Albabat Ransomware

Albabat เป็นมัลแวร์ประเภทหนึ่งที่จัดอยู่ในประเภทแรนซัมแวร์เนื่องจากลักษณะการทำงานของมัน ซอฟต์แวร์ที่เป็นอันตรายนี้ทำงานโดยการเข้ารหัสไฟล์บนระบบที่ติดไวรัส ในกระบวนการเข้ารหัส Albabat จะเพิ่มนามสกุล '.abbt' ต่อท้ายชื่อไฟล์ต้นฉบับ ดังนั้นจึงเป็นการเปลี่ยนรูปแบบไฟล์ นอกจากนี้ Albabat ยังแสดงผลกระทบต่อระบบที่ติดไวรัสด้วยการปรับเปลี่ยนวอลเปเปอร์เดสก์ท็อป เพื่อสื่อสารกับเหยื่อและเรียกร้องค่าไถ่ มัลแวร์จะสร้างไฟล์ 'README.html' ซึ่งทำหน้าที่เป็นบันทึกค่าไถ่

ตัวอย่างเช่น รูปแบบการเปลี่ยนชื่อที่ Albabat ใช้กับไฟล์ที่เข้ารหัสจะมีรูปแบบที่สอดคล้องกัน ตัวอย่างเช่น ไฟล์ชื่อ '1.png' จะถูกแปลงเป็น '1.png.abbt' และในทำนองเดียวกัน '2.jpg' จะกลายเป็น '2.jpg.abbt' และอื่นๆ รูปแบบการเปลี่ยนชื่อนี้เป็นจุดเด่นที่โดดเด่นของกระบวนการเข้ารหัสไฟล์ของ Albabat และทำหน้าที่เป็นตัวระบุประเภทของแรนซัมแวร์ที่ส่งผลต่อไฟล์ที่ถูกบุกรุก

Albabat Ransomware สามารถล็อคไฟล์ได้หลายประเภทเพื่อเรียกค่าไถ่

วอลเปเปอร์เดสก์ท็อปของ Albabat จะแสดงข้อความแจ้งเตือนเหยื่อถึงการเข้ารหัสไฟล์บางไฟล์ และแนะนำให้พวกเขาค้นหาข้อมูลเพิ่มเติมในไฟล์ 'README.html' ไฟล์นี้อยู่ในโฟลเดอร์ 'Albabat' โดยเฉพาะซึ่งอยู่ในไดเร็กทอรีรากของผู้ใช้บนคอมพิวเตอร์

สำหรับผู้ใช้ Windows พาธคือ %USERPROFILE%\Albabat\readme\README.html และผู้ใช้ Linux จะได้รับคำแนะนำให้ค้นหาที่ $HOME/Albabat/readme/README.html ภายในไฟล์นี้ มีการเน้นรายละเอียดที่สำคัญ—การถอดรหัสไฟล์ที่เข้ารหัสต้องใช้คีย์ส่วนตัวที่ผู้โจมตีเก็บไว้โดยเฉพาะ เหยื่อจะได้รับคำเตือนอย่างชัดเจนต่อการกระทำใด ๆ ที่อาจส่งผลให้คีย์ 'Albabat.ekey' สูญหายหรือเปลี่ยนแปลง รวมถึงการลบหรือเปลี่ยนชื่อ

บันทึกค่าไถ่ยังให้ข้อมูลการติดต่อผ่านทางอีเมล (albabat.help@protonmail.com) โดยแนะนำให้เหยื่อติดต่อหลังจากเสร็จสิ้นกระบวนการชำระเงินแล้วเท่านั้น ข้อมูลเฉพาะเกี่ยวกับการชำระเงิน เช่น ที่อยู่ Bitcoin และจำนวนเงินที่กำหนด (0.0015 BTC) ได้รับการระบุไว้

มีการเน้นย้ำว่าการได้รับสิทธิ์เข้าถึงไฟล์ที่เข้ารหัสนั้นมักจะไม่สามารถบรรลุได้หากไม่มีเครื่องมือถอดรหัสเฉพาะที่ผู้โจมตีครอบครอง อย่างไรก็ตาม มีการแสดงความท้อแท้อย่างมากต่อการจ่ายค่าไถ่แก่ผู้โจมตี เนื่องจากมีความเป็นไปได้สูงที่เหยื่อจะตกเป็นเหยื่อของการหลอกลวง แม้ว่าผู้กระทำผิดจะให้สัญญาก็ตาม

