Albabat Ransomware

Albabat は、その特徴的な動作によりランサムウェアに分類される特定の種類のマルウェアです。この脅威的なソフトウェアは、感染したシステム上のファイルを暗号化することによって動作します。 Albabat は暗号化プロセスの一環として、元のファイル名に「.abbt」拡張子を追加し、それによってファイル形式を変更します。さらに、Albabat はデスクトップの壁紙を変更することで、感染したシステムにさらなる視覚的な影響を与えます。被害者と通信して身代金を要求するために、マルウェアは身代金メモとして機能する「README.html」ファイルを生成します。

たとえば、Albabat によって暗号化されたファイルに適用される名前変更パターンは、一貫した形式に従っています。たとえば、最初に「1.png」という名前だったファイルは「1.png.abbt」に変換され、同様に「2.jpg」は「2.jpg.abbt」に変換されます。この名前変更規則は、Albabat のファイル暗号化プロセスの特徴であり、侵害されたファイルに影響を与えるランサムウェアの種類の識別子として機能します。

Albabat ランサムウェアは、さまざまな種類のファイルをロックして身代金を要求する可能性があります

Albabat のデスクトップの壁紙には、被害者にファイルの一部が暗号化されていることを警告するメッセージが表示され、「README.html」ファイルで詳細情報を探すよう案内されます。このファイルは、具体的には、ユーザーのコンピュータのルート ディレクトリにある「Albabat」フォルダ内にあります。

Windows ユーザーの場合、パスは %USERPROFILE%\Albabat\readme\README.html で、Linux ユーザーの場合は $HOME/Albabat/readme/README.html で見つけるように指示されます。このファイルでは、暗号化されたファイルの復号化には攻撃者が独占的に保持する秘密キーが必要であるという重要な詳細が強調されています。被害者には、削除や名前変更など、「Albabat.ekey」キーの紛失または変更を引き起こす可能性のある行為を行わないよう明示的に警告されます。

さらに、身代金メモには電子メール (albabat.help@protonmail.com) で連絡先情報が記載されており、支払いプロセスが完了した後にのみ連絡するよう被害者に指示しています。ビットコインアドレスや指定金額（0.0015 BTC）など、支払いに関する詳細が説明されています。

暗号化されたファイルへのアクセスを取り戻すには、通常、攻撃者が所有する特定の復号ツールがなければ不可能であることが強調されています。それにもかかわらず、加害者がどのような約束をしたとしても、被害者が詐欺の被害に遭う可能性が高いため、攻撃者に身代金を支払うことには強く思いとどまるように表明されています。

ランサムウェア感染に対する重要なセキュリティ対策

ランサムウェア感染から保護するには、さまざまなセキュリティ対策を含む多層的なアプローチが必要です。ランサムウェアから身を守るための 6 つの重要な対策は次のとおりです。

• データを定期的にバックアップする: 重要なデータをオフラインまたはクラウドベースのストレージ ソリューションに定期的にバックアップします。ランサムウェアに感染した場合でも、バックアップを更新しておけば、身代金を支払わずにデータを復元できます。バージョン管理機能を備えた自動バックアップ システムは特に効果的です。
• 従業員のトレーニングと意識向上: フィッシングメール、安全でないリンク、不審な添付ファイルに関連するリスクについて従業員を教育するために、定期的にサイバーセキュリティ認識トレーニングを実施します。不注意でマルウェアに感染することを防ぐために、従業員が電子メールやその他のオンライン コンテンツを操作するときは注意深く注意を払うようにしてください。
• セキュリティ ソフトウェアの使用: マルウェア対策ソリューションを含む堅牢なセキュリティ ソフトウェアを採用して、ランサムウェアの脅威を検出してブロックします。これらのセキュリティ ツールを常に最新の状態に保ち、最新のランサムウェアを認識して軽減できるようにします。エンドポイント保護ソリューションは、追加の防御層を追加できます。
• ネットワーク セグメンテーション: ネットワーク セグメンテーションを実装して、重要なシステムとプライベート データをネットワークの残りの部分から分離します。これにより、ネットワーク内でのランサムウェアの潜在的な横方向の移動が制限され、感染の影響が軽減されます。
• システムのパッチと更新: オペレーティング システム、ソフトウェア、アプリケーションを定期的に更新して、既知の脆弱性にパッチを適用します。ランサムウェアは、古いシステムのセキュリティ上の欠陥を悪用することがよくあります。自動パッチ管理ツールは、このプロセスを合理化し、すべてのシステムを最新の状態に保つのに役立ちます。
• 電子メール フィルタリングと添付ファイルのフィルタリング: 電子メール フィルタリング ソリューションを使用して、フィッシングメールをブロックし、安全でない添付ファイルを除外します。ランサムウェア攻撃の多くはフィッシングメールを通じて開始され、そのようなメールをゲートウェイでブロックすると、マルウェアがエンドユーザーに到達するのを防ぐことができます。

