Albabat Ransomware

Albabat là một loại phần mềm độc hại cụ thể được phân loại là ransomware do hành vi đặc trưng của nó. Phần mềm đe dọa này hoạt động bằng cách mã hóa các tập tin trên hệ thống bị nhiễm. Là một phần của quá trình mã hóa, Albabat gắn phần mở rộng '.abbt' vào tên tệp gốc, do đó thay đổi định dạng tệp. Ngoài ra, Albabat thể hiện tác động trực quan hơn nữa lên hệ thống bị nhiễm bằng cách sửa đổi hình nền máy tính. Để liên lạc với nạn nhân và đưa ra yêu cầu tiền chuộc, phần mềm độc hại tạo ra tệp 'README.html', đóng vai trò như một thông báo đòi tiền chuộc.

Ví dụ: kiểu đổi tên được Albabat áp dụng cho các tệp được mã hóa tuân theo một định dạng nhất quán. Ví dụ: một tệp có tên ban đầu là '1.png' sẽ được chuyển đổi thành '1.png.abbt' và tương tự, '2.jpg' sẽ trở thành '2.jpg.abbt', v.v. Quy ước đổi tên này là một dấu hiệu đặc biệt trong quy trình mã hóa tệp của Albabat và nó đóng vai trò như một mã định danh cho loại phần mềm ransomware ảnh hưởng đến các tệp bị xâm nhập.

Mã độc tống tiền Albabat có thể khóa nhiều loại tệp để yêu cầu tiền chuộc

Hình nền máy tính của Albabat hiển thị thông báo cảnh báo nạn nhân về việc mã hóa một số tệp của họ và hướng dẫn họ tìm kiếm thêm thông tin trong tệp 'README.html'. Tệp này nằm cụ thể trong thư mục 'Albabat', nằm trong thư mục gốc của người dùng trên máy tính của họ.

Đối với người dùng Windows, đường dẫn là %USERPROFILE%\Albabat\readme\README.html và người dùng Linux được hướng dẫn tìm nó tại $HOME/Albabat/readme/README.html. Trong tệp này, một chi tiết quan trọng được nhấn mạnh—việc giải mã các tệp được mã hóa yêu cầu khóa riêng do kẻ tấn công nắm giữ độc quyền. Nạn nhân được cảnh báo rõ ràng về bất kỳ hành động nào có thể dẫn đến mất hoặc thay đổi khóa 'Albabat.ekey', bao gồm cả việc xóa hoặc đổi tên.

Thông báo đòi tiền chuộc còn cung cấp thêm thông tin liên hệ qua email (albabat.help@protonmail.com), hướng dẫn nạn nhân chỉ liên hệ sau khi hoàn tất quy trình thanh toán. Thông tin cụ thể về khoản thanh toán, chẳng hạn như địa chỉ Bitcoin và số tiền được chỉ định (0,0015 BTC), sẽ được nêu rõ.

Cần nhấn mạnh rằng việc lấy lại quyền truy cập vào các tệp được mã hóa thường không thể đạt được nếu không có công cụ giải mã cụ thể mà kẻ tấn công sở hữu. Tuy nhiên, người ta bày tỏ sự phản đối mạnh mẽ đối với việc trả tiền chuộc cho những kẻ tấn công, vì rất có khả năng nạn nhân trở thành nạn nhân của các vụ lừa đảo bất chấp mọi lời hứa của thủ phạm.

Các biện pháp bảo mật quan trọng được sử dụng để chống lại sự lây nhiễm ransomware

Việc bảo vệ khỏi lây nhiễm ransomware đòi hỏi một cách tiếp cận nhiều lớp bao gồm nhiều biện pháp bảo mật khác nhau. Dưới đây là sáu biện pháp quan trọng giúp bảo vệ chống lại ransomware:

