Buhti Ransomware apunta a víctimas que ejecutan Windows y Linux

Buhti es un tipo de ransomware que se dirige a los sistemas Windows y Linux. Si bien la carga útil del ransomware Buhti se enfoca principalmente en computadoras con Windows y es una variante del ransomware LockBit 3.0 filtrado anteriormente con algunos ajustes menores, también tiene una versión modificada diseñada específicamente para atacar sistemas Linux, aprovechando el ransomware Babuk filtrado.

Cuando Buhti infecta un sistema, cifra los archivos y reemplaza sus nombres de archivo originales con una cadena de caracteres aleatorios. Además, la identificación de la víctima se agrega como la nueva extensión para cada archivo encriptado. Por ejemplo, un archivo llamado originalmente "1.jpg" se transformaría en "4G8of7O.fxkJts2wg", mientras que "2.png" se convertiría en "HePwiFM.fxkJts2wg", y así sucesivamente. Junto con este proceso de encriptación, Buhti también deja caer una nota de rescate llamada "[ID_de_la_víctima].README.txt".

La nota de rescate proporciona una explicación de que los archivos de la víctima se cifraron utilizando algoritmos de cifrado robustos, lo que hace que sea prácticamente imposible para ellos descifrar los datos de forma independiente. Sin embargo, la nota afirma que hay una solución disponible para que las víctimas recuperen sus archivos mediante la compra de un programa especial conocido como descifrador. Los rescatadores aseguran a las víctimas que este software de descifrado se ha sometido a pruebas exhaustivas y restaurará con éxito sus datos.

Para recuperar el acceso a sus archivos cifrados, la nota indica a las víctimas que usen un navegador web y visiten un sitio web específico. Luego se les solicita que ingresen una dirección de correo electrónico válida, que se utilizará para recibir un enlace de descarga para el descifrador después de realizar el pago. El pago del rescate se solicita en Bitcoin y las víctimas reciben una dirección de Bitcoin específica para la transacción.

Una vez que se complete el pago, las víctimas recibirán un correo electrónico que contiene un enlace a una página de descarga. Esta página incluye instrucciones detalladas sobre cómo usar el descifrador para restaurar sus archivos. La nota de rescate enfatiza los riesgos potenciales de modificar o intentar recuperar los archivos de forma independiente, alegando que tales acciones no conducirán a una restauración exitosa de los datos cifrados.

La nota de rescate de Buhti solicita el pago de Bitcoin

El texto completo de la nota de rescate de Buhti dice lo siguiente:

Bienvenido a buhtiRansom

¿Lo que pasó?

Sus archivos están encriptados. Utilizamos algoritmos de encriptación sólidos, por lo que no puede desencriptar sus datos.
Pero puede restaurar todo comprándonos un programa especial: descifrador universal. Este programa restaurará todos sus archivos.
Siga nuestras instrucciones a continuación y recuperará todos sus datos.

¿Qué garantías?

Valoramos nuestra reputación. Si no hacemos nuestro trabajo y obligaciones, nadie nos pagará. Esto no está en nuestros intereses.
Todo nuestro software de descifrado está perfectamente probado y descifrará sus datos.

¿Cómo obtener acceso?

Usando un navegador:
1) Sitio web abierto: hxxps://satoshidisk.com/pay/CIGsph
2) Ingrese un correo electrónico válido para recibir el enlace de descarga después del pago.
3) Pague el monto a la dirección de Bitcoin.
4) Recibir un enlace de correo electrónico a la página de descarga.
5) Instrucción de descifrado incluida.

!!! PELIGRO !!!
NO MODIFIQUE ni intente RECUPERAR ningún archivo usted mismo. NO SE PODRÁ RESTAURAR.
!!! PELIGRO !!!

¿Cómo se distribuye en línea Ransomware Like Buhti?

El ransomware como Buhti generalmente se distribuye en línea a través de varios métodos, explotando vulnerabilidades y empleando tácticas de ingeniería social. Estos son algunos canales de distribución y técnicas comunes utilizados por ransomware como Buhti:

  • Correos electrónicos de phishing: un método frecuente es a través de correos electrónicos de phishing. Los atacantes envían correos electrónicos engañosos que parecen legítimos, a menudo haciéndose pasar por personas o organizaciones de confianza. Estos correos electrónicos pueden contener archivos adjuntos infectados, como archivos ejecutables maliciosos o documentos incrustados con malware de macros. Abrir estos archivos adjuntos desencadena el proceso de instalación del ransomware.
  • Sitios web maliciosos y descargas no autorizadas: los ciberdelincuentes pueden crear sitios web maliciosos o comprometer sitios web legítimos para distribuir ransomware. Los usuarios desprevenidos pueden descargar el ransomware sin saberlo visitando estos sitios o haciendo clic en enlaces comprometidos. Las descargas ocultas ocurren cuando el malware se descarga automáticamente sin el consentimiento o el conocimiento del usuario.
  • Kits de explotación: el ransomware se puede distribuir mediante kits de explotación, que son juegos de herramientas que aprovechan las vulnerabilidades del software o los navegadores web. Cuando un usuario visita un sitio web comprometido o hace clic en un anuncio malicioso, el kit de explotación busca vulnerabilidades y entrega la carga útil del ransomware.
  • Ataques de protocolo de escritorio remoto (RDP): los atacantes tienen como objetivo sistemas con conexiones de protocolo de escritorio remoto expuestas o poco protegidas. Emplean ataques de fuerza bruta para obtener acceso no autorizado al sistema e instalar ransomware.
  • Anuncios maliciosos (publicidad maliciosa): los anuncios maliciosos, o anuncios maliciosos, se pueden encontrar en sitios web y redes publicitarias legítimos. Estos anuncios contienen scripts ocultos que redirigen a los usuarios a sitios web que alojan ransomware o activan descargas automáticas.
  • Redes de intercambio de archivos y software pirateado: el software ilegítimo o descifrado descargado de las redes de intercambio de archivos a menudo viene incluido con ransomware u otro malware. Los usuarios que buscan obtener software o medios sin pagar corren el riesgo de instalar ransomware sin darse cuenta.
  • Explotación de vulnerabilidades de software: los autores de ransomware explotan vulnerabilidades en sistemas operativos, aplicaciones o servicios de red. Al apuntar al software sin parches o desactualizado, pueden obtener acceso no autorizado e implementar la carga útil del ransomware.

Es crucial mantener el software de seguridad actualizado, aplicar parches y actualizaciones de software regularmente, tener cuidado al abrir archivos adjuntos de correo electrónico o hacer clic en enlaces sospechosos, y usar contraseñas seguras y únicas para minimizar el riesgo de ser víctima de ataques de ransomware.

En Zaib
May 29, 2023
Ransomware
Spanish
May 29, 2023
Ransomware

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.