Albabat Ransomware

Albabat — це особливий тип зловмисного програмного забезпечення, яке класифікується як програмне забезпечення-вимагач через його характерну поведінку. Це загрозливе програмне забезпечення працює шляхом шифрування файлів у зараженій системі. У рамках процесу шифрування Albabat додає розширення «.abbt» до оригінальних імен файлів, таким чином змінюючи формат файлу. Крім того, Albabat демонструє додатковий візуальний вплив на заражену систему, змінюючи шпалери робочого столу. Щоб спілкуватися з жертвою та вимагати викуп, зловмисне програмне забезпечення створює файл README.html, який служить повідомленням про викуп.

Наприклад, модель перейменування, застосована Albabat до зашифрованих файлів, дотримується узгодженого формату. Наприклад, файл із початковою назвою «1.png» буде перетворено на «1.png.abbt», а «2.jpg» стане «2.jpg.abbt» і так далі. Ця домовленість про перейменування є відмінною ознакою процесу шифрування файлів Albabat і служить ідентифікатором типу програми-вимагача, що впливає на скомпрометовані файли.

Програма-вимагач Albabat може блокувати широкий діапазон типів файлів, щоб вимагати викуп

На робочому столі Albabat відображається повідомлення, яке попереджає жертву про шифрування деяких їхніх файлів і направляє її шукати додаткову інформацію у файлі «README.html». Цей файл міститься в папці «Albabat», розташованій у кореневому каталозі користувачів на їхніх комп’ютерах.

Для користувачів Windows шлях %USERPROFILE%\Albabat\readme\README.html, а користувачам Linux пропонується знайти його за адресою $HOME/Albabat/readme/README.html. У цьому файлі наголошується на важливій деталі — для розшифровки зашифрованих файлів потрібен закритий ключ, яким володіє виключно зловмисник. Жертву чітко застерігають від будь-яких дій, які можуть призвести до втрати або зміни ключа «Albabat.ekey», включаючи видалення або перейменування.

У записці про викуп також міститься контактна інформація електронною поштою (albabat.help@protonmail.com), вказівка жертвам зв’язуватися лише після завершення процесу оплати. Викладено особливості платежу, такі як адреса біткойн і призначена сума (0,0015 BTC).

Підкреслюється, що відновлення доступу до зашифрованих файлів зазвичай неможливо без спеціального інструменту дешифрування, яким володіють зловмисники. Тим не менш, висловлюють рішуче занепокоєння проти сплати викупу зловмисникам, оскільки існує висока ймовірність того, що жертви стануть жертвами шахраїв, незважаючи на будь-які обіцянки зловмисників.

Важливі заходи безпеки, які слід застосовувати проти зараження програмами-вимагачами

Захист від програм-вимагачів потребує багаторівневого підходу, що включає різні заходи безпеки. Ось шість важливих заходів для захисту від програм-вимагачів:

• Регулярно створюйте резервні копії даних : регулярно створюйте резервні копії критично важливих даних в офлайновому або хмарному сховищі. У разі зараження програмою-вимагачем наявність оновлених резервних копій гарантує, що дані можна буде відновити без сплати викупу. Особливо ефективними є автоматизовані системи резервного копіювання з можливістю керування версіями.
• Навчання та підвищення обізнаності співробітників . Проводьте регулярні тренінги з кібербезпеки для співробітників, щоб пояснити їм ризики, пов’язані з фішинговими електронними листами, небезпечними посиланнями та підозрілими вкладеннями. Переконайтеся, що співробітники є обережними та пильними під час взаємодії з електронною поштою та іншим онлайн-вмістом, щоб запобігти випадковому зараженню шкідливим програмним забезпеченням.
• Використання програмного забезпечення безпеки : використовуйте надійне програмне забезпечення безпеки, включаючи рішення для захисту від зловмисного програмного забезпечення, щоб виявляти та блокувати загрози програм-вимагачів. Постійно оновлюйте ці інструменти безпеки, щоб переконатися, що вони можуть розпізнавати та пом’якшувати найновіші штами програм-вимагачів. Рішення для захисту кінцевих точок можуть додати додатковий рівень захисту.
• Сегментація мережі : запровадьте сегментацію мережі, щоб відокремити критичні системи та приватні дані від решти мережі. Це обмежує потенційне переміщення програм-вимагачів у мережі, зменшуючи вплив інфекції.
• Виправлення та оновлення систем : регулярно оновлюйте операційні системи, програмне забезпечення та програми, щоб виправити відомі вразливості. Програми-вимагачі часто використовують недоліки безпеки в застарілих системах. Автоматизовані інструменти керування виправленнями можуть допомогти спростити цей процес і гарантувати, що всі системи оновлені.
• Фільтрування електронної пошти та фільтрування вкладень : використовуйте рішення для фільтрації електронної пошти, щоб блокувати фішингові електронні листи та фільтрувати небезпечні вкладення. Багато атак програм-вимагачів ініціюються через фішингові електронні листи, і блокування таких електронних листів на шлюзі може завадити зловмисному програмному забезпеченню досягти кінцевих користувачів.