• Sao lưu dữ liệu của bạn thường xuyên : Thường xuyên sao lưu dữ liệu quan trọng vào giải pháp lưu trữ ngoại tuyến hoặc dựa trên đám mây. Trong trường hợp bị nhiễm ransomware, việc cập nhật các bản sao lưu đảm bảo rằng dữ liệu có thể được khôi phục mà không phải trả tiền chuộc. Hệ thống sao lưu tự động có khả năng lập phiên bản đặc biệt hiệu quả.
• Đào tạo và nâng cao nhận thức cho nhân viên : Tiến hành đào tạo thường xuyên về nhận thức về an ninh mạng cho nhân viên để giáo dục họ về những rủi ro liên quan đến email lừa đảo, liên kết không an toàn và tệp đính kèm đáng ngờ. Đảm bảo rằng nhân viên thận trọng và cảnh giác khi tương tác với email và nội dung trực tuyến khác để ngăn chặn việc vô tình lây nhiễm phần mềm độc hại.
• Sử dụng Phần mềm Bảo mật : Sử dụng phần mềm bảo mật mạnh mẽ, bao gồm các giải pháp chống phần mềm độc hại, để phát hiện và ngăn chặn các mối đe dọa từ ransomware. Luôn cập nhật các công cụ bảo mật này để đảm bảo chúng có thể nhận biết và giảm thiểu các chủng phần mềm tống tiền mới nhất. Các giải pháp bảo vệ điểm cuối có thể bổ sung thêm một lớp phòng thủ.
• Phân đoạn mạng : Triển khai phân đoạn mạng để tách biệt các hệ thống quan trọng và dữ liệu riêng tư khỏi phần còn lại của mạng. Điều này hạn chế khả năng di chuyển ngang của ransomware trong mạng, giảm tác động của việc lây nhiễm.
• Hệ thống vá lỗi và cập nhật : Thường xuyên cập nhật hệ điều hành, phần mềm và ứng dụng để vá các lỗ hổng đã biết. Ransomware thường khai thác các lỗ hổng bảo mật trong các hệ thống lỗi thời. Các công cụ quản lý bản vá tự động có thể giúp hợp lý hóa quy trình này và đảm bảo rằng tất cả các hệ thống đều được cập nhật.
• Lọc email và lọc tệp đính kèm : Sử dụng giải pháp lọc email để chặn email lừa đảo và lọc ra các tệp đính kèm không an toàn. Nhiều cuộc tấn công ransomware được bắt đầu thông qua email lừa đảo và việc chặn những email như vậy tại cổng có thể ngăn phần mềm độc hại tiếp cận người dùng cuối.

Ngoài các biện pháp này, điều quan trọng là phải có kế hoạch ứng phó sự cố. Dự án này nên bao gồm các bước để nhanh chóng xác định, cách ly và giảm thiểu tác động của cuộc tấn công bằng ransomware. Việc kiểm tra một cách có phương pháp kế hoạch ứng phó sự cố thông qua mô phỏng hoặc diễn tập có thể giúp đảm bảo tính hiệu quả của kế hoạch này khi có mối đe dọa thực sự xuất hiện. Ngoài ra, việc thúc đẩy văn hóa có ý thức bảo mật trong tổ chức là điều cần thiết để duy trì cam kết liên tục đối với các biện pháp thực hành tốt nhất về an ninh mạng.

Toàn văn thông báo đòi tiền chuộc do Albabat Ransomware trình bày là:

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Các tập tin của bạn quan trọng như thế nào đối với bạn?
Đọc tài liệu này để biết thông tin về những gì đã xảy ra và cách khôi phục lại các tệp của bạn.

[+] 1 - GIỚI THIỆU "Albabat Ransomware" [+]
"Albabat Ransomware" là một ransomware đa nền tảng mã hóa nhiều tệp khác nhau quan trọng đối với NGƯỜI DÙNG trên đĩa lưu trữ máy tính bằng thuật toán mã hóa đối xứng với nhận dạng cấp quân sự.

"Albabat Ransomware" sẽ tự động tạo một thư mục có tên "Albabat" trong thư mục người dùng trên máy của bạn, nhưng chính xác là: "C:\Users**\Albabat\".

NÊN NÊN sao lưu TOÀN BỘ thư mục "C:\Users**\Albabat\" vì nó chứa các tệp quan trọng để khôi phục các tệp của bạn, điều này sẽ được giải thích sau trong tài liệu này về từng tệp.

Thư mục này cũng chứa các tài liệu ghi chú tương tự, trong: "C:\Users**\Albabat\readme\README.html".

