Albabat Ransomware

Albabat est un type spécifique de malware classé comme ransomware en raison de son comportement caractéristique. Ce logiciel menaçant fonctionne en cryptant les fichiers sur un système infecté. Dans le cadre de son processus de cryptage, Albabat ajoute l'extension « .abbt » aux noms de fichiers d'origine, modifiant ainsi le format du fichier. De plus, Albabat présente un impact visuel supplémentaire sur le système infecté en modifiant le fond d'écran du bureau. Pour communiquer avec la victime et demander une rançon, le malware génère un fichier « README.html », faisant office de demande de rançon.

Par exemple, le modèle de renommage appliqué par Albabat aux fichiers cryptés suit un format cohérent. Par exemple, un fichier initialement nommé « 1.png » serait transformé en « 1.png.abbt », et de même, « 2.jpg » deviendrait « 2.jpg.abbt », et ainsi de suite. Cette convention de changement de nom est une caractéristique distinctive du processus de cryptage des fichiers d'Albat et sert d'identifiant pour le type de ransomware affectant les fichiers compromis.

Le ransomware Albabat peut verrouiller un large éventail de types de fichiers pour exiger une rançon

Le fond d'écran d'Albat affiche un message alertant la victime du cryptage de certains de ses fichiers et la guide pour rechercher de plus amples informations dans le fichier « README.html ». Ce fichier se trouve spécifiquement dans le dossier « Albabat », situé dans le répertoire racine des utilisateurs sur leurs ordinateurs.

Pour les utilisateurs Windows, le chemin est %USERPROFILE%\Albabat\readme\README.html, et les utilisateurs Linux sont invités à le trouver dans $HOME/Albabat/readme/README.html. Dans ce fichier, un détail crucial est souligné : le décryptage des fichiers cryptés nécessite une clé privée détenue exclusivement par l'attaquant. La victime est explicitement mise en garde contre toute action pouvant entraîner la perte ou l'altération de la clé 'Albabat.ekey', y compris la suppression ou le changement de nom.

La demande de rançon fournit en outre des informations de contact par e-mail (albabat.help@protonmail.com), demandant aux victimes de ne contacter qu'après avoir terminé le processus de paiement. Les détails du paiement, tels qu'une adresse Bitcoin et le montant désigné (0,0015 BTC), sont décrits.

Il est souligné que la récupération de l’accès aux fichiers cryptés est généralement impossible sans l’outil de décryptage spécifique possédé par les attaquants. Néanmoins, il est fortement découragé de payer des rançons aux attaquants, car il existe une forte probabilité que les victimes soient victimes d'escroqueries malgré les promesses faites par les auteurs.

Mesures de sécurité importantes à utiliser contre les infections par ransomware

La protection contre les infections par ransomware nécessite une approche à plusieurs niveaux impliquant diverses mesures de sécurité. Voici six mesures importantes pour vous protéger contre les ransomwares :

• Sauvegardez régulièrement vos données : sauvegardez régulièrement les données critiques sur une solution de stockage hors ligne ou basée sur le cloud. En cas d'infection par un ransomware, la mise à jour des sauvegardes garantit que les données peuvent être restaurées sans payer de rançon. Les systèmes de sauvegarde automatisés dotés de capacités de gestion des versions sont particulièrement efficaces.
• Formation et sensibilisation des employés : organisez régulièrement des formations de reconnaissance en matière de cybersécurité pour les employés afin de les informer sur les risques associés aux e-mails de phishing, aux liens dangereux et aux pièces jointes suspectes. Assurez-vous que les employés sont prudents et vigilants lorsqu’ils interagissent avec des e-mails et d’autres contenus en ligne afin d’éviter les infections accidentelles par des logiciels malveillants.
• Utilisation de logiciels de sécurité : utilisez des logiciels de sécurité robustes, y compris des solutions anti-malware, pour détecter et bloquer les menaces de ransomware. Maintenez ces outils de sécurité à jour pour vous assurer qu’ils peuvent reconnaître et atténuer les dernières souches de ransomwares. Les solutions de protection des terminaux peuvent ajouter une couche de défense supplémentaire.
• Segmentation du réseau : mettez en œuvre la segmentation du réseau pour séparer les systèmes critiques et les données privées du reste du réseau. Cela limite le mouvement latéral potentiel des ransomwares au sein du réseau, réduisant ainsi l’impact d’une infection.
• Systèmes de correctifs et de mise à jour : mettez régulièrement à jour les systèmes d'exploitation, les logiciels et les applications pour corriger les vulnérabilités connues. Les ransomwares exploitent souvent les failles de sécurité des systèmes obsolètes. Les outils automatisés de gestion des correctifs peuvent aider à rationaliser ce processus et à garantir que tous les systèmes sont à jour.
• Filtrage des e-mails et filtrage des pièces jointes : utilisez des solutions de filtrage des e-mails pour bloquer les e-mails de phishing et filtrer les pièces jointes dangereuses. De nombreuses attaques de ransomwares sont lancées via des e-mails de phishing, et le blocage de ces e-mails au niveau de la passerelle peut empêcher le malware d'atteindre les utilisateurs finaux.

