Albabat Ransomware

Ang Albabat ay isang partikular na uri ng malware na ikinategorya bilang ransomware dahil sa katangian nitong pag-uugali. Gumagana ang nagbabantang software na ito sa pamamagitan ng pag-encrypt ng mga file sa isang nahawaang system. Bilang bahagi ng proseso ng pag-encrypt nito, idinaragdag ng Albabat ang extension na '.abbt' sa orihinal na mga filename, at sa gayon ay binabago ang format ng file. Bukod pa rito, nagpapakita ang Albabat ng karagdagang visual na epekto sa nahawaang system sa pamamagitan ng pagbabago sa desktop wallpaper. Upang makipag-ugnayan sa biktima at humingi ng ransom, bumubuo ang malware ng 'README.html' na file, na nagsisilbing ransom note.

Halimbawa, ang pattern ng pagpapalit ng pangalan na inilapat ng Albabat sa mga naka-encrypt na file ay sumusunod sa pare-parehong format. Halimbawa, ang isang file na unang pinangalanang '1.png' ay gagawing '1.png.abbt,' at katulad nito, ang '2.jpg' ay magiging '2.jpg.abbt,' at iba pa. Ang convention ng pagpapalit ng pangalan ay isang natatanging tanda ng proseso ng pag-encrypt ng file ng Albabat, at nagsisilbi itong identifier para sa uri ng ransomware na nakakaapekto sa mga nakompromisong file.

Ang Albabat Ransomware ay Maaaring Mag-lock ng Malawak na Hanay ng Mga Uri ng File para Humingi ng Ransom

Ang desktop wallpaper ng Albabat ay nagpapakita ng mensaheng nag-aalerto sa biktima sa pag-encrypt ng ilan sa kanilang mga file at ginagabayan sila na maghanap ng karagdagang impormasyon sa 'README.html' na file. Ang file na ito ay partikular na matatagpuan sa loob ng folder na 'Albabat', na matatagpuan sa root directory ng mga user sa kanilang mga computer.

Para sa mga user ng Windows, ang path ay %USERPROFILE%\Albabat\readme\README.html, at ang mga user ng Linux ay inutusang hanapin ito sa $HOME/Albabat/readme/README.html. Sa loob ng file na ito, binibigyang-diin ang isang mahalagang detalye—ang pag-decryption ng mga naka-encrypt na file ay nangangailangan ng pribadong key na eksklusibong hawak ng umaatake. Ang biktima ay tahasang binabalaan laban sa anumang aksyon na maaaring magresulta sa pagkawala o pagbabago ng 'Albabat.ekey' key, kabilang ang pagtanggal o pagpapalit ng pangalan.

Ang ransom note ay karagdagang nagbibigay ng impormasyon sa pakikipag-ugnayan sa pamamagitan ng email (albabat.help@protonmail.com), na nagtuturo sa mga biktima na makipag-ugnayan lamang pagkatapos makumpleto ang proseso ng pagbabayad. Ang mga detalye tungkol sa pagbabayad, tulad ng isang Bitcoin address at ang itinalagang halaga (0.0015 BTC), ay nakabalangkas.

Ito ay naka-highlight na ang muling pagkakaroon ng access sa mga naka-encrypt na file ay karaniwang hindi makakamit nang walang partikular na tool sa pag-decryption na taglay ng mga umaatake. Gayunpaman, ang isang matinding panghihina ng loob ay ipinahayag laban sa pagbabayad ng ransom sa mga umaatake, dahil may mataas na posibilidad na ang mga biktima ay mabiktima ng mga scam sa kabila ng anumang mga pangako na ginawa ng mga salarin.

