO DE CRIPTOGRAFIA
Os arquivos criptografados têm a extensão ".abbt".

Não tente renomeá-lo, não funcionará. Pelo contrário, você pode corromper seus arquivos.

O tamanho dos arquivos que o "Albabat Ransomware" criptografa é de no máximo 5 Megabytes (MB).

O "Albabat Ransomware" percorre aleatoriamente e recursivamente todos os diretórios aos quais não pertence à operação do Sistema Operacional. Criptografa arquivos no diretório do usuário, até mesmo locais de banco de dados e unidades montadas na máquina, se houver.

O "Albabat Ransomware" criptografa apenas arquivos relevantes. O sistema operacional e os arquivos binários estarão intactos. Nós não escolhemos isso.

O "Albabat Ransomware" salva um arquivo de log chamado "Albabat_Logs.log" no diretório "C:\Users**\Albabat\". Neste arquivo você pode ver todos os arquivos que foram criptografados por "Albabat Ransomware" no formato de caminho.

[+] 2 - COMO CONTATAR [+]
Estas são as únicas formas de entrar em contato para recuperar seus arquivos. Qualquer outro formulário encontrado na internet será falso.

Métodos de contato:

E-mail:

albabat.help@protonmail.com

cópia de

NOTA: Entre em contato SOMENTE se tiver efetuado o pagamento. Qualquer outro tipo de contacto que não seja desta natureza será ignorado.
[+] 3 - PAGAMENTO [+]
O processo de descriptografia é PAGO em Bitcoin, então você precisa ter saldo de Bitcoin em uma exchange de criptomoedas ou em uma carteira de criptomoedas para fazer o depósito.

Você pode ler a página de perguntas frequentes para saber o que é Bitcoin.

Dados de pagamento:

Endereço Bitcoin:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

cópia de

Valor a pagar:

0,0015 BTC

Para efetuar o pagamento e restaurar seus arquivos, siga estas etapas -

(1) Anote os dados para fazer a transferência através do endereço Bitcoin e o VALOR a pagar especificado acima.

Obs: Lembrando que o preço do Bitcoin pode variar monetariamente dependendo de quando você efetuar o pagamento.
(2) - Depois de efetuar o pagamento para o endereço Bitcoin acima, envie um e-mail com estrutura semelhante a esta:

Assunto: Albabat Ransomware - Fiz o pagamento!

Mensagem: Olá, fiz o pagamento. Meu endereço BTC onde fiz o pagamento é “xxx”. A versão do "Albabat Ransomware" em execução na minha máquina era "0.3.0".

Siga a CHAVE anexada "Albabat.ekey".

IMPORANTE: O pagamento será verificado utilizando SEU ENDEREÇO BTC (“xxx”) no qual a transação foi realizada, por isso é IMPORTANTE informar no envio deste e-mail.

Também é IMPORTANTE que você envie a CHAVE "Albabat.ekey" em anexo, independente do método de contato escolhido. A chave será descriptografada para você.

Você receberá em seu e-mail a CHAVE “Albabat.key”, ou seja, a CHAVE “Albabat.ekey” descriptografada, e o descriptografador “decryptor.exe” anexado (zipado).

Obs: Após o pagamento, você receberá a CHAVE "Albabat.key" e "decryptor.exe" em até 24 horas, mas pode variar para mais ou para menos dependendo dos meus horários de disponibilidade e da quantidade de demandas que recebo. Ser paciente.
[+] 4 - PROCESSO DE DESCRIPTOGRAFIA [+]

Para descriptografar seus arquivos siga as etapas abaixo:

(1) Coloque o "Albabat.key" que você recebeu por e-mail, dentro do diretório "C:\Users**\Albabat\", ou, se preferir, mantenha-o no mesmo diretório de "decryptor.exe".

IMPORTANTE: Neste ponto, é muito importante que você feche todas as janelas abertas do Explorer e programas pesados, para evitar que o "decryptor.exe" trave e/ou tenha um desempenho ruim.

E também desative seu ANTIVIRUS PERMANENTEMENTE para que não interfira no processo de descriptografia.

(2) Execute "decryptor.exe" e digite SUA ID PESSOAL e pressione ENTER. Uma mensagem de alerta aparecerá informando que a descriptografia foi iniciada, basta clicar em OK.

Nota: Se você estiver no Linux, abra um terminal e execute a partir da linha de comando para ver o processo.

Ex.: ./decryptor

(3) Aguarde até que a mensagem de conclusão da descriptografia seja exibida no console, isso pode demorar um pouco dependendo da quantidade de arquivos que foram criptografados e da potência da sua máquina. Você pode ver o processo de descriptografia ao vivo de seus arquivos, se tiver tempo para isso.

(4) Após a conclusão da descriptografia, todos os seus arquivos serão restaurados e o arquivo de log de descriptografia "Albabat_Logs.log". será criado no diretório do descriptografador.

Se você tiver outras dúvidas, como: "Como posso ter certeza de que meus arquivos podem ser descriptografados?", leia a página de perguntas frequentes.

Copyright (c) 2021-2023 Albabat Ransomware – Todos os direitos reservados. Mantido por: tH3_CyberXY.'

A mensagem de resgate mostrada como plano de fundo da área de trabalho é:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'