1.1 - CHÌA KHÓA MẬT LIỆU
Các tệp của bạn đã được mã hóa bằng KEY được lưu trữ trong tệp "Albabat.ekey". Có mặt trong thư mục "C:\Users**\Albabat\". Tuy nhiên, KEY này cũng được MÃ HÓA bằng PUBLIC KEY (mã hóa bất đối xứng), nghĩa là nó cần có KHÓA RIÊNG để giải mã và chỉ mình (tH3_CyberXY) mới có KHÓA RIÊNG để thực hiện việc giải mã này nên các bạn mới có thể sử dụng KEY "Albabat.key" trong việc khôi phục các tập tin của bạn.

Không có cách nào để giải mã các tập tin của bạn nếu không có dịch vụ giải mã dữ liệu của tôi.

Không có cách nào để giải mã các tập tin mà không giải mã khóa "Albabat.ekey".

Không xóa, không đổi tên, không làm mất key "Albabat.ekey".

1.2 - ID CÁ NHÂN CỦA BẠN
Cũng giống như "Albabat.ekey", ID CÁ NHÂN rất quan trọng trong quá trình giải mã các tệp của bạn, ID này sẽ được sử dụng trong bộ giải mã, điều này sẽ được thảo luận sau trong phần "QUY TRÌNH GIẢI MÃ".

Số này duy trì danh tính duy nhất trong quá trình mã hóa máy của bạn. Ngoài việc được thông báo trong tài liệu này, ID CÁ NHÂN của bạn cũng sẽ được in trong tệp "personal_id.txt" trong "C:\Users**\Albabat\".

Đừng làm mất ID CÁ NHÂN của bạn, cũng như bạn KHÔNG được làm mất chìa khóa "Albabat.ekey".

1.3 - QUY TRÌNH MÃ HÓA
Các tệp được mã hóa có phần mở rộng ".abbt".

Đừng cố đổi tên nó, nó sẽ không hoạt động. Ngược lại, bạn có thể làm hỏng tập tin của mình.

Kích thước của các tệp mà "Albabat Ransomware" mã hóa tối đa là 5 Megabyte (MB).

"Albabat Ransomware" ngẫu nhiên duyệt qua tất cả các thư mục mà nó không thuộc về hoạt động của Hệ điều hành. Mã hóa các tập tin trong thư mục người dùng, thậm chí cả vị trí cơ sở dữ liệu và ổ đĩa được gắn trên máy nếu có.

"Albabat Ransomware" chỉ mã hóa các tệp có liên quan. Hệ điều hành và các tệp nhị phân sẽ còn nguyên vẹn. Chúng tôi đã không chọn điều đó.

"Albabat Ransomware" lưu tệp nhật ký có tên "Albabat_Logs.log" trong thư mục "C:\Users**\Albabat\". Tệp này bạn có thể xem tất cả các tệp đã được mã hóa bởi "Albabat Ransomware" ở dạng đường dẫn.

[+] 2 - CÁCH LIÊN HỆ [+]
Đây là những cách duy nhất để liên lạc để khôi phục các tập tin của bạn. Bất kỳ hình thức nào khác được tìm thấy trên internet sẽ là giả mạo.

Phương thức liên hệ:

E-mail:

albabat.help@protonmail.com

Sao chép

LƯU Ý: Vui lòng CHỈ liên hệ nếu bạn đã thanh toán. Bất kỳ loại liên hệ nào khác ngoài tính chất này sẽ bị bỏ qua.
[+] 3 - THANH TOÁN [+]
Quá trình giải mã được TRẢ TIỀN bằng Bitcoin, vì vậy bạn cần có số dư Bitcoin trên sàn giao dịch tiền điện tử hoặc trong ví tiền điện tử để thực hiện gửi tiền.

Bạn có thể muốn đọc trang Câu hỏi thường gặp để biết Bitcoin là gì.

Dữ liệu thanh toán:

Địa chỉ Bitcoin:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

Sao chép

Số tiền phải trả:

0,0015 BTC

Để thanh toán và khôi phục tệp của bạn, hãy làm theo các bước sau -

(1) Ghi lại dữ liệu để thực hiện chuyển khoản qua địa chỉ Bitcoin và SỐ TIỀN cần thanh toán được chỉ định ở trên.

