Albabat Ransomware

Albabat — это особый тип вредоносного ПО, который из-за его характерного поведения классифицируется как программы-вымогатели. Это угрожающее программное обеспечение работает путем шифрования файлов в зараженной системе. В рамках процесса шифрования Albabat добавляет расширение «.abbt» к исходным именам файлов, тем самым изменяя формат файла. Кроме того, Albabat оказывает дополнительное визуальное воздействие на зараженную систему, изменяя обои рабочего стола. Чтобы связаться с жертвой и потребовать выкуп, вредоносная программа создает файл README.html, служащий запиской о выкупе.

Например, шаблон переименования, применяемый Albabat к зашифрованным файлам, соответствует единообразному формату. Например, файл с первоначальным именем «1.png» будет преобразован в «1.png.abbt», а «2.jpg» станет «2.jpg.abbt» и так далее. Это соглашение о переименовании является отличительной чертой процесса шифрования файлов Albabat и служит идентификатором типа программы-вымогателя, влияющей на скомпрометированные файлы.

Программа-вымогатель Albabat может блокировать широкий спектр типов файлов и требовать выкуп

На обоях рабочего стола Albabat отображается сообщение, предупреждающее жертву о шифровании некоторых файлов и предлагающее найти дополнительную информацию в файле README.html. Этот файл специально расположен в папке «Альбабат», расположенной в корневом каталоге пользователей на их компьютерах.

Для пользователей Windows путь — %USERPROFILE%\Albabat\readme\README.html, а пользователям Linux рекомендуется найти его по адресу $HOME/Albabat/readme/README.html. В этом файле подчеркивается важная деталь: для расшифровки зашифрованных файлов требуется закрытый ключ, которым владеет исключительно злоумышленник. Жертва явно предостерегается от любых действий, которые могут привести к потере или изменению ключа Albabat.ekey, включая удаление или переименование.

В записке о выкупе также указана контактная информация по электронной почте (albabat.help@protonmail.com), в которой жертвам предлагается обращаться к нам только после завершения процесса оплаты. Изложены подробности платежа, такие как биткойн-адрес и назначенная сумма (0,0015 BTC).

Подчеркивается, что восстановить доступ к зашифрованным файлам обычно невозможно без специального инструмента расшифровки, которым располагают злоумышленники. Тем не менее, высказывается решительное недовольство выплатой выкупа злоумышленникам, поскольку существует высокая вероятность того, что жертвы станут жертвами мошенничества, несмотря на любые обещания, данные преступниками.

Важные меры безопасности, которые следует использовать против заражения программами-вымогателями

Защита от заражения программами-вымогателями требует многоуровневого подхода, включающего различные меры безопасности. Вот шесть важных мер, которые помогут защититься от программ-вымогателей:

• Регулярно создавайте резервные копии ваших данных . Регулярно создавайте резервные копии важных данных в автономном или облачном хранилище. В случае заражения программой-вымогателем наличие обновленных резервных копий гарантирует, что данные можно будет восстановить без уплаты выкупа. Автоматизированные системы резервного копирования с возможностью управления версиями особенно эффективны.
• Обучение и повышение осведомленности сотрудников . Проводите регулярные тренинги по кибербезопасности для сотрудников, чтобы информировать их о рисках, связанных с фишинговыми электронными письмами, небезопасными ссылками и подозрительными вложениями. Убедитесь, что сотрудники проявляют осторожность и бдительность при работе с электронной почтой и другим онлайн-контентом, чтобы предотвратить случайное заражение вредоносным ПО.
• Использование программного обеспечения безопасности . Используйте надежное программное обеспечение безопасности, включая решения для защиты от вредоносных программ, для обнаружения и блокирования угроз программ-вымогателей. Постоянно обновляйте эти инструменты безопасности, чтобы они могли распознавать и устранять новейшие разновидности программ-вымогателей. Решения для защиты конечных точек могут добавить дополнительный уровень защиты.
• Сегментация сети . Внедрите сегментацию сети для отделения критически важных систем и частных данных от остальной части сети. Это ограничивает потенциальное горизонтальное перемещение программ-вымогателей внутри сети, снижая воздействие заражения.
• Системы исправлений и обновлений : регулярно обновляйте операционные системы, программное обеспечение и приложения для устранения известных уязвимостей. Программы-вымогатели часто используют недостатки безопасности в устаревших системах. Инструменты автоматического управления исправлениями могут помочь упростить этот процесс и обеспечить актуальность всех систем.
• Фильтрация электронной почты и фильтрация вложений . Используйте решения для фильтрации электронной почты, чтобы блокировать фишинговые электронные письма и отфильтровывать небезопасные вложения. Многие атаки программ-вымогателей инициируются через фишинговые электронные письма, и блокировка таких писем на шлюзе может предотвратить попадание вредоносного ПО к конечным пользователям.

