Albabat 勒索軟體
Albabat 是一種特定類型的惡意軟體,因其特徵行為而被歸類為勒索軟體。這種威脅軟體透過加密受感染系統上的檔案來運作。作為加密過程的一部分,Albatat 將「.abbt」副檔名附加到原始檔案名,從而更改檔案格式。此外,Albatat 透過修改桌面壁紙對受感染的系統表現出進一步的視覺影響。為了與受害者通訊並提出贖金要求,惡意軟體會產生一個「README.html」文件,作為勒索資訊。
例如,Albatat 對加密檔案套用的重新命名模式遵循一致的格式。例如,最初名為“1.png”的檔案將轉換為“1.png.abbt”,類似地,“2.jpg”將轉換為“2.jpg.abbt”,依此類推。這種重命名約定是 Albabat 檔案加密過程的一個獨特標誌,它可以作為影響受感染檔案的勒索軟體類型的識別碼。
Albabat 勒索軟體可以鎖定多種檔案類型以索取贖金
Albabat 的桌面桌布顯示一則訊息,提醒受害者某些文件已加密,並引導他們在「README.html」文件中尋找更多資訊。該檔案具體位於「Albabat」資料夾中,該資料夾位於使用者電腦的根目錄中。
對於 Windows 用戶,路徑為 %USERPROFILE%\Albabat\readme\README.html,Linux 用戶則指示在 $HOME/Albabat/readme/README.html 中找到它。在該文件中,強調了一個關鍵細節——加密檔案的解密需要攻擊者專有的私鑰。明確警告受害者不要採取任何可能導致「Albabat.ekey」金鑰遺失或更改的行為,包括刪除或重新命名。
勒索信也透過電子郵件提供了聯絡資訊(albabat.help@protonmail.com),指示受害者只有在完成付款流程後才能聯繫。概述了有關付款的具體信息,例如比特幣地址和指定金額(0.0015 BTC)。
需要強調的是,如果攻擊者沒有擁有特定的解密工具,通常無法重新取得加密檔案的存取權。儘管如此,我們強烈反對向攻擊者支付贖金,因為儘管犯罪者做出了任何承諾,但受害者很可能成為詐騙的受害者。
應對勒索軟體感染的重要安全措施
防範勒索軟體感染需要採用涉及各種安全措施的多層方法。以下是幫助防範勒索軟體的六項重要措施:
- 定期備份資料:定期將關鍵資料備份到離線或基於雲端的儲存解決方案。如果發生勒索軟體感染,更新備份可確保無需支付贖金即可恢復資料。具有版本控制功能的自動備份系統特別有效。
- 員工培訓和意識:定期為員工進行網路安全確認培訓,教育他們有關網路釣魚電子郵件、不安全連結和可疑附件的風險。確保員工在與電子郵件和其他線上內容互動時保持謹慎和警惕,以防止無意中的惡意軟體感染。
- 使用安全軟體:採用強大的安全軟體(包括反惡意軟體解決方案)來偵測和阻止勒索軟體威脅。保持這些安全工具更新,以確保它們能夠識別並緩解最新的勒索軟體。端點保護解決方案可以增加額外的防禦層。
- 網路分段:實施網路分段,將關鍵系統和私有資料與網路的其餘部分隔離。這限制了勒索軟體在網路內潛在的橫向移動,從而減少了感染的影響。
- 修補程式和更新系統:定期更新作業系統、軟體和應用程式以修補已知漏洞。勒索軟體經常利用過時系統中的安全漏洞。自動化修補程式管理工具可以幫助簡化此流程並確保所有系統都是最新的。
- 電子郵件過濾和過濾附件:使用電子郵件過濾解決方案來阻止網路釣魚電子郵件並過濾掉不安全的附件。許多勒索軟體攻擊是透過網路釣魚電子郵件發起的,在網關處阻止此類電子郵件可以防止惡意軟體到達最終用戶。
除了這些措施之外,制定事件回應計畫也至關重要。該項目應包括快速識別、隔離和減輕勒索軟體攻擊影響的步驟。透過模擬或演習對事件回應計畫進行有條理的測試可以幫助確保其在真正威脅出現時的有效性。此外,在組織內培養安全意識文化對於維持對網路安全最佳實踐的持續承諾至關重要。
Albabat 勒索軟體提供的勒索字條全文如下:
'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:Copy
::> 您的文件對您來說有多重要?
