Albabat Ransomware

Албабат је специфичан тип малвера категорисан као рансомваре због свог карактеристичног понашања. Овај претећи софтвер функционише тако што шифрује датотеке на зараженом систему. Као део свог процеса шифровања, Албабат додаје екстензију '.аббт' оригиналним именима датотека, мењајући тако формат датотеке. Поред тога, Албабат показује даљи визуелни утицај на заражени систем тако што мења позадину радне површине. Да би комуницирао са жртвом и тражио откупнину, малвер генерише датотеку „РЕАДМЕ.хтмл“, која служи као порука о откупнини.

На пример, образац преименовања који Албабат примењује на шифроване датотеке прати конзистентан формат. На пример, датотека првобитно названа '1.пнг' би била трансформисана у '1.пнг.аббт,' и слично, '2.јпг' би постала '2.јпг.аббт' и тако даље. Ова конвенција о преименовању је карактеристично обележје Албабатовог процеса шифровања датотека и служи као идентификатор за тип рансомваре-а који утиче на компромитоване датотеке.

Албабат Рансомваре може да закључа широк спектар типова датотека да би захтевао откупнину

Албабатова позадина радне површине приказује поруку која упозорава жртву на шифровање неких од њихових датотека и наводи их да траже даље информације у датотеци 'РЕАДМЕ.хтмл'. Ова датотека се налази у фасцикли „Албабат“, која се налази у основном директоријуму корисника на њиховим рачунарима.

За кориснике Виндовс-а, путања је %УСЕРПРОФИЛЕ%\Албабат\реадме\РЕАДМЕ.хтмл, а корисници Линук-а добијају упутства да је пронађу на адреси $ХОМЕ/Албабат/реадме/РЕАДМЕ.хтмл. У оквиру ове датотеке, наглашен је кључни детаљ — дешифровање шифрованих датотека захтева приватни кључ који држи искључиво нападач. Жртва се изричито упозорава на било какву радњу која може довести до губитка или измене кључа 'Албабат.екеи', укључујући брисање или преименовање.

Обавештење о откупнини даље пружа контакт информације путем е-поште (албабат.хелп@протонмаил.цом), наводећи жртве да се обрате тек након што заврше процес плаћања. Наведене су појединости о плаћању, као што су Битцоин адреса и назначени износ (0,0015 БТЦ).

Истиче се да је враћање приступа шифрованим датотекама обично недостижно без специфичног алата за дешифровање који поседују нападачи. Ипак, изражено је велико обесхрабрење против плаћања откупнине нападачима, јер постоји велика вероватноћа да жртве постану жртве превара упркос обећањима починилаца.

Важне безбедносне мере које треба користити против инфекција рансомвером

Заштита од инфекција рансомвером захтева вишеслојни приступ који укључује различите мере безбедности. Ево шест важних мера за заштиту од рансомвера:

• Редовно правите резервне копије ваших података : Редовно правите резервне копије критичних података у решење за складиштење ван мреже или у облаку. У случају заразе рансомваре-ом, ажурирање резервних копија осигурава да се подаци могу вратити без плаћања откупнине. Аутоматизовани системи за прављење резервних копија са могућностима верзионисања су посебно ефикасни.
• Обука запослених и подизање свести : Спроводите редовну обуку за признавање сајбер безбедности за запослене како бисте их едуковали о ризицима повезаним са пхисхинг емаил-овима, несигурним везама и сумњивим прилозима. Уверите се да су запослени опрезни и будни када комуницирају са имејловима и другим онлајн садржајем како бисте спречили ненамерне инфекције малвером.
• Коришћење безбедносног софтвера : Користите снажан безбедносни софтвер, укључујући решења против малвера, да бисте открили и блокирали претње рансомваре-а. Ажурирајте ове безбедносне алате како бисте били сигурни да могу да препознају и ублаже најновије врсте рансомваре-а. Решења за заштиту крајњих тачака могу да додају додатни слој одбране.
• Сегментација мреже : Спроведите сегментацију мреже да бисте одвојили критичне системе и приватне податке од остатка мреже. Ово ограничава потенцијално бочно кретање рансомваре-а унутар мреже, смањујући утицај инфекције.
• Закрпе и системи ажурирања : Редовно ажурирајте оперативне системе, софтвер и апликације да бисте закрпили познате рањивости. Рансомваре често користи безбедносне пропусте у застарелим системима. Аутоматски алати за управљање закрпама могу помоћи да се поједностави овај процес и осигура да су сви системи ажурни.
• Филтрирање е-поште и филтрирање прилога : Користите решења за филтрирање е-поште да блокирате пхисхинг е-поруке и филтрирате небезбедне прилоге. Многи напади рансомваре-а покрећу се путем пхисхинг порука е-поште, а блокирање таквих е-порука на мрежном пролазу може спречити малвер да стигне до крајњих корисника.