Окрім цих заходів, дуже важливо мати план реагування на інциденти. Цей проект має містити кроки для швидкого виявлення, ізоляції та пом’якшення впливу атаки програм-вимагачів. Методична перевірка плану реагування на інцидент за допомогою моделювання або навчань може допомогти забезпечити його ефективність у разі виникнення реальної загрози. Крім того, розвиток культури безпеки в організації є важливим для підтримки постійної відданості найкращим практикам кібербезпеки.

Повний текст повідомлення про викуп, наданого Albabat Ransomware:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Наскільки важливі для вас ваші файли?
Прочитайте цей документ, щоб отримати інформацію про те, що сталося та як знову відновити файли.

[+] 1 - ПРО "Albabat Ransomware" [+]
«Albabat Ransomware» — це кросплатформне програмне забезпечення-вимагач, яке шифрує різноманітні файли, важливі для КОРИСТУВАЧА, на дисках комп’ютерної пам’яті за допомогою алгоритму симетричного шифрування з ідентифікацією військового рівня.

«Програма-вимагач Albabat» автоматично створить папку під назвою «Albabat» у каталозі користувача вашого комп’ютера, але саме в: «C:\Users**\Albabat\».

РЕКОМЕНДУЄТЬСЯ створити РЕЗЕРВНУ КОПІЮ ВСЬОЇ папки «C:\Users**\Albabat\», оскільки вона містить важливі файли для відновлення ваших файлів, які будуть пояснені далі в цьому документі щодо кожного з них.

Ця папка також містить ті самі документи нотаток у: "C:\Users**\Albabat\readme\README.html".

1.1 - КЛЮЧ ДО КРИПТОГРАФІЇ
Ваші файли були зашифровані за допомогою КЛЮЧА, який зберігався у файлі "Albabat.ekey". Присутній у каталозі "C:\Users**\Albabat\". Однак цей КЛЮЧ також був ЗАШИФРОВАНО ВІДКРИТИМ КЛЮЧЕМ (асиметричне шифрування), що означає, що для його розшифровки потрібен ПРИВАТНИЙ КЛЮЧ, і лише я (tH3_CyberXY) маю ПРИВАТНИЙ КЛЮЧ для виконання цього розшифровування, щоб ви могли використовувати КЛЮЧ "Albabat.key" для відновлення ваших файлів.

Немає способу розшифрувати ваші файли без моєї служби розшифрування даних.

Неможливо розшифрувати файли без розшифровки ключа "Albabat.ekey".

Не видаляйте, не перейменовуйте, не втрачайте ключ «Albabat.ekey».

1.2 - ВАШ ПЕРСОНАЛЬНИЙ ІНТЕРФЕЙС
Так само, як і "Albabat.ekey", ПЕРСОНАЛЬНИЙ ІДЕНТИФІКАТОР важливий у процесі розшифровки ваших файлів, який використовуватиметься в дешифраторі, який буде розглянуто пізніше в розділі "ПРОЦЕС ДЕШИФРОВАННЯ".

Цей номер підтримує унікальний ідентифікатор у процесі шифрування вашої машини. Окрім інформації в цьому документі, ваш ПЕРСОНАЛЬНИЙ Ідентифікатор також буде надруковано у файлі "personal_id.txt" у "C:\Users**\Albabat\".

Не втрачайте свій ПЕРСОНАЛЬНИЙ ID, так само як ви НЕ повинні втрачати ключ "Albabat.ekey".

1.3 - ПРОЦЕС ШИФРОВАННЯ
Зашифровані файли мають розширення ".abbt".

Не намагайтеся його перейменувати, це не спрацює. Навпаки, ви можете пошкодити свої файли.

Розмір файлів, які шифрує «Albabat Ransomware», становить максимум 5 мегабайт (МБ).

Програма-вимагач Albabat випадковим чином рекурсивно перетинає всі каталоги, які не належать до операційної системи. Шифрує файли в каталозі користувача, навіть розташування баз даних і диски, змонтовані на машині, якщо такі є.

Програма-вимагач Albabat шифрує лише відповідні файли. Операційна система та двійкові файли залишаться недоторканими. Ми не вибирали це.

«Програма-вимагач Albabat» зберігає файл журналу під назвою «Albabat_Logs.log» у каталозі «C:\Users**\Albabat\». У цьому файлі можна переглянути всі файли, які були зашифровані програмою-вимагачем Albabat, у формі шляху.