請閱讀本文檔,以了解發生的情況以及如何再次恢復文件的資訊。[+] 1 - 關於「Albabat 勒索軟體」[+]
「Albabat勒索軟體」是一種跨平台勒索軟體,它使用具有軍用級標識的對稱加密演算法對電腦儲存磁碟上對用戶重要的各種檔案進行加密。「Albabat 勒索軟體」會自動在您電腦的使用者目錄中建立一個名為「Albabat」的資料夾,但恰好位於:「C:\Users**\Albabat\」。
建議備份整個「C:\Users**\Albabat\」資料夾,因為它包含用於還原文件的重要文件,本文檔稍後將對此進行解釋。
此資料夾還包含這些相同的註解文檔,位於:「C:\Users**\Albabat\readme\README.html」。
1.1 - 密碼學的關鍵
您的檔案已使用儲存在檔案「Albabat.ekey」中的金鑰進行加密。存在於「C:\Users**\Albabat\」目錄中。然而,這個KEY也是用PUBLIC KEY(非對稱加密)加密的,這意味著它需要PRIVATE KEY才能解密,並且只有我(tH3_CyberXY)擁有PRIVATE KEY來執行此解密,這樣您就可以使用該KEY “Albabat.key”用於恢復您的檔案。如果沒有我的資料解密服務,就無法解密您的檔案。
如果不解密「Albabat.ekey」金鑰,就無法解密檔案。
不要刪除,不要重命名,不要遺失“Albabat.ekey”密鑰。
1.2 - 您的個人 ID
就像「Albabat.ekey」一樣,個人 ID 在解密檔案的過程中很重要,它將在解密器中使用,這將在稍後的「解密過程」部分中討論。該號碼在您電腦的加密過程中保持唯一的身份。除了在本文檔中告知外,您的個人 ID 還將列印在「C:\Users**\Albabat\」中的「personal_id.txt」檔案中。
不要遺失您的個人 ID,就像您不應遺失「Albabat.ekey」金鑰一樣。
1.3 - 加密過程
加密檔案的副檔名為「.abbt」。不要嘗試重命名它,它不會起作用。相反,您可能會損壞您的文件。
「Albabat Ransomware」加密的檔案大小最大為 5 兆位元組 (MB)。
「Albabat勒索軟體」會隨機遞歸地遍歷所有不屬於作業系統運作的目錄。加密使用者目錄中的文件,甚至電腦上安裝的資料庫位置和磁碟機(如果有)。
「Albabat 勒索軟體」僅加密相關文件。作業系統和二進位檔案將完好無損。我們沒有選擇那樣。
「Albabat勒索軟體」在「C:\Users**\Albabat\」目錄中儲存名為「Albabat_Logs.log」的日誌檔案。在這個檔案中你可以看到所有被「Albabat Ransomware」以路徑形式加密的檔案。
[+] 2 - 如何聯絡 [+]
這些是聯繫以恢復文件的唯一方法。在網路上找到的任何其他形式都是假的。聯絡方式:
電子郵件:
albabat.help@protonmail.com
複製
注意:僅當您已付款後才請聯絡。除此性質之外的任何其他類型的聯繫都將被忽略。
[+] 3 - 付款 [+]
解密過程是用比特幣支付的,因此您需要在加密貨幣交易所或加密貨幣錢包中擁有比特幣餘額才能進行存款。您可能想閱讀常見問題頁面以了解比特幣是什麼。
付款數據:
比特幣地址:
bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj
複製
支付數量:
0,0015 比特幣
要付款並恢復文件,請按照以下步驟操作 -
(1) 寫下透過比特幣地址進行轉帳的資料以及上面指定的支付金額。
注意:請記住,比特幣的價格可能會根據您付款的時間而有所不同。
(2) - 一旦您向上述比特幣地址付款,請發送一封結構類似於以下的電子郵件:主題:Albat 勒索軟體 - 我已付款!
留言:您好,我已付款。我付款的BTC地址是「xxx」。我的機器上運行的“Albabat Ransomware”的版本是“0.3.0”。
按照隨附的 KEY“Albabat.ekey”操作。
重要提示:付款將使用您進行交易的 BTC 地址(「xxx」)進行驗證,因此發送此電子郵件時請務必告知。
同樣重要的是,無論您選擇哪種聯絡方式,都必須將金鑰「Albabat.ekey」作為附件發送。密鑰將為您解密。
您將在電子郵件中收到 KEY“Albabat.key”,即解密後的 KEY“Albabat.ekey”,並附加(壓縮)解密器“decryptor.exe”。
注意:付款後,您將在 24 小時內收到 KEY“Albabat.key”和“decryptor.exe”,但根據我的可用時間和收到的需求量,可能會有或多或少的變化。要有耐心。
[+] 4 - 解密過程 [+]若要解密您的文件,請按照下列步驟操作:
(1) 將您透過電子郵件收到的“Albabat.key”放置在“C:\Users**\Albabat\”目錄中,或者,如果您願意,也可以將其保存在與“decryptor.exe”相同的目錄中。
重要提示:此時,關閉所有開啟的資源管理器視窗和大型程式非常重要,以防止「decryptor.exe」崩潰和/或效能不佳。
並且永久停用您的防毒軟體,這樣它就不會幹擾解密過程。
(2) 執行「decryptor.exe」並輸入您的個人 ID,然後按 ENTER。將出現一條警報訊息,通知您解密已開始,只需按一下「確定」即可。
注意:如果您使用的是 Linux,請打開終端機並從命令列運行以查看該進程。
例如:./解密器
(3) 等待控制台顯示解密完成訊息,這可能需要一段時間,具體取決於已加密檔案的數量和您機器的功率。如果我有時間的話,您可以從我的文件中看到解密過程。
(4)解密完成後,您的所有檔案將會恢復,解密日誌檔案「Albabat_Logs.log」。將在解密器目錄中建立。
如果您還有其他問題,例如:“我如何確定我的文件可以解密?”,您可以閱讀常見問題解答頁面。
版權所有 (c) 2021-2023 Albabat 勒索軟體 - 保留所有權利。維護者:tH3_CyberXY。
顯示為桌面背景的勒索訊息是:
'Albabat RANSOMWARE
Several of your files have been encrypted!
To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:
Windows: %USERPROFILE% \ Albabat \ readme \ README.html
Linux: $HOME / Albabat / readme / README.html'