En plus de ces mesures, il est crucial de mettre en place un plan de réponse aux incidents. Ce projet devrait inclure des étapes permettant d'identifier, d'isoler et d'atténuer rapidement l'impact d'une attaque de ransomware. Des tests méthodiques du plan de réponse aux incidents au moyen de simulations ou d'exercices peuvent contribuer à garantir son efficacité lorsqu'une menace réelle survient. De plus, la promotion d’une culture soucieuse de la sécurité au sein de l’organisation est essentielle pour maintenir un engagement continu envers les meilleures pratiques en matière de cybersécurité.

Le texte intégral de la demande de rançon présentée par Albabat Ransomware est :

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> Quelle est l'importance de vos fichiers pour vous ?
Lisez ce document pour plus d'informations sur ce qui s'est passé et comment récupérer à nouveau vos fichiers.

[+] 1 - À PROPOS de "Albabat Ransomware" [+]
Le "Albabat Ransomware" est un ransomware multiplateforme qui crypte divers fichiers importants pour l'UTILISATEUR sur des disques de stockage informatiques à l'aide d'un algorithme de cryptage symétrique avec identification de niveau militaire.

Le "Albabat Ransomware" créera automatiquement un dossier appelé "Albabat" dans le répertoire utilisateur de votre machine, mais précisément dans : "C:\Users**\Albabat\".

IL EST RECOMMANDÉ de faire une SAUVEGARDE du dossier ENTIER "C:\Users**\Albabat\", car il contient des fichiers importants pour récupérer vos fichiers, qui seront expliqués plus loin dans ce document sur chacun d'eux.

Ce dossier contient également ces mêmes documents de notes, dans : "C:\Users**\Albabat\readme\README.html".

1.1 - LA CLÉ DE LA CRYPTOGRAPHIE
Vos fichiers ont été cryptés avec une CLÉ stockée dans le fichier "Albabat.ekey". Présent dans le répertoire "C:\Users**\Albabat\". Cependant, cette CLÉ a également été CHYPÉE avec une CLÉ PUBLIQUE (chiffrement asymétrique), ce qui signifie qu'elle nécessite une CLÉ PRIVÉE pour être déchiffrée, et seul moi (tH3_CyberXY) possède la CLÉ PRIVÉE pour effectuer ce décryptage, afin que vous puissiez utiliser la CLÉ "Albabat.key" pour récupérer vos fichiers.

Il n'y a aucun moyen de décrypter vos fichiers sans mon service de décryptage de données.

Il n'existe aucun moyen de décrypter les fichiers sans déchiffrer la clé "Albabat.ekey".

Ne supprimez pas, ne renommez pas, ne perdez pas la clé "Albabat.ekey".

1.2 - VOTRE IDENTIFIANT PERSONNEL
Tout comme "Albabat.ekey", l'ID PERSONNEL est important dans le processus de décryptage de vos fichiers, qui sera utilisé dans le décrypteur, qui sera abordé plus tard dans la section "PROCESSUS DE DÉCRYPTION".

Ce numéro conserve une identité unique dans le processus de cryptage de votre machine. En plus d'être renseigné dans ce document, votre ID PERSONNEL sera également imprimé dans le fichier "personal_id.txt" dans "C:\Users**\Albabat\".

Ne perdez pas votre ID PERSONNEL, tout comme vous ne devez PAS perdre la clé "Albabat.ekey".

1.3 - LE PROCESSUS DE CHIFFREMENT
Les fichiers cryptés portent l'extension ".abbt".

N'essayez pas de le renommer, cela ne fonctionnera pas. Au contraire, vous risquez de corrompre vos fichiers.

La taille des fichiers cryptés par « Albabat Ransomware » est d'un maximum de 5 mégaoctets (Mo).

Le "Albabat Ransomware" parcourt de manière aléatoire et récursive tous les répertoires auxquels il n'appartient pas au fonctionnement du système d'exploitation. Chiffre les fichiers dans le répertoire utilisateur, même les emplacements de base de données et les lecteurs montés sur la machine, le cas échéant.

Le "Albabat Ransomware" crypte uniquement les fichiers pertinents. Le système d'exploitation et les fichiers binaires seront intacts. Nous n'avons pas choisi cela.