มาตรการรักษาความปลอดภัยที่สำคัญที่จะใช้ต่อต้านการติดไวรัสแรนซัมแวร์

การป้องกันการติดเชื้อแรนซัมแวร์ต้องใช้แนวทางหลายชั้นที่เกี่ยวข้องกับมาตรการรักษาความปลอดภัยต่างๆ ต่อไปนี้เป็นมาตรการสำคัญ 6 ประการที่ช่วยป้องกันแรนซัมแวร์:

• สำรองข้อมูลของคุณเป็นประจำ : สำรองข้อมูลสำคัญเป็นประจำไปยังโซลูชันการจัดเก็บข้อมูลแบบออฟไลน์หรือบนคลาวด์ ในกรณีที่มีการติดไวรัสแรนซัมแวร์ การมีการสำรองข้อมูลที่อัปเดตจะทำให้แน่ใจได้ว่าข้อมูลสามารถกู้คืนได้โดยไม่ต้องจ่ายค่าไถ่ ระบบสำรองข้อมูลอัตโนมัติที่มีความสามารถในการกำหนดเวอร์ชันจะมีประสิทธิภาพเป็นพิเศษ
• การฝึกอบรมและการตระหนักรู้ของพนักงาน : จัดการฝึกอบรมเพื่อรับทราบถึงความปลอดภัยทางไซเบอร์เป็นประจำสำหรับพนักงาน เพื่อให้ความรู้เกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับอีเมลฟิชชิ่ง ลิงก์ที่ไม่ปลอดภัย และไฟล์แนบที่น่าสงสัย ตรวจสอบให้แน่ใจว่าพนักงานใช้ความระมัดระวังและระมัดระวังในการโต้ตอบกับอีเมลและเนื้อหาออนไลน์อื่น ๆ เพื่อป้องกันการติดมัลแวร์โดยไม่ได้ตั้งใจ
• การใช้ซอฟต์แวร์รักษาความปลอดภัย : จ้างซอฟต์แวร์รักษาความปลอดภัยที่แข็งแกร่ง รวมถึงโซลูชั่นป้องกันมัลแวร์ เพื่อตรวจจับและบล็อกภัยคุกคามแรนซัมแวร์ อัปเดตเครื่องมือความปลอดภัยเหล่านี้อยู่เสมอเพื่อให้แน่ใจว่าสามารถรับรู้และบรรเทาแรนซัมแวร์สายพันธุ์ใหม่ล่าสุดได้ โซลูชันการป้องกันปลายทางสามารถเพิ่มชั้นการป้องกันเพิ่มเติมได้
• การแบ่งส่วนเครือข่าย : ใช้การแบ่งส่วนเครือข่ายเพื่อแยกระบบที่สำคัญและข้อมูลส่วนตัวออกจากส่วนที่เหลือของเครือข่าย สิ่งนี้จะจำกัดการเคลื่อนไหวด้านข้างของแรนซัมแวร์ภายในเครือข่าย และลดผลกระทบของการติดไวรัส
• ระบบแพทช์และอัปเดต : อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และแอปพลิเคชันเป็นประจำเพื่อแก้ไขช่องโหว่ที่ทราบ Ransomware มักจะหาประโยชน์จากข้อบกพร่องด้านความปลอดภัยในระบบที่ล้าสมัย เครื่องมือการจัดการแพตช์อัตโนมัติสามารถช่วยปรับปรุงกระบวนการนี้และทำให้มั่นใจได้ว่าระบบทั้งหมดมีความทันสมัย
• การกรองอีเมลและการกรองไฟล์แนบ : ใช้โซลูชันการกรองอีเมลเพื่อบล็อกอีเมลฟิชชิ่งและกรองไฟล์แนบที่ไม่ปลอดภัยออก การโจมตีแรนซัมแวร์จำนวนมากเริ่มต้นผ่านอีเมลฟิชชิ่ง และการบล็อกอีเมลดังกล่าวที่เกตเวย์สามารถป้องกันมัลแวร์ไม่ให้เข้าถึงผู้ใช้ปลายทางได้

