Albabat Ransomware
Albabat es un tipo específico de malware categorizado como ransomware debido a su comportamiento característico. Este software amenazante funciona cifrando archivos en un sistema infectado. Como parte de su proceso de cifrado, Albabat añade la extensión '.abbt' a los nombres de archivos originales, alterando así el formato del archivo. Además, Albabat muestra un mayor impacto visual en el sistema infectado al modificar el fondo de pantalla del escritorio. Para comunicarse con la víctima y solicitar un rescate, el malware genera un archivo 'README.html', que sirve como nota de rescate.
Por ejemplo, el patrón de cambio de nombre aplicado por Albabat a los archivos cifrados sigue un formato coherente. Por ejemplo, un archivo inicialmente llamado '1.png' se transformaría en '1.png.abbt' y, de manera similar, '2.jpg' se convertiría en '2.jpg.abbt', y así sucesivamente. Esta convención de cambio de nombre es un sello distintivo del proceso de cifrado de archivos de Albabat y sirve como identificador del tipo de ransomware que afecta a los archivos comprometidos.
El ransomware Albabat puede bloquear una amplia gama de tipos de archivos para exigir un rescate
El fondo de pantalla de Albabat muestra un mensaje que alerta a la víctima sobre el cifrado de algunos de sus archivos y la guía para buscar más información en el archivo 'README.html'. Este archivo se encuentra específicamente dentro de la carpeta 'Albabat', situada en el directorio raíz de los usuarios en sus ordenadores.
Para los usuarios de Windows, la ruta es %USERPROFILE%\Albabat\readme\README.html y los usuarios de Linux deben encontrarla en $HOME/Albabat/readme/README.html. Dentro de este archivo, se enfatiza un detalle crucial: el descifrado de los archivos cifrados requiere una clave privada en poder exclusivo del atacante. Se advierte explícitamente a la víctima contra cualquier acción que pueda resultar en la pérdida o alteración de la clave 'Albabat.ekey', incluida la eliminación o el cambio de nombre.
La nota de rescate proporciona además información de contacto por correo electrónico (albabat.help@protonmail.com), e indica a las víctimas que se comuniquen solo después de completar el proceso de pago. Se describen los detalles sobre el pago, como una dirección de Bitcoin y la cantidad designada (0,0015 BTC).
Se destaca que recuperar el acceso a los archivos cifrados suele ser imposible sin la herramienta de descifrado específica que poseen los atacantes. Sin embargo, se expresa un fuerte desaliento contra el pago de rescates a los atacantes, ya que existe una alta probabilidad de que las víctimas caigan víctimas de estafas a pesar de las promesas hechas por los perpetradores.
Medidas de seguridad importantes que se deben utilizar contra las infecciones de ransomware
La protección contra infecciones de ransomware requiere un enfoque de varios niveles que implica varias medidas de seguridad. Aquí hay seis medidas importantes para ayudar a protegerse contra el ransomware:
- Haga una copia de seguridad de sus datos con regularidad : haga una copia de seguridad de los datos críticos con regularidad en una solución de almacenamiento fuera de línea o basada en la nube. En caso de una infección de ransomware, tener copias de seguridad actualizadas garantiza que los datos se puedan restaurar sin pagar el rescate. Los sistemas de respaldo automatizados con capacidades de control de versiones son particularmente efectivos.
- Capacitación y concientización de los empleados : lleve a cabo capacitaciones periódicas sobre reconocimiento de ciberseguridad para los empleados para educarlos sobre los riesgos asociados con los correos electrónicos de phishing, enlaces inseguros y archivos adjuntos sospechosos. Asegúrese de que los empleados sean cautelosos y estén atentos al interactuar con correos electrónicos y otros contenidos en línea para evitar infecciones de malware inadvertidas.
- Uso de software de seguridad : emplee software de seguridad sólido, incluidas soluciones antimalware, para detectar y bloquear amenazas de ransomware. Mantenga estas herramientas de seguridad actualizadas para garantizar que puedan reconocer y mitigar las últimas cepas de ransomware. Las soluciones de protección de endpoints pueden agregar una capa adicional de defensa.
- Segmentación de red : implemente la segmentación de red para segregar sistemas críticos y datos privados del resto de la red. Esto limita el posible movimiento lateral del ransomware dentro de la red, reduciendo el impacto de una infección.
- Parchear y actualizar sistemas : actualice periódicamente los sistemas operativos, el software y las aplicaciones para parchear las vulnerabilidades conocidas. El ransomware suele aprovechar los fallos de seguridad de los sistemas obsoletos. Las herramientas automatizadas de gestión de parches pueden ayudar a agilizar este proceso y garantizar que todos los sistemas estén actualizados.