Поред ових мера, кључно је имати план реаговања на инциденте. Овај пројекат би требало да садржи кораке за брзо идентификовање, изоловање и ублажавање утицаја напада рансомвера. Методичко тестирање плана реаговања на инцидент путем симулација или вежби може помоћи да се обезбеди његова ефикасност када се појави стварна претња. Поред тога, неговање културе свесне безбедности у организацији је од суштинског значаја за одржавање сталне посвећености најбољим праксама сајбер безбедности.

Пун текст поруке о откупнини коју је представио Албабат Рансомваре је:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Колико су вам важни ваши фајлови?
Прочитајте овај документ за информације о томе шта се догодило и како да поново опоравите своје датотеке.

[+] 1 - О "Албабат Рансомваре" [+]
„Албабат Рансомваре“ је вишеплатформски рансомвер који шифрује различите датотеке важне за КОРИСНИКА на дисковима за складиштење рачунара користећи симетрични алгоритам шифровања са идентификацијом војног нивоа.

„Албабат Рансомваре“ ће аутоматски креирати фасциклу под називом „Албабат“ у корисничком директоријуму ваше машине, али тачно у: „Ц:\Усерс**\Албабат\“.

ПРЕПОРУЧУЈЕ СЕ да направите БАЦКУП ЦЕЛОГ фолдера „Ц:\Усерс**\Албабат\“, јер садржи важне датотеке за опоравак ваших датотека, што ће бити објашњено касније у овом документу о свакој од њих.

Ова фасцикла такође садржи ове исте документе са белешкама, у: „Ц:\Усерс**\Албабат\реадме\РЕАДМЕ.хтмл“.

1.1 - КЉУЧ КРИПТОГРАФИЈЕ
Ваше датотеке су шифроване КЉУЧОМ који је сачуван у датотеци „Албабат.екеи“. Присутно у директоријуму „Ц:\Усерс**\Албабат\“. Међутим, овај КЉУЧ је такође ШИФИРАН ЈАВНИМ КЉУЧОМ (асиметрична енкрипција), што значи да захтева да се дешифрује ПРИВАТНИ КЉУЧ, а само ја (тХ3_ЦиберКСИ) имам ПРИВАТНИ КЉУЧ да извршим ову дешифровање, тако да можете да користите КЉУЧ „Албабат.кеи“ за опоравак ваших датотека.

Не постоји начин да дешифрујете своје датотеке без моје услуге дешифровања података.

Не постоји начин да дешифрујете датотеке без дешифровања кључа „Албабат.екеи“.

Не бриши, не преименуј, не губи кључ „Албабат.екеи“.

1.2 - ВАШ ЛИЧНИ ЛИЧНИ ЛИСТ
Баш као и "Албабат.екеи", ЛИЧНИ ИД је важан у процесу дешифровања ваших датотека, који ће се користити у дешифратору, о чему ће бити речи касније у одељку "ПРОЦЕС ДЕКРИПЦИЈЕ".

Овај број одржава јединствени идентитет у процесу шифровања ваше машине. Осим што ћете бити обавештени у овом документу, ваш ЛИЧНИ ИД ће такође бити одштампан у датотеци „персонал_ид.ткт“ у „Ц:\Усерс**\Албабат\“.

Немојте изгубити ЛИЧНИ ИД, као што НЕ треба да изгубите кључ „Албабат.екеи“.

1.3 – ПРОЦЕС КРИПИРАЊА
Шифроване датотеке имају екстензију ".аббт".

Не покушавајте да га преименујете, неће успети. Напротив, можете оштетити своје датотеке.

Величина датотека које шифрује „Албабат Рансомваре“ је максимално 5 мегабајта (МБ).

„Албабат Рансомваре“ насумично рекурзивно прелази све директоријуме који не припадају операцијском систему. Шифрује датотеке у корисничком директоријуму, чак и локације базе података и дискове монтиране на машину ако их има.

„Албабат Рансомваре“ шифрује само релевантне датотеке. Оперативни систем и бинарне датотеке ће бити нетакнуте. Нисмо ми то изабрали.

„Албабат Рансомваре“ чува датотеку евиденције под називом „Албабат_Логс.лог“ у директоријуму „Ц:\Усерс**\Албабат\“. У овој датотеци можете видети све датотеке које је шифровао "Албабат Рансомваре" у облику путање.