"Albabat Ransomware" enregistre un fichier journal nommé "Albabat_Logs.log" dans le répertoire "C:\Users**\Albabat\". Ce fichier, vous pouvez voir tous les fichiers qui ont été cryptés par "Albabat Ransomware" sous forme de chemin.

[+] 2 - COMMENT CONTACTER [+]
Ce sont les seuls moyens de nous contacter pour récupérer vos fichiers. Tout autre formulaire trouvé sur Internet sera faux.

Méthodes de contact :

E-mail:

albabat.help@protonmail.com

Copie

REMARQUE : Veuillez contacter UNIQUEMENT si vous avez effectué le paiement. Tout autre type de contact autre que cette nature sera ignoré.
[+] 3 - PAIEMENT [+]
Le processus de décryptage est PAYÉ en Bitcoin, vous devez donc avoir un solde Bitcoin sur un échange de crypto-monnaie ou dans un portefeuille de crypto-monnaie pour effectuer le dépôt.

Vous voudrez peut-être lire la page FAQ pour savoir ce qu’est Bitcoin.

Données de paiement :

Adresse Bitcoin :

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

Copie

Montant à payer:

0,0015 BTC

Pour effectuer le paiement et restaurer vos fichiers, suivez ces étapes -

(1) Notez les données pour effectuer le transfert via l'adresse Bitcoin et le MONTANT à payer spécifié ci-dessus.

Remarque : N'oubliez pas que le prix du Bitcoin peut varier monétairement en fonction du moment où vous effectuez le paiement.
(2) - Une fois le paiement effectué à l'adresse Bitcoin ci-dessus, envoyez un e-mail avec une structure similaire à celle-ci :

Objet : Albabat Ransomware - J'ai effectué le paiement !

Message : Bonjour, j'ai effectué le paiement. Mon adresse BTC où j'ai effectué le paiement est "xxx". La version de "Albabat Ransomware" exécutée sur ma machine était "0.3.0".

Suivez la CLÉ ci-jointe "Albabat.ekey".

IMPORTANT : Le paiement sera vérifié en utilisant VOTRE ADRESSE BTC ("xxx") dans laquelle la transaction a été effectuée, il est donc IMPORTANT de l'informer lors de l'envoi de cet e-mail.

Il est également IMPORTANT que vous envoyiez la CLE "Albabat.ekey" en pièce jointe, quel que soit le mode de contact choisi. La clé sera déchiffrée pour vous.

Vous recevrez dans votre email la CLE "Albabat.key", c'est-à-dire la CLE "Albabat.ekey" déchiffrée, et le décrypteur "decryptor.exe" joint (zippé).

Remarque : Après paiement, vous recevrez la CLÉ "Albabat.key" et "decryptor.exe" dans les 24 heures, mais cela peut varier plus ou moins en fonction de mes horaires de disponibilité et du nombre de demandes que je reçois. Sois patient.
[+] 4 - PROCESSUS DE DÉCRYPTION [+]

Pour décrypter vos fichiers, suivez les étapes ci-dessous :

(1) Placez le "Albabat.key" que vous avez reçu par email, dans le répertoire "C:\Users**\Albabat\", ou, si vous préférez, conservez-le dans le même répertoire que "decryptor.exe".

IMPORTANT : à ce stade, il est très important que vous fermiez toutes les fenêtres ouvertes de l'Explorateur et les programmes lourds, pour éviter que "decryptor.exe" ne plante et/ou n'ait de mauvaises performances.

Et désactivez également votre ANTIVIRUS DE MANIÈRE PERMANENTE afin qu’il n’interfère pas avec le processus de décryptage.

(2) Exécutez "decryptor.exe" et entrez VOTRE ID PERSONNEL, puis appuyez sur ENTRÉE. Un message d'alerte apparaîtra vous informant que le décryptage a commencé, cliquez simplement sur OK.

Remarque : si vous êtes sous Linux, ouvrez un terminal et exécutez à partir de la ligne de commande pour voir le processus.

Par exemple : ./déchiffreur

(3) Attendez que le message de fin de décryptage s'affiche dans la console, cela peut prendre un certain temps en fonction de la quantité de fichiers cryptés et de la puissance de votre machine. Vous pouvez voir le processus de décryptage en direct de vos fichiers, si j'ai le temps pour cela.

(4) Une fois le décryptage terminé, tous vos fichiers seront restaurés ainsi que le fichier journal de décryptage "Albabat_Logs.log". sera créé dans le répertoire du décrypteur.

Si vous avez d'autres questions, telles que : « Comment puis-je être sûr que mes fichiers peuvent être déchiffrés ? », vous pouvez lire la page FAQ.

Copyright (c) 2021-2023 Albabat Ransomware - Tous droits réservés. Maintenu par : tH3_CyberXY.'

Le message de rançon affiché en arrière-plan du bureau est :

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'