นอกเหนือจากมาตรการเหล่านี้แล้ว การมีแผนตอบสนองต่อเหตุการณ์ก็เป็นสิ่งสำคัญ โปรเจ็กต์นี้ควรมีขั้นตอนในการระบุ แยก และลดผลกระทบของการโจมตีแรนซัมแวร์ได้อย่างรวดเร็ว การทดสอบแผนการตอบสนองต่อเหตุการณ์อย่างเป็นระบบผ่านการจำลองหรือการฝึกซ้อมสามารถช่วยรับประกันประสิทธิผลเมื่อเกิดภัยคุกคามที่แท้จริง นอกจากนี้ การส่งเสริมวัฒนธรรมที่คำนึงถึงความปลอดภัยภายในองค์กรถือเป็นสิ่งสำคัญสำหรับการรักษาความมุ่งมั่นอย่างต่อเนื่องต่อแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์

ข้อความเต็มของบันทึกค่าไถ่ที่นำเสนอโดย Albabat Ransomware คือ:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> ไฟล์ของคุณมีความสำคัญกับคุณแค่ไหน?
อ่านเอกสารนี้เพื่อดูข้อมูลเกี่ยวกับสิ่งที่เกิดขึ้นและวิธีการกู้คืนไฟล์ของคุณอีกครั้ง

[+] 1 - เกี่ยวกับ "Albabat Ransomware" [+]
"Albabat Ransomware" คือแรนซัมแวร์ข้ามแพลตฟอร์มที่เข้ารหัสไฟล์ต่างๆ ที่สำคัญสำหรับผู้ใช้บนดิสก์จัดเก็บข้อมูลของคอมพิวเตอร์โดยใช้อัลกอริธึมการเข้ารหัสแบบสมมาตรพร้อมการระบุตัวตนระดับทหาร

"Albabat Ransomware" จะสร้างโฟลเดอร์ชื่อ "Albabat" โดยอัตโนมัติในไดเร็กทอรีผู้ใช้ของเครื่องของคุณ แต่จะอยู่ใน: "C:\Users**\Albabat\"

ขอแนะนำให้สำรองข้อมูลโฟลเดอร์ "C:\Users**\Albabat\" ทั้งหมด เนื่องจากมีไฟล์สำคัญสำหรับการกู้คืนไฟล์ของคุณ ซึ่งจะอธิบายเกี่ยวกับแต่ละไฟล์ในภายหลังในเอกสารนี้

โฟลเดอร์นี้ยังมีเอกสารบันทึกย่อเดียวกันนี้ใน: "C:\Users**\Albabat\readme\README.html"

1.1 - กุญแจสำคัญในการเข้ารหัส
ไฟล์ของคุณถูกเข้ารหัสด้วยคีย์ซึ่งจัดเก็บไว้ในไฟล์ "Albabat.ekey" มีอยู่ในไดเรกทอรี "C:\Users**\Albabat\" อย่างไรก็ตาม คีย์นี้ยังถูกเข้ารหัสด้วยคีย์สาธารณะ (การเข้ารหัสแบบอสมมาตร) ซึ่งหมายความว่าต้องใช้คีย์ส่วนตัวในการถอดรหัส และมีเพียงฉัน (tH3_CyberXY) เท่านั้นที่มีคีย์ส่วนตัวเพื่อทำการถอดรหัสนี้ เพื่อให้คุณสามารถใช้คีย์ได้ "Albabat.key" ในการกู้คืนไฟล์ของคุณ

ไม่มีทางที่จะถอดรหัสไฟล์ของคุณได้หากไม่มีบริการถอดรหัสข้อมูลของฉัน

ไม่มีวิธีถอดรหัสไฟล์โดยไม่ต้องถอดรหัสคีย์ "Albabat.ekey"

อย่าลบ อย่าเปลี่ยนชื่อ อย่าทำคีย์ "Albabat.ekey" หาย

1.2 - รหัสส่วนบุคคลของคุณ
เช่นเดียวกับ "Albabat.ekey" ID ส่วนบุคคลมีความสำคัญในกระบวนการถอดรหัสไฟล์ของคุณ ซึ่งจะถูกนำมาใช้ในตัวถอดรหัส ซึ่งจะกล่าวถึงในภายหลังในส่วน "กระบวนการถอดรหัส"