Mahahalagang Mga Panukala sa Seguridad na Gagamitin Laban sa Mga Impeksyon ng Ransomware

Ang pagprotekta laban sa mga impeksyon sa ransomware ay nangangailangan ng isang multi-layered na diskarte na kinasasangkutan ng iba't ibang mga hakbang sa seguridad. Narito ang anim na mahalagang hakbang upang makatulong na maprotektahan laban sa ransomware:

• Regular na I-backup ang Iyong Data : Regular na i-back up ang kritikal na data sa isang offline o cloud-based na solusyon sa storage. Kung sakaling magkaroon ng impeksyon sa ransomware, tinitiyak ng pagkakaroon ng na-update na mga backup na maibabalik ang data nang hindi nagbabayad ng ransom. Partikular na epektibo ang mga awtomatikong backup system na may mga kakayahan sa pag-bersyon.
• Pagsasanay at Kamalayan ng Empleyado : Magsagawa ng regular na pagsasanay sa pagkilala sa cybersecurity para sa mga empleyado upang turuan sila tungkol sa mga panganib na nauugnay sa mga email sa phishing, hindi ligtas na mga link at mga kahina-hinalang attachment. Tiyakin na ang mga empleyado ay maingat at mapagbantay kapag nakikipag-ugnayan sa mga email at iba pang online na nilalaman upang maiwasan ang hindi sinasadyang mga impeksyon sa malware.
• Paggamit ng Security Software : Gumamit ng matatag na software ng seguridad, kabilang ang mga solusyon sa anti-malware, upang makita at harangan ang mga banta ng ransomware. Panatilihing na-update ang mga tool sa seguridad na ito upang matiyak na makikilala at mapagaan nila ang mga pinakabagong uri ng ransomware. Ang mga solusyon sa proteksyon ng endpoint ay maaaring magdagdag ng karagdagang layer ng depensa.
• Network Segmentation : Ipatupad ang network segmentation upang paghiwalayin ang mga kritikal na system at pribadong data mula sa natitirang bahagi ng network. Nililimitahan nito ang potensyal na paggalaw sa gilid ng ransomware sa loob ng network, na binabawasan ang epekto ng isang impeksiyon.
• Mga Patch at Update System : Regular na i-update ang mga operating system, software at mga application upang i-patch ang mga kilalang kahinaan. Madalas na sinasamantala ng Ransomware ang mga bahid ng seguridad sa mga lumang system. Makakatulong ang mga naka-automate na tool sa pamamahala ng patch na i-streamline ang prosesong ito at matiyak na napapanahon ang lahat ng system.
• Mga Attachment sa Pag-filter at Pag-filter ng Email : Gumamit ng mga solusyon sa pag-filter ng email upang harangan ang mga email sa phishing at i-filter ang mga hindi ligtas na attachment. Maraming pag-atake ng ransomware ang pinasimulan sa pamamagitan ng mga phishing na email, at ang pagharang sa mga naturang email sa gateway ay maaaring pigilan ang malware na maabot ang mga end-user.

Bilang karagdagan sa mga hakbang na ito, napakahalaga na magkaroon ng plano sa pagtugon sa insidente. Ang proyektong ito ay dapat magsama ng mga hakbang para sa mabilis na pagtukoy, paghihiwalay, at pagpapagaan sa epekto ng pag-atake ng ransomware. Ang pamamaraang pagsubok sa plano sa pagtugon sa insidente sa pamamagitan ng mga simulation o drill ay makakatulong na matiyak ang pagiging epektibo nito kapag may lumitaw na tunay na banta. Bukod pa rito, ang pagpapaunlad ng kulturang may kamalayan sa seguridad sa loob ng organisasyon ay mahalaga para sa pagpapanatili ng patuloy na pangako sa pinakamahuhusay na kagawian sa cybersecurity.

Ang buong teksto ng ransom note na ipinakita ng Albabat Ransomware ay:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Gaano kahalaga sa iyo ang iyong mga file?
Basahin ang dokumentong ito para sa impormasyon sa kung ano ang nangyari at kung paano i-recover muli ang iyong mga file.

[+] 1 - TUNGKOL SA "Albabat Ransomware" [+]
Ang "Albabat Ransomware" ay isang cross-platform ransomware na nag-e-encrypt ng iba't ibang file na mahalaga sa USER sa mga computer storage disk gamit ang symmetric encryption algorithm na may military-grade identification.

Ang "Albabat Ransomware" ay awtomatikong lilikha ng isang folder na tinatawag na "Albabat" sa direktoryo ng gumagamit ng iyong makina, ngunit tiyak sa: "C:\Users**\Albabat\".

INIREREKOMENDA na gumawa ng BACKUP ng BUONG "C:\Users**\Albabat\" na folder, dahil naglalaman ito ng mahahalagang file para sa pagbawi ng iyong mga file, na ipapaliwanag sa ibang pagkakataon sa dokumentong ito tungkol sa bawat isa sa kanila.

