Rançongiciel Buhti
Buhti est une menace de ransomware qui cible à la fois les systèmes Windows et Linux. Lors de l'attaque d'ordinateurs Windows, la charge utile de Buhti Ransomware est basée sur une variante du LockBit 3.0 Ransomware précédemment divulgué, avec des modifications mineures. Pourtant, lorsqu'il est utilisé pour infecter les systèmes Linux, le Buhti Ransomware utilise une version modifiée du Babuk Ransomware divulgué.
La façon dont Buhti fonctionne consiste à crypter les fichiers et à remplacer leurs noms de fichiers d'origine par une chaîne de caractères aléatoires. De plus, le ransomware ajoute l'ID de la victime comme nouvelle extension pour chaque fichier crypté. Pour communiquer avec les victimes, Buhti laisse derrière lui une note de rançon nommée sous la forme d'un fichier texte nommé '[victim's_ID].README.txt.'
Le Buhti Ransomware verrouille un large éventail de types de fichiers
La note de rançon fournit une explication détaillée aux victimes concernant le cryptage de leurs fichiers à l'aide d'algorithmes de cryptage robustes, ce qui leur rend pratiquement impossible de décrypter les données de manière indépendante. Cependant, la note indique que les victimes peuvent restaurer leurs données en payant une rançon aux attaquants afin d'acheter un programme spécialisé appelé "décrypteur". Les acteurs de la menace assurent à leurs victimes que ce logiciel de décryptage a subi des tests approfondis et restaurera efficacement leurs données une fois la mise en œuvre réussie.
Pour établir un contact avec les cybercriminels, la note demande aux victimes d'utiliser un navigateur Web et de naviguer vers un site Web spécifique. Une fois sur place, ils sont invités à entrer une adresse e-mail valide pour obtenir un lien de téléchargement après avoir terminé le processus de paiement. Le paiement, comme stipulé dans la note, doit être effectué en utilisant Bitcoin et dirigé vers une adresse Bitcoin fournie.
Une fois le paiement effectué, les victimes recevront un e-mail contenant un lien vers la page de téléchargement. Cette page comprend des instructions complètes sur la façon de procéder avec le processus de décryptage. La note de rançon insiste fortement sur les risques potentiels associés à la tentative de modification ou de récupération des fichiers de manière indépendante, car elle affirme que de telles actions n'entraîneront pas une restauration réussie.
En plus de crypter les fichiers, Buhti possède la capacité de recevoir des instructions de ligne de commande qui spécifient des répertoires cibles particuliers dans le système de fichiers. De plus, il utilise un outil d'exfiltration qui se concentre principalement sur le vol de certains types de fichiers, notamment aiff, aspx, docx, epub, json, mpeg, pdf, php, png, ppt, pptx, psd, rar, raw, rtf, sql, svg , swf, tar, txt, wav, wma, wmv, xls, xlsx, xml, yaml et yml.
Les utilisateurs et les organisations doivent protéger leurs données contre les infections par des ransomwares
Pour protéger leurs données et leurs appareils contre les infections par ransomware, les utilisateurs et les organisations peuvent adopter diverses mesures proactives. Tout d'abord, il est crucial de maintenir une stratégie de sauvegarde robuste. La sauvegarde régulière des fichiers nécessaires et leur stockage hors ligne ou dans un service de stockage cloud sécurisé garantissent que même si les fichiers originaux sont chiffrés par un ransomware, l'utilisateur peut les restaurer à partir d'une sauvegarde propre.
Une autre étape fondamentale consiste à maintenir à jour tous les logiciels et systèmes d'exploitation. L'application de correctifs et de mises à jour de sécurité en temps opportun permet de se protéger contre les vulnérabilités connues que les rançongiciels peuvent exploiter. Cela englobe non seulement le système d'exploitation, mais également les applications, les plug-ins et les logiciels antivirus.
L'utilisation d'un logiciel anti-malware professionnel ajoute une couche de défense supplémentaire. Ces solutions de sécurité peuvent détecter et bloquer les souches connues de ransomwares et les activités dangereuses, offrant une protection en temps réel contre les menaces potentielles.
La mise en œuvre de mots de passe forts et uniques pour tous les comptes et l'activation de l'authentification multifacteur (MFA) dans la mesure du possible contribuent à atténuer le risque d'accès non autorisé aux appareils et aux informations sensibles. Changer régulièrement les mots de passe et éviter la réutilisation des mots de passe sur plusieurs comptes sont des pratiques essentielles à suivre.
Se renseigner sur les techniques de phishing et les tactiques d'ingénierie sociale permet aux utilisateurs de reconnaître et d'éviter les méthodes potentielles de diffusion des ransomwares. Être prudent face aux demandes inattendues ou non sollicitées d'informations personnelles, de détails financiers ou d'identifiants de connexion peut aider à éviter d'être victime de tentatives de phishing.
Enfin, maintenir une approche proactive et vigilante en matière de cybersécurité est essentiel. Rester informé des dernières menaces de rançongiciels, des meilleures pratiques de sécurité et des tendances émergentes peut aider les utilisateurs à adapter leurs défenses en conséquence et à réagir efficacement aux risques potentiels.
Dans l'ensemble, la protection des données et des appareils contre les infections par ransomware nécessite une combinaison de mesures préventives, de sensibilisation et de diligence continue pour garder une longueur d'avance sur l'évolution des menaces.
La note de rançon laissée par Buhti Ransomware à ses victimes est :
'----------- [Bienvenue sur buhtiRansom] ------------->
Ce qui s'est produit?
Vos fichiers sont cryptés. Nous utilisons des algorithmes de cryptage puissants, vous ne pouvez donc pas décrypter vos données.
Mais vous pouvez tout restaurer en achetant chez nous un programme spécial - décrypteur universel. Ce programme restaurera tous vos fichiers.
Suivez nos instructions ci-dessous et vous récupérerez toutes vos données.Quelles garanties ?
Nous apprécions notre réputation. Si nous ne faisons pas notre travail et nos responsabilités, personne ne nous paiera. Ce n'est pas dans notre intérêt.
Tous nos logiciels de décryptage sont parfaitement testés et décrypteront vos données.Comment obtenir l'accès ?
À l'aide d'un navigateur :
Site Web ouvert : hxxps://satoshidisk.com/pay/CIGsph
Entrez un e-mail valide pour recevoir le lien de téléchargement après le paiement.
Payez le montant à l'adresse Bitcoin.
Recevez par e-mail le lien vers la page de téléchargement.
Instructions de déchiffrement incluses.!!! DANGER !!!
NE PAS MODIFIER ou essayer de RÉCUPÉRER des fichiers vous-même. Il NE SERA PAS en mesure de RESTAURER.
!!! DANGER !!!'