これらの対策に加えて、インシデント対応計画を策定することが重要です。このプロジェクトには、ランサムウェア攻撃の影響を迅速に特定、隔離、軽減するための手順を含める必要があります。シミュレーションや訓練を通じてインシデント対応計画を系統的にテストすることは、実際の脅威が発生したときにその有効性を確保するのに役立ちます。さらに、組織内でセキュリティを意識した文化を醸成することは、サイバーセキュリティのベスト プラクティスへの継続的な取り組みを維持するために不可欠です。

Albabat ランサムウェアによって提示された身代金メモの全文は次のとおりです。

'Top | About | Payment | Contact | Decryption | FAQ | Translator
Albabat Ransomware
version: 0.3.0
87 files on your machine have been encrypted!
Your PERSONAL ID:

Copy

::> あなたにとってファイルはどのくらい重要ですか?
何が起こったのか、またファイルを再度回復する方法については、このドキュメントをお読みください。

[+] 1 - 「Albabat ランサムウェア」について [+]
「Albabat Ransomware」は、軍用レベルの ID を備えた対称暗号化アルゴリズムを使用して、コンピューターのストレージ ディスク上のユーザーにとって重要なさまざまなファイルを暗号化するクロスプラットフォームのランサムウェアです。

「Albabat Ransomware」は、マシンのユーザー ディレクトリに「Albabat」というフォルダーを自動的に作成しますが、正確には「C:\Users**\Albabat\」に作成されます。

「C:\Users**\Albabat\」フォルダー全体のバックアップを作成することをお勧めします。このフォルダーには、ファイルを回復するための重要なファイルが含まれています。各フォルダーについては、この文書で後ほど説明します。

このフォルダーには、「C:\Users**\Albabat\readme\README.html」に同じメモ ドキュメントも含まれています。

1.1 - 暗号化の鍵
ファイルは、ファイル「Albabat.ekey」に保存されている KEY で暗号化されました。 「C:\Users**\Albabat\」ディレクトリにあります。ただし、このキーは公開キー (非対称暗号化) でも暗号化されています。つまり、復号するには秘密キーが必要であり、この復号を実行するための秘密キーを持っているのは私 (tH3_CyberXY) だけであるため、そのキーを使用できます。ファイルを回復する際の「Albabat.key」。

私のデータ復号化サービスなしではファイルを復号化する方法はありません。

「Albabat.ekey」キーを復号化せずにファイルを復号化する方法はありません。

「Albabat.ekey」キーを削除したり、名前を変更したり、紛失したりしないでください。

1.2 - 個人ID
「Albabat.ekey」と同様に、個人 ID はファイルを復号化するプロセスで重要であり、復号化プログラムで使用されます。これについては「復号化プロセス」セクションで後述します。

この番号は、マシンの暗号化プロセスにおいて一意の ID を維持します。あなたの個人 ID は、この文書で通知されるだけでなく、「C:\Users**\Albabat\」の「personal_id.txt」ファイルにも印刷されます。

「Albabat.ekey」キーを紛失しないように、個人 ID も紛失しないようにしてください。

1.3 - 暗号化プロセス
暗号化されたファイルの拡張子は「.abbt」です。

名前を変更しないでください。機能しません。逆に、ファイルが破損する可能性があります。

「Albabat Ransomware」が暗号化するファイルのサイズは最大 5 メガバイト (MB) です。

「Albabat Ransomware」は、オペレーティング システムの動作に属さないすべてのディレクトリをランダムに再帰的にスキャンします。ユーザー ディレクトリ内のファイル、およびマシンにマウントされているデータベースの場所やドライブも暗号化します。

「Albabat Ransomware」は、関連するファイルのみを暗号化します。オペレーティング システムとバイナリ ファイルはそのまま残ります。私たちはそれを選びませんでした。