- Filtrado de correo electrónico y filtrado de archivos adjuntos : utilice soluciones de filtrado de correo electrónico para bloquear correos electrónicos de phishing y filtrar archivos adjuntos no seguros. Muchos ataques de ransomware se inician a través de correos electrónicos de phishing y bloquear dichos correos electrónicos en la puerta de enlace puede evitar que el malware llegue a los usuarios finales.
Además de estas medidas, es fundamental contar con un plan de respuesta a incidentes. Este proyecto debe incluir pasos para identificar, aislar y mitigar rápidamente el impacto de un ataque de ransomware. Las pruebas metódicas del plan de respuesta a incidentes mediante simulaciones o simulacros pueden ayudar a garantizar su eficacia cuando surge una amenaza real. Además, fomentar una cultura consciente de la seguridad dentro de la organización es esencial para mantener un compromiso continuo con las mejores prácticas de ciberseguridad.
El texto completo de la nota de rescate presentada por Albabat Ransomware es:
'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:Copy
::> ¿Qué importancia tienen sus archivos para usted?
Lea este documento para obtener información sobre lo que sucedió y cómo recuperar sus archivos nuevamente.[+] 1 - ACERCA de "Albabat Ransomware" [+]
El "Albabat Ransomware" es un ransomware multiplataforma que cifra varios archivos importantes para el USUARIO en discos de almacenamiento de computadora utilizando un algoritmo de cifrado simétrico con identificación de grado militar.El "Albabat Ransomware" creará automáticamente una carpeta llamada "Albabat" en el directorio de usuarios de su máquina, pero precisamente en: "C:\Users**\Albabat\".
SE RECOMIENDA realizar un COPIA DE SEGURIDAD de TODA la carpeta "C:\Users**\Albabat\", ya que contiene archivos importantes para recuperar tus archivos, los cuales se explicarán más adelante en este documento sobre cada uno de ellos.
Esta carpeta también contiene estos mismos documentos de notas, en: "C:\Users**\Albabat\readme\README.html".
1.1 - LA CLAVE DE LA CRIPTOGRAFÍA
Sus archivos fueron cifrados con una CLAVE que se almacenó en el archivo "Albabat.ekey". Presente en el directorio "C:\Users**\Albabat\". Sin embargo, esta CLAVE también fue CIFRADA con una CLAVE PÚBLICA (cifrado asimétrico), lo que significa que requiere una CLAVE PRIVADA para ser descifrada, y solo yo (tH3_CyberXY) tengo la CLAVE PRIVADA para realizar este descifrado, de modo que usted pueda usar la CLAVE. "Albabat.key" para recuperar tus archivos.No hay forma de descifrar sus archivos sin mi servicio de descifrado de datos.
No hay forma de descifrar los archivos sin descifrar la clave "Albabat.ekey".
No elimine, no cambie el nombre, no pierda la clave "Albabat.ekey".
1.2 - TU IDENTIFICACIÓN PERSONAL
Al igual que "Albabat.ekey", la ID PERSONAL es importante en el proceso de descifrar sus archivos, que se utilizará en el descifrador, que se analizará más adelante en la sección "PROCESO DE DECRIPCIÓN".Este número mantiene una identidad única en el proceso de cifrado de su máquina. Además de estar informado en este documento, su ID PERSONAL también quedará impreso en el archivo "personal_id.txt" en "C:\Users**\Albabat\".
No pierdas tu ID PERSONAL, así como NO debes perder la clave "Albabat.ekey".
1.3 - EL PROCESO DE CIFRADO
Los archivos cifrados tienen la extensión ".abbt".No intentes cambiarle el nombre, no funcionará. Por el contrario, puedes dañar tus archivos.
El tamaño de los archivos que cifra "Albabat Ransomware" es de un máximo de 5 Megabytes (MB).
El "Albabat Ransomware" recorre de forma aleatoria y recursiva todos los directorios a los que no pertenece el funcionamiento del Sistema Operativo. Cifra archivos en el directorio de usuarios, incluso ubicaciones de bases de datos y unidades montadas en la máquina, si las hay.
El "Albabat Ransomware" solo cifra los archivos que son relevantes. El sistema operativo y los archivos binarios estarán intactos. Nosotros no elegimos eso.
El "Albabat Ransomware" guarda un archivo de registro llamado "Albabat_Logs.log" en el directorio "C:\Users**\Albabat\". En este archivo puede ver todos los archivos cifrados por "Albabat Ransomware" en forma de ruta.