В дополнение к этим мерам крайне важно иметь план реагирования на инциденты. Этот проект должен включать шаги для быстрого выявления, изоляции и смягчения последствий атаки программ-вымогателей. Методическое тестирование плана реагирования на инциденты посредством моделирования или учений может помочь обеспечить его эффективность при возникновении реальной угрозы. Кроме того, развитие культуры заботы о безопасности внутри организации имеет важное значение для поддержания постоянной приверженности передовым практикам кибербезопасности.

Полный текст записки о выкупе, представленной Albabat Ransomware:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Насколько важны для вас ваши файлы?
Прочтите этот документ, чтобы узнать, что произошло и как снова восстановить файлы.

[+] 1 - О «Albabat Ransomware» [+]
«Albabat Ransomware» — это кроссплатформенная программа-вымогатель, которая шифрует различные важные для ПОЛЬЗОВАТЕЛЯ файлы на дисках компьютеров с использованием алгоритма симметричного шифрования с идентификацией военного уровня.

«Albabat Ransomware» автоматически создаст папку под названием «Albabat» в пользовательском каталоге вашего компьютера, а именно: «C:\Users**\Albabat».

РЕКОМЕНДУЕТСЯ сделать резервную копию ВСЕЙ папки «C:\Users**\Albabat», так как она содержит важные файлы для восстановления ваших файлов, о каждом из которых будет рассказано далее в этом документе.

Эта папка также содержит те же документы заметок: «C:\Users**\Albabat\readme\README.html».

1.1 – КЛЮЧ К КРИПТОГРАФИИ
Ваши файлы были зашифрованы КЛЮЧОМ, который хранился в файле «Albabat.ekey». Присутствует в каталоге «C:\Users**\Albabat». Однако этот КЛЮЧ также был ЗАШИФРОВАН с помощью ПУБЛИЧНОГО КЛЮЧА (асимметричное шифрование), что означает, что для расшифровки требуется ЧАСТНЫЙ КЛЮЧ, и только у меня (tH3_CyberXY) есть ЧАСТНЫЙ КЛЮЧ для выполнения этой расшифровки, так что вы можете использовать КЛЮЧ. «Albabat.key» в восстановлении ваших файлов.

Без моей службы расшифровки данных невозможно расшифровать ваши файлы.

Невозможно расшифровать файлы без расшифровки ключа «Albabat.ekey».

Не удаляйте, не переименовывайте, не теряйте ключ «Albabat.ekey».

1.2 - ВАШ ПЕРСОНАЛЬНЫЙ ID
Так же, как и «Albabat.ekey», в процессе расшифровки ваших файлов важен ПЕРСОНАЛЬНЫЙ ID, который будет использоваться в декрипторе, о котором речь пойдет далее в разделе «ПРОЦЕСС ДЕШИФРОВАНИЯ».

Этот номер сохраняет уникальную идентичность в процессе шифрования вашего компьютера. Помимо информации в этом документе, ваш ПЕРСОНАЛЬНЫЙ ID также будет напечатан в файле «personal_id.txt» в «C:\Users**\Albabat».

Не теряйте свой ПЕРСОНАЛЬНЫЙ ID, как и НЕ следует терять ключ «Albabat.ekey».

1.3 - ПРОЦЕСС ШИФРОВАНИЯ
Зашифрованные файлы имеют расширение «.abbt».

Не пытайтесь переименовать его, это не сработает. Напротив, вы можете повредить ваши файлы.

Размер файлов, которые шифрует «Albabat Ransomware», составляет максимум 5 Мегабайт (МБ).

«Albabat Ransomware» случайным образом рекурсивно обходит все каталоги, которые не принадлежат операционной системе. Шифрует файлы в каталоге пользователя, даже расположения баз данных и диски, подключенные к машине, если таковые имеются.

«Albabat Ransomware» шифрует только соответствующие файлы. Операционная система и двоичные файлы останутся нетронутыми. Мы не это выбирали.

«Albabat Ransomware» сохраняет файл журнала с именем «Albabat_Logs.log» в каталоге «C:\Users**\Albabat\». В этом файле вы можете увидеть все файлы, зашифрованные «Albabat Ransomware», в виде пути.