Lưu ý: Hãy nhớ rằng giá Bitcoin có thể thay đổi về mặt tiền tệ tùy thuộc vào thời điểm bạn thực hiện thanh toán.
(2) - Sau khi bạn thực hiện thanh toán đến địa chỉ Bitcoin ở trên, hãy gửi email có cấu trúc tương tự như sau:

Chủ đề: Mã độc tống tiền Albabat - Tôi đã thanh toán!

Tin nhắn: Xin chào, tôi đã thanh toán. Địa chỉ BTC của tôi nơi tôi thực hiện thanh toán là "xxx". Phiên bản "Albabat Ransomware" chạy trên máy của tôi là "0.3.0".

Thực hiện theo KEY đính kèm "Albabat.ekey".

QUAN TRỌNG: Thanh toán sẽ được xác minh bằng ĐỊA CHỈ BTC CỦA BẠN ("xxx") nơi giao dịch được thực hiện, vì vậy, điều QUAN TRỌNG là phải thông báo khi gửi email này.

Điều QUAN TRỌNG là bạn gửi KEY "Albabat.ekey" dưới dạng tệp đính kèm, bất kể phương thức liên hệ bạn đã chọn. Chìa khóa sẽ được giải mã cho bạn.

Bạn sẽ nhận được trong email của mình KEY "Albabat.key", tức là KEY "Albabat.ekey" đã được giải mã và bộ giải mã "decryptor.exe" được đính kèm (đã nén).

Lưu ý: Sau khi thanh toán, bạn sẽ nhận được KEY "Albabat.key" và "decryptor.exe" trong vòng 24 giờ, nhưng nó có thể thay đổi nhiều hay ít tùy thuộc vào thời gian có sẵn và số lượng yêu cầu tôi nhận được. Kiên nhẫn.
[+] 4 - QUY TRÌNH GIẢI MÃ [+]

Để giải mã các tập tin của bạn, hãy làm theo các bước dưới đây:

(1) Đặt "Albabat.key" mà bạn nhận được qua email vào trong thư mục "C:\Users**\Albabat\" hoặc, nếu bạn muốn, hãy giữ nó trong cùng thư mục với "decryptor.exe".

QUAN TRỌNG: Tại thời điểm này, điều quan trọng là bạn phải đóng tất cả các cửa sổ Explorer đang mở và các chương trình nặng để ngăn "decryptor.exe" gặp sự cố và/hoặc có hiệu suất kém.

Và cũng có thể vô hiệu hóa ANTIVIRUS VĨNH VIỄN của bạn để nó không can thiệp vào quá trình giải mã.

(2) Chạy "decryptor.exe" và nhập ID CÁ NHÂN CỦA BẠN, sau đó nhấn ENTER. Một thông báo cảnh báo sẽ xuất hiện cho bạn biết rằng quá trình giải mã đã bắt đầu, chỉ cần nhấp vào Ok.

Lưu ý: Nếu bạn đang dùng Linux, hãy mở terminal và chạy từ dòng lệnh để xem quy trình.

Ví dụ: ./decryptor

(3) Đợi thông báo hoàn tất giải mã được hiển thị trong bảng điều khiển, quá trình này có thể mất một lúc tùy thuộc vào số lượng tệp đã được mã hóa và sức mạnh của máy của bạn. Bạn có thể xem quá trình giải mã của tôi trực tiếp từ các tệp của bạn, nếu tôi có thời gian.

(4) Sau khi quá trình giải mã hoàn tất, tất cả các tệp của bạn sẽ được khôi phục và tệp nhật ký giải mã "Albabat_Logs.log". sẽ được tạo trong thư mục giải mã.

Nếu bạn có thêm câu hỏi, chẳng hạn như: "Làm cách nào để chắc chắn rằng các tập tin của tôi có thể được giải mã?", bạn có thể đọc trang Câu hỏi thường gặp.

Bản quyền (c) 2021-2023 Phần mềm tống tiền Albabat - All Right Reserved. Được duy trì bởi: tH3_CyberXY.'

Thông báo đòi tiền chuộc hiển thị dưới dạng nền màn hình là:

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'