Ang folder na ito ay naglalaman din ng parehong mga dokumento ng tala, sa: "C:\Users**\Albabat\readme\README.html".

1.1 - ANG SUSI SA CRYPTOGRAPHY
Ang iyong mga file ay na-encrypt gamit ang isang KEY na naka-imbak sa file na "Albabat.ekey". Ipakita sa direktoryo ng "C:\Users**\Albabat\". Gayunpaman, ang KEY na ito ay na-ENCRYPTED din gamit ang isang PUBLIC KEY (asymmetric encryption), na nangangahulugang nangangailangan ito ng isang PRIVATE KEY upang ma-decrypt, at ako lamang (tH3_CyberXY) ang may PRIVATE KEY upang maisagawa ang decryption na ito, para magamit mo ang KEY "Albabat.key" sa pagbawi ng iyong mga file.

Walang paraan upang i-decrypt ang iyong mga file nang wala ang aking serbisyo sa pag-decrypt ng data.

Walang paraan upang i-decrypt ang mga file nang hindi dini-decrypt ang "Albabat.ekey" na key.

Huwag tanggalin, huwag palitan ang pangalan, huwag mawala ang "Albabat.ekey" na key.

1.2 - IYONG PERSONAL ID
Tulad ng "Albabat.ekey", ang PERSONAL ID ay mahalaga sa proseso ng pag-decryption ng iyong mga file, na gagamitin sa decryptor, na tatalakayin mamaya sa seksyong "DECRYPTION PROCESS".

Ang numerong ito ay nagpapanatili ng isang natatanging pagkakakilanlan sa proseso ng pag-encrypt ng iyong makina. Bilang karagdagan sa pagiging alam sa dokumentong ito, ang iyong PERSONAL ID ay ipi-print din sa "personal_id.txt" file sa "C:\Users**\Albabat\".

Huwag mawala ang iyong PERSONAL ID, tulad ng HINDI mo dapat mawala ang "Albabat.ekey" key.

1.3 - ANG PROSESO NG ENCRYPTION
Ang mga naka-encrypt na file ay may extension na ".abbt".

Huwag subukang palitan ang pangalan nito, hindi ito gagana. Sa kabaligtaran, maaari mong sirain ang iyong mga file.

Ang laki ng mga file na ine-encrypt ng "Albabat Ransomware" ay maximum na 5 Megabytes (MB).

Ang "Albabat Ransomware" ay random na recursively na binabagtas ang lahat ng mga direktoryo na hindi ito kabilang sa pagpapatakbo ng Operating System. Ini-encrypt ang mga file sa direktoryo ng user, kahit na ang mga lokasyon ng database at mga drive na naka-mount sa makina kung mayroon man.

Ang "Albabat Ransomware" ay nag-e-encrypt lamang ng mga file na may kaugnayan. Magiging buo ang Operating System at mga binary file. Hindi namin pinili yun.

Ang "Albabat Ransomware" ay nagse-save ng log file na pinangalanang "Albabat_Logs.log" sa "C:\Users**\Albabat\" na direktoryo. Ang file na ito ay makikita mo ang lahat ng mga file na na-encrypt ng "Albabat Ransomware" sa path form.

[+] 2 - PAANO MAKI-CONTACT [+]
Ito lang ang mga paraan para makipag-ugnayan para mabawi ang iyong mga file. Anumang ibang form na makikita sa internet ay magiging peke.

Mga paraan ng pakikipag-ugnayan:

Email:

albabat.help@protonmail.com

Kopya

TANDAAN: Mangyaring makipag-ugnayan LAMANG kung nagbayad ka na. Anumang iba pang uri ng pakikipag-ugnayan maliban sa likas na ito ay hindi papansinin.
[+] 3 - BAYAD [+]
Ang proseso ng pag-decryption ay BAYARAN sa Bitcoin, kaya kailangan mong magkaroon ng balanse sa Bitcoin sa isang cryptocurrency exchange o sa isang cryptocurrency wallet para makapagdeposito.

Baka gusto mong basahin ang FAQ page para malaman kung ano ang Bitcoin.

