Buhti Ransomware sigter mod ofre, der kører både Windows og Linux

Buhti er en type ransomware, der er rettet mod både Windows- og Linux-systemer. Mens Buhti ransomware-nyttelasten primært fokuserer på Windows-computere og er en variant af den tidligere lækkede LockBit 3.0 ransomware med nogle mindre justeringer, har den også en modificeret version, der er specielt designet til at angribe Linux-systemer, der udnytter den lækkede Babuk ransomware.

Når Buhti inficerer et system, krypterer det filer og erstatter deres originale filnavne med en streng af tilfældige tegn. Derudover tilføjes offerets ID som den nye udvidelse for hver krypteret fil. For eksempel vil en fil, der oprindeligt hedder "1.jpg" blive transformeret til "4G8of7O.fxkJts2wg", mens "2.png" bliver til "HePwiFM.fxkJts2wg" og så videre. Ved siden af denne krypteringsproces slipper Buhti også en løsesumseddel med navnet "[offers_ID].README.txt".

Løsesedlen giver en forklaring på, at ofrets filer er blevet krypteret ved hjælp af robuste krypteringsalgoritmer, hvilket gør det praktisk talt umuligt for dem at dekryptere dataene uafhængigt. Notatet hævder dog, at der er en løsning tilgængelig for ofrene til at gendanne deres filer - ved at købe et særligt program kendt som en dekryptering. Løseren forsikrer ofrene om, at denne dekrypteringssoftware har gennemgået en grundig test og vil med succes gendanne deres data.

For at få adgang til deres krypterede filer igen, instruerer noten ofrene om at bruge en webbrowser og besøge en bestemt hjemmeside. De bliver derefter bedt om at indtaste en gyldig e-mailadresse, som vil blive brugt til at modtage et downloadlink til dekrypteringsværktøjet efter betalingen er foretaget. Løsebetalingen anmodes om i Bitcoin, og ofrene får en specifik Bitcoin-adresse til transaktionen.

Når betalingen er gennemført, modtager ofrene en e-mail med et link til en downloadside. Denne side indeholder detaljerede instruktioner om, hvordan man bruger dekryptering til at gendanne deres filer. Løsesedlen understreger de potentielle risici ved at ændre eller forsøge at gendanne filerne uafhængigt og hævder, at sådanne handlinger ikke vil føre til en vellykket gendannelse af de krypterede data.

Buhti Ransom Note beder om Bitcoin-betaling

Den fulde tekst af Buhti løsesumsedlen lyder som følger:

Velkommen til buhtiRansom

Hvad skete der?

Dine filer er krypteret. Vi bruger stærke krypteringsalgoritmer, så du kan ikke dekryptere dine data.
Men du kan gendanne alt ved at købe et specielt program fra os - universal decryptor. Dette program vil gendanne alle dine filer.
Følg vores instruktioner nedenfor, og du vil gendanne alle dine data.

Hvilke garantier?

Vi værdsætter vores omdømme. Hvis vi ikke gør vores arbejde og forpligtelser, vil ingen betale os. Dette er ikke i vores interesse.
Al vores dekrypteringssoftware er perfekt testet og vil dekryptere dine data.

Hvordan får man adgang?

Brug af en browser:
1) Åben hjemmeside: hxxps://satoshidisk.com/pay/CIGsph
2) Indtast gyldig e-mail for at modtage downloadlink efter betaling.
3) Betal beløb til Bitcoin-adresse.
4) Modtag e-mail-link til downloadsiden.
5) Dekrypteringsinstruktion inkluderet.

!!! FARE!!!
MODIFICER IKKE eller prøv at GENDANNELSE af filer selv. Det VIL IKKE være i stand til at gendanne.
!!! FARE!!!

Hvordan distribueres ransomware som Buhti online?

Ransomware som Buhti distribueres typisk online gennem forskellige metoder, udnytter sårbarheder og anvender social engineering taktikker. Her er nogle almindelige distributionskanaler og teknikker, der bruges af ransomware som Buhti:

  • Phishing-e-mails: En udbredt metode er gennem phishing-e-mails. Angribere sender vildledende e-mails, der virker legitime, og efterligner ofte betroede organisationer eller enkeltpersoner. Disse e-mails kan indeholde inficerede vedhæftede filer, såsom ondsindede eksekverbare filer eller dokumenter, der er indlejret med makro-malware. Åbning af disse vedhæftede filer udløser ransomware-installationsprocessen.
  • Ondsindede websteder og Drive-by-downloads: Cyberkriminelle kan oprette ondsindede websteder eller kompromittere legitime websteder for at distribuere ransomware. Intetanende brugere kan ubevidst downloade ransomwaren ved at besøge disse websteder eller klikke på kompromitterede links. Drive-by-downloads opstår, når malware automatisk downloades uden brugerens samtykke eller viden.
  • Udnyttelsessæt: Ransomware kan leveres ved hjælp af udnyttelsessæt, som er værktøjssæt, der udnytter sårbarheder i software eller webbrowsere. Når en bruger besøger et kompromitteret websted eller klikker på en ondsindet reklame, scanner udnyttelsessættet for sårbarheder og leverer ransomware-nyttelasten.
  • Remote Desktop Protocol (RDP)-angreb: Angribere målretter mod systemer med blotlagte eller svagt sikrede Remote Desktop Protocol-forbindelser. De anvender brute-force-angreb for at få uautoriseret adgang til systemet og installere ransomware.
  • Ondsindede annoncer (malvertising): Ondsindede annoncer eller malvertisements kan findes på lovlige websteder og annoncenetværk. Disse annoncer indeholder skjulte scripts, der omdirigerer brugere til websteder, der hoster ransomware, eller udløser automatiske downloads.
  • Fildelingsnetværk og piratkopieret software: Ulovlig eller cracket software, der downloades fra fildelingsnetværk, leveres ofte sammen med ransomware eller anden malware. Brugere, der søger at få software eller medier uden at betale, risikerer utilsigtet at installere ransomware.
  • Udnyttelse af softwaresårbarheder: Ransomware-forfattere udnytter sårbarheder i operativsystemer, applikationer eller netværkstjenester. Ved at målrette mod upatchet eller forældet software kan de få uautoriseret adgang og implementere ransomware-nyttelasten.

Det er afgørende at vedligeholde opdateret sikkerhedssoftware, regelmæssigt anvende softwarerettelser og opdateringer, udvise forsigtighed, når du åbner vedhæftede filer i e-mails eller klikker på mistænkelige links, og bruge stærke, unikke adgangskoder for at minimere risikoen for at blive ofre for ransomware-angreb.

I Zaib
May 29, 2023
Ransomware
Dansk
May 29, 2023
Ransomware

Populære opslag

Microsoft advarer om statsstøttede trusselsaktører, der bruger...

5 days siden

Trojan Al11 Malware Detektion

11 months siden

Pop-ups "Din iCloud bliver hacket" og "Din iPhone er blevet...

7 months siden

Pinaview er en fuldt udstyret adware-app

10 months siden

Hvad er Lucky Ransomware?

7 months siden

'American Express - Opdater dine kontooplysninger' E-mail-fidus

6 months siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.