[+] 2 - CÓMO CONTACTAR [+]
Estas son las únicas formas de ponerte en contacto para recuperar tus archivos. Cualquier otro formulario que se encuentre en Internet será falso.Métodos de contacto:
Correo electrónico:
albabat.help@protonmail.com
Copiar
NOTA: Comuníquese SÓLO si ha realizado el pago. Cualquier otro tipo de contacto que no sea de esta naturaleza será ignorado.
[+] 3 - PAGO [+]
El proceso de descifrado se PAGA en Bitcoin, por lo que es necesario tener un saldo de Bitcoin en un intercambio de criptomonedas o en una billetera de criptomonedas para realizar el depósito.Quizás quieras leer la página de preguntas frecuentes para saber qué es Bitcoin.
Datos de pago:
Dirección de Bitcoin:
bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj
Copiar
Monto a pagar:
0,0015 BTC
Para realizar el pago y restaurar sus archivos, siga estos pasos:
(1) Anota los datos para realizar la transferencia a través de la dirección Bitcoin y la CANTIDAD a pagar especificada anteriormente.
Nota: Recordando que el precio de Bitcoin puede variar monetariamente dependiendo de cuándo realices el pago.
(2) - Una vez que realice el pago a la dirección Bitcoin anterior, envíe un correo electrónico con una estructura similar a esta:Asunto: Albabat Ransomware - ¡Hice el pago!
Mensaje: Hola, hice el pago. Mi dirección BTC donde realicé el pago es "xxx". La versión de "Albabat Ransomware" que se ejecutaba en mi máquina era "0.3.0".
Siga la CLAVE adjunta "Albabat.ekey".
IMPORTANTE: El pago se estará verificando utilizando SU DIRECCIÓN BTC ("xxx") en la que se realizó la transacción, por lo que es IMPORTANTE informar al enviar este correo electrónico.
También es IMPORTANTE que envíes la CLAVE "Albabat.ekey" como archivo adjunto, independientemente del método de contacto que elijas. La clave será descifrada por usted.
Recibirás en tu correo electrónico la CLAVE "Albabat.key", es decir, la CLAVE "Albabat.ekey" descifrada, y el descifrador "decryptor.exe" adjunto (en zip).
Nota: Luego del pago, recibirás la CLAVE "Albabat.key" y "decryptor.exe" dentro de las 24 horas, pero puede variar en más o menos dependiendo de mis tiempos de disponibilidad y la cantidad de demandas que reciba. Ser paciente.
[+] 4 - PROCESO DE DESCIFRADO [+]Para descifrar sus archivos, siga los pasos a continuación:
(1) Coloque el "Albabat.key" que recibió por correo electrónico, dentro del directorio "C:\Users**\Albabat\", o, si lo prefiere, guárdelo en el mismo directorio que "decryptor.exe".
IMPORTANTE: En este punto, es muy importante que cierre todas las ventanas abiertas del Explorador y los programas pesados para evitar que "decryptor.exe" falle y/o tenga un rendimiento deficiente.
Y también desactive su ANTIVIRUS PERMANENTEMENTE para que no interfiera con el proceso de descifrado.
(2) Ejecute "decryptor.exe" e ingrese SU ID PERSONAL, luego presione ENTER. Aparecerá un mensaje de alerta informándole que se inició el descifrado, simplemente haga clic en Aceptar.
Nota: Si está en Linux, abra una terminal y ejecútela desde la línea de comandos para ver el proceso.
Por ejemplo: ./decryptor
(3) Espere a que aparezca el mensaje de finalización del descifrado en la consola; esto puede tardar un poco dependiendo de la cantidad de archivos que se hayan cifrado y la potencia de su máquina. Puedes ver el proceso de descifrado en vivo desde tus archivos, si tengo tiempo para eso.
(4) Una vez completado el descifrado, se restaurarán todos sus archivos y el archivo de registro de descifrado "Albabat_Logs.log". se creará en el directorio del descifrador.
Si tiene más preguntas, como: "¿Cómo puedo estar seguro de que mis archivos se pueden descifrar?", puede leer la página de preguntas frecuentes.
Copyright (c) 2021-2023 Albabat Ransomware - Todos los derechos reservados. Mantenido por: tH3_CyberXY.'
El mensaje de rescate que se muestra como fondo de escritorio es:
'Albabat RANSOMWARE
Several of your files have been encrypted!
To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:
Windows: %USERPROFILE% \ Albabat \ readme \ README.html
Linux: $HOME / Albabat / readme / README.html'