Data ng pagbabayad:

Bitcoin address:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

Kopya

Halaga ng babayaran:

0,0015 BTC

Upang magbayad at i-restore ang iyong mga file, sundin ang mga hakbang na ito -

(1) Isulat ang data upang maisagawa ang paglipat sa pamamagitan ng Bitcoin address at ang HALAGA na babayaran na tinukoy sa itaas.

Tandaan: Ang pag-alala na ang presyo ng Bitcoin ay maaaring mag-iba sa monetarily depende sa kung kailan ka nagbayad.
(2) - Kapag nagbayad ka sa Bitcoin address sa itaas, magpadala ng email na may istrakturang katulad nito:

Paksa: Albabat Ransomware - Ako ang nagbayad!

Mensahe: Hello, nagbayad na ako. Ang BTC address ko kung saan ako nagbayad ay "xxx". Ang bersyon ng "Albabat Ransomware" na tumatakbo sa aking makina ay "0.3.0".

Sundin ang kalakip na KEY na "Albabat.ekey".

MAHALAGA: Ibe-verify ang pagbabayad gamit ang IYONG BTC ADDRESS ("xxx") kung saan isinagawa ang transaksyon, kaya MAHALAGA na ipaalam kapag ipinadala ang email na ito.

MAHALAGA rin na ipadala mo ang KEY na "Albabat.ekey" bilang attachment, anuman ang paraan ng contact na iyong pinili. Ang susi ay ide-decrypt para sa iyo.

Matatanggap mo sa iyong email ang KEY na "Albabat.key", iyon ay, ang KEY na "Albabat.ekey" na na-decrypt, at ang decryptor na "decryptor.exe" na naka-attach (naka-zip).

Tandaan: Pagkatapos ng pagbabayad, matatanggap mo ang KEY na "Albabat.key" at "decryptor.exe" sa loob ng 24 na oras, ngunit maaari itong mag-iba nang higit pa o mas kaunti depende sa mga oras ng aking availability at sa dami ng mga demand na natatanggap ko. Maging matiyaga.
[+] 4 - PROSESO NG DECRYPTION [+]

Upang i-decrypt ang iyong mga file, sundin ang mga hakbang sa ibaba:

(1) Ilagay ang "Albabat.key" na iyong natanggap sa pamamagitan ng email, sa loob ng "C:\Users**\Albabat\" na direktoryo, o, kung gusto mo, panatilihin ito sa parehong direktoryo bilang "decryptor.exe".

MAHALAGA: Sa puntong ito, napakahalaga na isara mo ang lahat ng bukas na window ng Explorer, at mabibigat na programa, upang maiwasan ang pag-crash ng "decryptor.exe" at/o magkaroon ng mahinang pagganap.

At i-disable din ang iyong ANTIVIRUS PERMANENTLY para hindi ito makagambala sa proseso ng decryption.

(2) Patakbuhin ang "decryptor.exe" at ilagay ang IYONG PERSONAL ID, pagkatapos ay pindutin ang ENTER. May lalabas na alertong mensahe na nagpapaalam sa iyo na nagsimula ang pag-decryption, i-click lang ang Ok.

Tandaan: Kung nasa Linux ka, magbukas ng terminal at tumakbo mula sa command line para makita ang proseso.

Hal: ./decryptor

(3) Hintaying maipakita ang mensahe ng pagkumpleto ng decryption sa console, maaaring tumagal ito ng ilang sandali depende sa dami ng mga file na na-encrypt at kapangyarihan ng iyong makina. Maaari mong makita ang proseso ng pag-decryption sa pamamagitan ng I live mula sa iyong mga file, kung mayroon akong oras para doon.

(4) Pagkatapos makumpleto ang pag-decryption, maibabalik ang lahat ng iyong mga file at ang file ng log ng decryption na "Albabat_Logs.log". ay malilikha sa direktoryo ng decryptor.

Kung mayroon kang karagdagang mga katanungan, tulad ng: "Paano ako makakasigurado na ang aking mga file ay maaaring i-decrypt?", maaari mong basahin ang pahina ng FAQ.

Copyright (c) 2021-2023 Albabat Ransomware - All Right Reserved. Pinapanatili ng: tH3_CyberXY.'

Ang mensahe ng ransom na ipinapakita bilang background sa desktop ay:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'