หมายเลขนี้จะรักษาเอกลักษณ์เฉพาะตัวในกระบวนการเข้ารหัสของเครื่องของคุณ นอกจากจะได้รับการแจ้งให้ทราบในเอกสารนี้แล้ว PERSONAL ID ของคุณจะถูกพิมพ์ลงในไฟล์ "personal_id.txt" ใน "C:\Users**\Albabat\" ด้วย

อย่าทำ PERSONAL ID ของคุณหาย เช่นเดียวกับที่คุณไม่ควรทำคีย์ "Albabat.ekey" หาย

1.3 - กระบวนการเข้ารหัส
ไฟล์ที่เข้ารหัสจะมีนามสกุล ".abbt"

อย่าพยายามเปลี่ยนชื่อ มันจะใช้งานไม่ได้ ในทางตรงกันข้าม คุณอาจทำให้ไฟล์ของคุณเสียหายได้

ขนาดของไฟล์ที่เข้ารหัส "Albabat Ransomware" คือสูงสุด 5 เมกะไบต์ (MB)

"Albabat Ransomware" จะสุ่มซ้ำผ่านไดเร็กทอรีทั้งหมดที่ไม่ได้อยู่ในการทำงานของระบบปฏิบัติการ เข้ารหัสไฟล์ในไดเร็กทอรีผู้ใช้ แม้แต่ตำแหน่งฐานข้อมูลและไดรฟ์ที่ติดตั้งบนเครื่อง หากมี

"Albabat Ransomware" จะเข้ารหัสเฉพาะไฟล์ที่เกี่ยวข้องเท่านั้น ระบบปฏิบัติการและไฟล์ไบนารี่จะยังคงอยู่ เราไม่ได้เลือกสิ่งนั้น

"Albabat Ransomware" จะบันทึกไฟล์บันทึกชื่อ "Albabat_Logs.log" ในไดเรกทอรี "C:\Users**\Albabat\" ไฟล์นี้คุณสามารถดูไฟล์ทั้งหมดที่ถูกเข้ารหัสโดย "Albabat Ransomware" ในรูปแบบเส้นทาง

[+] 2 - วิธีการติดต่อ [+]
นี่เป็นวิธีเดียวในการติดต่อเพื่อกู้คืนไฟล์ของคุณ รูปแบบอื่นใดที่พบบนอินเทอร์เน็ตจะเป็นของปลอม

วิธีการติดต่อ:

อีเมล:

albabat.help@protonmail.com

สำเนา

หมายเหตุ: โปรดติดต่อเฉพาะในกรณีที่คุณได้ชำระเงินแล้วเท่านั้น การติดต่อประเภทอื่นนอกเหนือจากลักษณะนี้จะถูกละเว้น
[+] 3 - การชำระเงิน [+]
กระบวนการถอดรหัสนั้นจ่ายเป็น Bitcoin ดังนั้นคุณจำเป็นต้องมียอดคงเหลือ Bitcoin ในการแลกเปลี่ยนสกุลเงินดิจิตอลหรือในกระเป๋าเงินดิจิตอลเพื่อทำการฝากเงิน

คุณอาจต้องการอ่านหน้าคำถามที่พบบ่อยเพื่อทราบว่า Bitcoin คืออะไร

ข้อมูลการชำระเงิน:

ที่อยู่บิทคอยน์:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

สำเนา

จำนวนเงินที่ต้องชำระ:

0,0015 บิทคอยน์

หากต้องการชำระเงินและกู้คืนไฟล์ของคุณ ให้ทำตามขั้นตอนเหล่านี้ -

(1) จดบันทึกข้อมูลเพื่อทำการโอนผ่านที่อยู่ Bitcoin และจำนวนเงินที่ต้องชำระตามที่ระบุไว้ข้างต้น

หมายเหตุ: โปรดทราบว่าราคาของ Bitcoin อาจแตกต่างกันไปขึ้นอยู่กับว่าคุณชำระเงินเมื่อใด
(2) - เมื่อคุณชำระเงินไปยังที่อยู่ Bitcoin ข้างต้นแล้ว ให้ส่งอีเมลที่มีโครงสร้างคล้ายกับนี้:

เรื่อง: Albabat Ransomware - ฉันได้ชำระเงินแล้ว!