「Albabat Ransomware」は、「Albabat_Logs.log」という名前のログ ファイルを「C:\Users**\Albabat\」ディレクトリに保存します。このファイルでは、「Albabat Ransomware」によって暗号化されたすべてのファイルをパス形式で確認できます。

[+] 2 - 連絡方法 [+]
これらは、ファイルを回復するために連絡する唯一の方法です。インターネット上で見つかったその他のフォームは偽物です。

連絡方法:

Eメール：

albabat.help@protonmail.com

コピー

注意：お支払い済みの場合のみご連絡ください。この性質以外の他の種類の連絡は無視されます。
[+] 3 - 支払い [+]
復号化プロセスはビットコインで支払われるため、入金するには暗号通貨取引所または暗号通貨ウォレットにビットコイン残高が必要です。

ビットコインとは何なのかを知るには、FAQ ページを読んでください。

支払いデータ:

ビットコインアドレス:

bc1qxsjjna67tccvf0e35e9z79d4utu3v9pg2rp7rj

コピー

お支払い金額:

0,0015BTC

支払いを行ってファイルを復元するには、次の手順に従ってください。

(1) ビットコインアドレス経由で送金するためのデータと、上で指定した支払う金額を書き留めます。

注: ビットコインの価格は、支払いを行う時期に応じて金銭的に変動する可能性があることに注意してください。
(2) - 上記のビットコイン アドレスに支払いを行ったら、次のような構造の電子メールを送信します。

件名: Albabat ランサムウェア - 支払いを行いました!

メッセージ: こんにちは、支払いを完了しました。支払いを行った私のBTCアドレスは「xxx」です。私のマシンで動作していた「Albabat Ransomware」のバージョンは「0.3.0」でした。

添付のKEY「Albabat.ekey」に従ってください。

重要: 支払いは、取引が実行されたあなたの BTC アドレス (「xxx」) を使用して確認されるため、このメールを送信するときに通知することが重要です。

選択した連絡方法に関係なく、キー「Albabat.ekey」を添付ファイルとして送信することも重要です。キーは自動的に復号化されます。

電子メールで、KEY「Albabat.key」、つまり、復号化されたKEY「Albabat.ekey」と、復号化ツール「decryptor.exe」が添付（zip圧縮）されます。

注: 支払い後、24 時間以内にキー「Albabat.key」と「decryptor.exe」を受け取りますが、利用可能な時間と受信する要求の量に応じて多少異なる場合があります。我慢して。
[+] 4 - 復号化プロセス [+]

ファイルを復号化するには、次の手順に従います。

(1) 電子メールで受信した「Albabat.key」を「C:\Users**\Albabat\」ディレクトリ内に配置するか、必要に応じて「decryptor.exe」と同じディレクトリに保存します。

重要:この時点で、「decryptor.exe」のクラッシュやパフォーマンスの低下を防ぐために、開いているエクスプローラー ウィンドウと重いプログラムをすべて閉じることが非常に重要です。

また、復号化プロセスに干渉しないように、アンチウイルスを完全に無効にしてください。

(2) 「decryptor.exe」を実行し、個人IDを入力してENTERを押します。復号化が開始されたことを通知する警告メッセージが表示されます。「OK」をクリックするだけです。

注: Linux を使用している場合は、ターミナルを開いてコマンド ラインから実行してプロセスを確認します。

例: ./decryptor

(3) コンソールに復号化完了メッセージが表示されるまで待ちます。暗号化されたファイルの量とマシンの能力によっては、時間がかかる場合があります。時間があれば、I live from your files で復号化プロセスを確認できます。

(4) 復号化が完了すると、すべてのファイルと復号化ログ ファイル「Albabat_Logs.log」が復元されます。は復号化ディレクトリに作成されます。

「ファイルを復号化できることを確認するにはどうすればよいですか?」など、さらに質問がある場合は、FAQ ページを参照してください。

Copyright (c) 2021-2023 Albabat ランサムウェア - すべての権利予約。管理者: tH3_CyberXY。

デスクトップの背景として表示される身代金メッセージは次のとおりです。

'Albabat RANSOMWARE

Several of your files have been encrypted!

To find out more details about what happened and rescue your files, read the "README.html" file in the "Albabat" folder located in the user root of your computer:

Windows: %USERPROFILE% \ Albabat \ readme \ README.html

Linux: $HOME / Albabat / readme / README.html'