[+] 2 - ЯК ЗВ'ЯЗАТИСЯ [+]
Це єдині способи зв’язатися, щоб відновити файли. Будь-яка інша форма, знайдена в Інтернеті, буде підробкою.

Способи зв'язку:

Електронна пошта:

albabat.help@protonmail.com

Копія

ПРИМІТКА: будь ласка, звертайтеся, ТІЛЬКИ якщо ви здійснили оплату. Будь-який інший тип контакту, крім цього, буде проігноровано.
[+] 3 - ОПЛАТА [+]
Процес дешифрування ОПЛАЧУЄТЬСЯ в біткойнах, тому вам потрібно мати баланс біткойнів на криптовалютній біржі або в криптовалютному гаманці, щоб зробити депозит.

Ви можете прочитати сторінку поширених запитань, щоб дізнатися, що таке біткойн.

Платіжні дані:

Bitcoin адреса:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

Копія

Сума до оплати:

0,0015 BTC

Щоб здійснити оплату та відновити ваші файли, виконайте такі дії:

(1) Запишіть дані для здійснення переказу через біткойн-адресу та СУМУ для сплати, зазначену вище.

Примітка. Пам’ятайте, що ціна біткойна може змінюватися в грошовому вираженні залежно від того, коли ви здійснюєте платіж.
(2) – Коли ви здійсните платіж на вказану вище адресу Bitcoin, надішліть електронний лист із подібною структурою:

Тема: Albabat Ransomware – я здійснив платіж!

Повідомлення: Привіт, я здійснив оплату. Моя BTC-адреса, за якою я здійснив платіж, — «xxx». Версія "Albabat Ransomware", запущена на моїй машині, була "0.3.0".

Дотримуйтеся доданого КЛЮЧА "Albabat.ekey".

ВАЖЛИВО: оплата перевірятиметься за допомогою ВАШОЇ АДРЕСИ BTC ("xxx"), на якій була здійснена транзакція, тому ВАЖЛИВО повідомте про це під час надсилання цього електронного листа.

Також ВАЖЛИВО, щоб ви надіслали КЛЮЧ «Albabat.ekey» як вкладення, незалежно від вибраного способу зв’язку. Ключ буде розшифровано для вас.

Ви отримаєте на свою електронну пошту КЛЮЧ «Albabat.key», тобто розшифрований КЛЮЧ «Albabat.ekey» та вкладений (архівований) дешифратор «decryptor.exe».

Примітка. Після оплати ви отримаєте КЛЮЧ «Albabat.key» і «decryptor.exe» протягом 24 годин, але він може відрізнятися в більшій чи меншій мірі залежно від часу моєї доступності та кількості запитів, які я отримую. Наберіться терпіння.
[+] 4 - ПРОЦЕС ДЕШИФРОВАННЯ [+]

Щоб розшифрувати файли, виконайте наведені нижче дії.

(1) Розмістіть «Albabat.key», який ви отримали електронною поштою, у каталозі «C:\Users**\Albabat\» або, якщо хочете, збережіть його в тому ж каталозі, що й «decryptor.exe».

ВАЖЛИВО: на цьому етапі дуже важливо закрити всі відкриті вікна Провідника та важкі програми, щоб запобігти збою «decryptor.exe» та/або низькій продуктивності.

А також відключіть свій АНТИВІРУС НАЗАВЖДИ, щоб він не заважав процесу дешифрування.

(2) Запустіть "decryptor.exe" і введіть ВАШ ПЕРСОНАЛЬНИЙ Ідентифікатор, потім натисніть ENTER. З’явиться сповіщення про те, що розшифровка почалася, просто натисніть «ОК».

Примітка. Якщо ви використовуєте Linux, відкрийте термінал і запустіть із командного рядка, щоб побачити процес.

Наприклад: ./decryptor

(3) Зачекайте, поки на консолі з’явиться повідомлення про завершення дешифрування. Це може зайняти деякий час залежно від кількості зашифрованих файлів і потужності вашої машини. Ви можете побачити процес розшифровки в прямому ефірі з ваших файлів, якщо у мене буде час.

(4) Після завершення дешифрування всі ваші файли буде відновлено, а файл журналу дешифрування «Albabat_Logs.log». буде створено в каталозі дешифратора.

Якщо у вас виникнуть додаткові запитання, наприклад: «Як я можу бути впевненим, що мої файли можна розшифрувати?», ви можете прочитати сторінку поширених запитань.

Авторське право (c) Albabat Ransomware, 2021–2023 рр. – усі права захищено. Підтримується: tH3_CyberXY.'

Повідомлення про викуп, яке відображається як фон робочого столу:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'