Phần mềm tống tiền Buhti
Buhti là một mối đe dọa ransomware nhắm vào cả hệ thống Windows và Linux. Khi tấn công các máy tính Windows, tải trọng Buhti Ransomware dựa trên một biến thể của LockBit 3.0 Ransomware đã bị rò rỉ trước đó, với những sửa đổi nhỏ. Tuy nhiên, khi nó được sử dụng để lây nhiễm các hệ thống Linux, Buhti Ransomware sử dụng một phiên bản sửa đổi của Babuk Ransomware bị rò rỉ.
Cách thức hoạt động của Buhti là mã hóa các tệp và thay thế tên tệp gốc của chúng bằng một chuỗi ký tự ngẫu nhiên. Ngoài ra, phần mềm tống tiền sẽ thêm ID của nạn nhân làm phần mở rộng mới cho mỗi tệp được mã hóa. Để liên lạc với các nạn nhân, Buhti để lại một ghi chú đòi tiền chuộc có tên dưới dạng tệp văn bản có tên '[victim's_ID].README.txt.'
Buhti Ransomware khóa nhiều loại tệp
Ghi chú đòi tiền chuộc cung cấp lời giải thích chi tiết cho các nạn nhân về việc mã hóa các tệp của họ bằng các thuật toán mã hóa mạnh mẽ, khiến họ hầu như không thể giải mã dữ liệu một cách độc lập. Tuy nhiên, lưu ý nói rằng nạn nhân có thể khôi phục dữ liệu của họ bằng cách trả tiền chuộc cho những kẻ tấn công như một cách để mua một chương trình chuyên biệt được gọi là 'bộ giải mã'. Các tác nhân đe dọa đảm bảo với nạn nhân của chúng rằng phần mềm giải mã này đã trải qua quá trình kiểm tra kỹ lưỡng và sẽ khôi phục dữ liệu của họ một cách hiệu quả sau khi triển khai thành công.
Để thiết lập liên lạc với tội phạm mạng, ghi chú hướng dẫn nạn nhân sử dụng trình duyệt Web và điều hướng đến một trang web cụ thể. Khi đó, họ được nhắc nhập địa chỉ email hợp lệ để nhận liên kết tải xuống sau khi hoàn tất quy trình thanh toán. Khoản thanh toán, như được quy định trong ghi chú, phải được thực hiện bằng Bitcoin và được chuyển đến một địa chỉ Bitcoin được cung cấp.
Sau khi hoàn tất thanh toán, nạn nhân sẽ nhận được email bao gồm liên kết đến trang tải xuống. Trang này bao gồm các hướng dẫn toàn diện về cách tiến hành quá trình giải mã. Lưu ý về tiền chuộc nhấn mạnh mạnh mẽ những rủi ro tiềm ẩn liên quan đến việc cố gắng sửa đổi hoặc khôi phục các tệp một cách độc lập, vì nó tuyên bố những hành động như vậy sẽ không dẫn đến việc khôi phục thành công.
Ngoài việc mã hóa các tệp, Buhti còn có khả năng nhận các hướng dẫn dòng lệnh chỉ định các thư mục đích cụ thể trong hệ thống tệp. Hơn nữa, nó sử dụng một công cụ lọc chủ yếu tập trung vào việc đánh cắp một số loại tệp nhất định, bao gồm aiff, aspx, docx, epub, json, mpeg, pdf, php, png, ppt, pptx, psd, rar, raw, rtf, sql, svg , swf, tar, txt, wav, wma, wmv, xls, xlsx, xml, yaml và yml.
Người dùng và tổ chức cần bảo vệ dữ liệu của họ khỏi nhiễm ransomware
Để bảo vệ dữ liệu và thiết bị của họ khỏi bị lây nhiễm mã độc tống tiền, người dùng cũng như các tổ chức có thể áp dụng nhiều biện pháp chủ động khác nhau. Đầu tiên và quan trọng nhất, việc duy trì một chiến lược sao lưu mạnh mẽ là rất quan trọng. Thường xuyên sao lưu các tệp cần thiết và lưu trữ chúng ngoại tuyến hoặc trong một dịch vụ lưu trữ đám mây an toàn để đảm bảo rằng ngay cả khi các tệp gốc bị mã hóa bởi phần mềm tống tiền, người dùng vẫn có thể khôi phục chúng từ một bản sao lưu sạch.