[+] 2 - КАК СВЯЗАТЬСЯ [+]
Это единственные способы связаться с вами, чтобы восстановить ваши файлы. Любая другая форма, найденная в Интернете, будет поддельной.

Методы связи:

Электронная почта:

albabat.help@protonmail.com

Копировать

ПРИМЕЧАНИЕ. Пожалуйста, свяжитесь ТОЛЬКО в том случае, если вы произвели оплату. Любой другой тип контакта, кроме этого, будет игнорироваться.
[+] 3 - ОПЛАТА [+]
Процесс расшифровки ПЛАТНЫЙ в биткойнах, поэтому для внесения депозита вам необходимо иметь баланс биткойнов на бирже криптовалют или в криптовалютном кошельке.

Возможно, вы захотите прочитать страницу часто задаваемых вопросов, чтобы узнать, что такое Биткойн.

Данные платежа:

Биткойн-адрес:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

Копировать

Сумма к оплате:

0,0015 БТК

Чтобы произвести оплату и восстановить файлы, выполните следующие действия:

(1) Запишите данные для осуществления перевода через биткойн-адрес и СУММУ для оплаты, указанную выше.

Примечание. Помните, что цена Биткойна может варьироваться в денежном выражении в зависимости от того, когда вы совершаете платеж.
(2) - После того, как вы совершите платеж на указанный выше биткойн-адрес, отправьте электронное письмо со структурой, аналогичной этой:

Тема: Albabat Ransomware – я осуществил платеж!

Сообщение: Здравствуйте, я произвел оплату. Мой адрес BTC, по которому я произвел платеж, — «xxx». Версия «Albabat Ransomware», работающая на моем компьютере, была «0.3.0».

Следуйте прилагаемому КЛЮЧУ «Albabat.ekey».

ВАЖНО: Платеж будет проверяться с использованием ВАШЕГО АДРЕСА BTC («xxx»), по которому была выполнена транзакция, поэтому ВАЖНО сообщить об этом при отправке этого электронного письма.

Также ВАЖНО, чтобы вы отправили КЛЮЧ «Albabat.ekey» в виде вложения, независимо от выбранного вами способа связи. Ключ будет расшифрован для вас.

Вы получите на свою электронную почту КЛЮЧ «Albabat.key», то есть расшифрованный КЛЮЧ «Albabat.ekey», и приложенный декриптор «decryptor.exe» (в архиве).

Примечание. После оплаты вы получите КЛЮЧ «Albabat.key» и «decryptor.exe» в течение 24 часов, но он может варьироваться в большую или меньшую сторону в зависимости от моего времени доступности и количества получаемых мной запросов. Потерпи.
[+] 4 - ПРОЦЕСС ДЕШИФРОВКИ [+]

Чтобы расшифровать файлы, выполните следующие действия:

(1) Поместите «Albabat.key», полученный по электронной почте, в каталог «C:\Users**\Albabat» или, если хотите, сохраните его в том же каталоге, что и «decryptor.exe».

ВАЖНО: На этом этапе очень важно закрыть все открытые окна проводника и тяжелые программы, чтобы предотвратить сбой и/или низкую производительность «decryptor.exe».

А также НАВСЕГДА отключите ваш АНТИВИРУС, чтобы он не мешал процессу расшифровки.

(2) Запустите «decryptor.exe» и введите ВАШ ЛИЧНЫЙ ID, затем нажмите ВВОД. Появится предупреждающее сообщение, информирующее вас о том, что расшифровка началась, просто нажмите «ОК».

Примечание. Если вы используете Linux, откройте терминал и запустите его из командной строки, чтобы увидеть процесс.

Например: ./декриптор

(3) Подождите, пока в консоли отобразится сообщение о завершении расшифровки. Это может занять некоторое время в зависимости от количества зашифрованных файлов и мощности вашего компьютера. Вы можете увидеть процесс расшифровки в прямом эфире из ваших файлов, если у меня на это есть время.

(4) После завершения расшифровки все ваши файлы будут восстановлены, а также файл журнала расшифровки «Albabat_Logs.log». будет создан в каталоге дешифратора.

Если у вас есть дополнительные вопросы, например: «Как я могу быть уверен, что мои файлы можно расшифровать?», вы можете прочитать страницу часто задаваемых вопросов.

Copyright (c) 2021–2023 Albabat Ransomware – Все права защищены. Поддерживается: tH3_CyberXY.'

Сообщение о выкупе, отображаемое в качестве фона рабочего стола:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'