ข้อความ: สวัสดี ฉันได้ชำระเงินแล้ว ที่อยู่ BTC ของฉันที่ฉันชำระเงินคือ "xxx" เวอร์ชันของ "Albabat Ransomware" ที่ทำงานบนเครื่องของฉันคือ "0.3.0"

ปฏิบัติตามคีย์ที่แนบมา "Albabat.ekey"

สิ่งสำคัญ: การชำระเงินจะถูกตรวจสอบโดยใช้ที่อยู่ BTC ของคุณ ("xxx") ที่ใช้ในการทำธุรกรรม ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องแจ้งให้ทราบเมื่อส่งอีเมลนี้

สิ่งสำคัญคือคุณต้องส่งคีย์ "Albabat.ekey" เป็นไฟล์แนบ ไม่ว่าคุณจะเลือกวิธีการติดต่อใดก็ตาม กุญแจจะถูกถอดรหัสสำหรับคุณ

คุณจะได้รับคีย์ "Albabat.key" ในอีเมลของคุณ ซึ่งก็คือคีย์ที่ถอดรหัส "Albabat.ekey" และตัวถอดรหัส "decryptor.exe" ที่แนบมาด้วย (บีบอัด)

หมายเหตุ: หลังการชำระเงิน คุณจะได้รับคีย์ "Albabat.key" และ "decryptor.exe" ภายใน 24 ชั่วโมง แต่อาจแตกต่างกันมากหรือน้อยขึ้นอยู่กับเวลาที่ว่างและจำนวนความต้องการที่ฉันได้รับ จงอดทน
[+] 4 - กระบวนการถอดรหัส [+]

หากต้องการถอดรหัสไฟล์ของคุณให้ทำตามขั้นตอนด้านล่าง:

(1) วาง "Albabat.key" ที่คุณได้รับทางอีเมล ไว้ในไดเร็กทอรี "C:\Users**\Albabat\" หรือหากต้องการ ให้เก็บไว้ในไดเร็กทอรีเดียวกันกับ "decryptor.exe"

สิ่งสำคัญ: ณ จุดนี้ สิ่งสำคัญคือคุณต้องปิดหน้าต่าง Explorer ที่เปิดอยู่ทั้งหมดและโปรแกรมขนาดใหญ่ทั้งหมด เพื่อป้องกันไม่ให้ "decryptor.exe" ขัดข้องและ/หรือมีประสิทธิภาพต่ำ

และยังปิดการใช้งาน ANTIVIRUS ของคุณอย่างถาวรเพื่อไม่ให้รบกวนกระบวนการถอดรหัส

(2) เรียกใช้ "decryptor.exe" และป้อน ID ส่วนบุคคลของคุณ จากนั้นกด ENTER ข้อความแจ้งเตือนจะปรากฏขึ้นเพื่อแจ้งให้คุณทราบว่าการถอดรหัสเริ่มต้นแล้ว เพียงคลิกตกลง

หมายเหตุ: หากคุณใช้ Linux ให้เปิดเทอร์มินัลแล้วเรียกใช้จากบรรทัดคำสั่งเพื่อดูกระบวนการ

เช่น: ./decryptor

(3) รอให้ข้อความเสร็จสิ้นการถอดรหัสแสดงในคอนโซล ซึ่งอาจใช้เวลาสักครู่ขึ้นอยู่กับปริมาณของไฟล์ที่ได้รับการเข้ารหัสและพลังของเครื่องของคุณ คุณสามารถดูกระบวนการถอดรหัสได้โดย I live จากไฟล์ของคุณ หากฉันมีเวลา

(4) หลังจากการถอดรหัสเสร็จสิ้น ไฟล์ทั้งหมดของคุณจะถูกกู้คืนและไฟล์บันทึกการถอดรหัส "Albabat_Logs.log" จะถูกสร้างขึ้นในไดเร็กทอรีตัวถอดรหัส

หากคุณมีคำถามเพิ่มเติม เช่น "ฉันจะแน่ใจได้อย่างไรว่าไฟล์ของฉันสามารถถอดรหัสได้" คุณสามารถอ่านหน้าคำถามที่พบบ่อยได้

ลิขสิทธิ์ (c) 2021-2023 Albabat Ransomware - สงวนลิขสิทธิ์ ดูแลโดย: tH3_CyberXY'

ข้อความเรียกค่าไถ่ที่แสดงเป็นพื้นหลังเดสก์ท็อปคือ:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'