Một bước cơ bản khác là luôn cập nhật tất cả phần mềm và hệ điều hành. Áp dụng các bản cập nhật và bản vá bảo mật kịp thời giúp bảo vệ chống lại các lỗ hổng đã biết mà phần mềm tống tiền có thể khai thác. Điều này không chỉ bao gồm hệ điều hành mà còn cả các ứng dụng, plugin và phần mềm chống vi-rút.
Sử dụng phần mềm chống phần mềm độc hại chuyên nghiệp sẽ bổ sung thêm một lớp bảo vệ. Các giải pháp bảo mật này có thể phát hiện và chặn các chủng mã độc tống tiền đã biết và các hoạt động không an toàn, cung cấp khả năng bảo vệ theo thời gian thực trước các mối đe dọa tiềm ẩn.
Triển khai mật khẩu mạnh và duy nhất cho tất cả các tài khoản và bật xác thực đa yếu tố (MFA) nếu có thể giúp giảm thiểu rủi ro truy cập trái phép vào thiết bị và thông tin nhạy cảm. Thường xuyên thay đổi mật khẩu và tránh sử dụng lại mật khẩu trên nhiều tài khoản là những phương pháp quan trọng cần tuân theo.
Tự học về các kỹ thuật lừa đảo và chiến thuật kỹ thuật xã hội giúp người dùng nhận biết và tránh các phương thức phân phối ransomware tiềm ẩn. Thận trọng với các yêu cầu bất ngờ hoặc tự nguyện về thông tin cá nhân, chi tiết tài chính hoặc thông tin xác thực đăng nhập có thể giúp tránh trở thành nạn nhân của các nỗ lực lừa đảo.
Cuối cùng, việc duy trì cách tiếp cận chủ động và thận trọng đối với an ninh mạng là điều cần thiết. Luôn cập nhật thông tin về các mối đe dọa mã độc tống tiền mới nhất, các biện pháp bảo mật tốt nhất và các xu hướng mới nổi có thể giúp người dùng điều chỉnh hệ thống phòng thủ của họ cho phù hợp và ứng phó hiệu quả với các rủi ro tiềm ẩn.
Nhìn chung, việc bảo vệ dữ liệu và thiết bị khỏi bị lây nhiễm mã độc tống tiền đòi hỏi sự kết hợp của các biện pháp phòng ngừa, nâng cao nhận thức và sự siêng năng liên tục để luôn đi trước một bước trước các mối đe dọa đang gia tăng.
Thông báo đòi tiền chuộc mà Buhti Ransomware để lại cho các nạn nhân của nó là:
'------------ [ Chào mừng đến với buhtiRansom ] ------------->
Chuyện gì đã xảy ra?
Các tập tin của bạn được mã hóa. Chúng tôi sử dụng thuật toán mã hóa mạnh nên bạn không thể giải mã dữ liệu của mình.
Nhưng bạn có thể khôi phục mọi thứ bằng cách mua một chương trình đặc biệt từ chúng tôi - bộ giải mã vạn năng. Chương trình này sẽ khôi phục tất cả các tập tin của bạn.
Làm theo hướng dẫn của chúng tôi dưới đây và bạn sẽ khôi phục tất cả dữ liệu của mình.Những gì đảm bảo?
Chúng tôi coi trọng danh tiếng của chúng tôi. Nếu chúng tôi không làm công việc và trách nhiệm của mình, sẽ không ai trả tiền cho chúng tôi. Đây không phải là lợi ích của chúng tôi.
Tất cả phần mềm giải mã của chúng tôi đều được kiểm tra hoàn hảo và sẽ giải mã dữ liệu của bạn.Làm thế nào để có được quyền truy cập?
Sử dụng trình duyệt:
Mở trang web: hxxps://satoshidisk.com/pay/CIGsph
Nhập email hợp lệ để nhận link tải sau khi thanh toán.
Thanh toán số tiền đến địa chỉ Bitcoin.
Nhận liên kết email đến trang tải xuống.
Hướng dẫn giải mã bao gồm.!!! SỰ NGUY HIỂM !!!
KHÔNG SỬA ĐỔI hoặc cố gắng tự KHÔI PHỤC bất kỳ tệp nào. Nó SẼ KHÔNG THỂ KHÔI PHỤC ĐƯỢC.
!!! SỰ NGUY HIỂM !!!'