[+] 2 - КАКО КОНТАКТИРАТИ [+]
Ово су једини начини да ступите у контакт да бисте опоравили своје датотеке. Сваки други образац који се нађе на интернету биће лажан.

Контакт методе:

Емаил:

албабат.хелп@протонмаил.цом

Копирај

НАПОМЕНА: Контактирајте САМО ако сте извршили уплату. Свака друга врста контакта осим ове природе биће занемарена.
[+] 3 - ПЛАЋАЊЕ [+]
Процес дешифровања се ПЛАЋА у Битцоин-у, тако да морате да имате Битцоин салдо на берзи криптовалута или у новчанику криптовалута да бисте извршили депозит.

Можда бисте желели да прочитате страницу са честим питањима да бисте сазнали шта је Битцоин.

Подаци о плаћању:

Битцоин адреса:

бц1кксјјна67тццвф0е35е9з79д4уту3в9пг2рп7рј

Копирај

Износ за плаћање:

0,0015 БТЦ

Да бисте извршили плаћање и вратили своје датотеке, пратите ове кораке -

(1) Запишите податке за извршење трансфера преко Битцоин адресе и ИЗНОС за плаћање наведен горе.

Напомена: Имајте на уму да цена биткоина може варирати у новцу у зависности од тога када извршите уплату.
(2) – Када извршите уплату на горњу Битцоин адресу, пошаљите е-поруку са структуром сличном овој:

Предмет: Албабат Рансомваре - Ја сам платио!

Порука: Здраво, извршио сам уплату. Моја БТЦ адреса на којој сам извршио уплату је "ккк". Верзија „Албабат Рансомваре“-а који је покренут на мојој машини била је „0.3.0“.

Пратите приложени КЉУЧ „Албабат.екеи“.

ВАЖНО: Верификација плаћања ће се вршити коришћењем ВАШЕ БТЦ АДРЕСЕ („ккк“) на којој је трансакција извршена, тако да је ВАЖНО обавестити приликом слања ове е-поште.

Такође је ВАЖНО да пошаљете КЉУЧ „Албабат.екеи“ као прилог, без обзира на начин контакта који сте изабрали. Кључ ће бити дешифрован за вас.

У својој е-пошти ћете добити КЉУЧ „Албабат.кеи“, односно КЉУЧ „Албабат.екеи“ дешифрован и дешифрован „децриптор.еке“ приложен (зипован).

Напомена: Након уплате, добићете КЉУЧ „Албабат.кеи“ и „децриптор.еке“ у року од 24 сата, али може варирати мање или више у зависности од времена моје доступности и количине захтева које примам. Будите стрпљиви.
[+] 4 - ПРОЦЕС ДЕКРИПАЊА [+]

Да бисте дешифровали своје датотеке, следите доле наведене кораке:

(1) Поставите „Албабат.кеи“ који сте добили е-поштом у директоријум „Ц:\Усерс**\Албабат\“, или, ако желите, држите га у истом директоријуму као и „децриптор.еке“.

ВАЖНО: У овом тренутку, веома је важно да затворите све отворене прозоре Екплорер-а и тешке програме како бисте спречили да се „децриптор.еке“ сруши и/или да лоше перформансе.

И такође трајно онемогућите свој АНТИВИРУС како не би ометао процес дешифровања.

(2) Покрените „децриптор.еке“ и унесите СВОЈ ЛИЧНИ ИД, а затим притисните ЕНТЕР. Појавиће се порука упозорења која вас обавештава да је дешифровање почело, само кликните на Ок.

Напомена: Ако користите Линук, отворите терминал и покрените из командне линије да бисте видели процес.

Нпр: ./децриптор

(3) Сачекајте да се порука о завршетку дешифровања прикаже на конзоли, ово може потрајати у зависности од количине датотека које су шифроване и снаге ваше машине. Процес дешифровања можете видети уживо из ваших фајлова, ако имам времена за то.

(4) Након што је дешифровање завршено, све ваше датотеке ће бити враћене и датотека евиденције дешифровања „Албабат_Логс.лог“. биће креиран у директоријуму дешифратора.

Ако имате додатних питања, као што су: „Како могу да будем сигуран да моје датотеке могу бити дешифроване?“, можете прочитати страницу са честим питањима.

Ауторска права (ц) 2021-2023 Албабат Рансомваре - Сва права задржана. Одржава: тХ3_ЦиберКСИ.'

Порука о откупнини приказана као позадина радне површине је:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'