Buhti Ransomware vise les victimes exécutant à la fois Windows et Linux

Buhti est un type de ransomware qui cible à la fois les systèmes Windows et Linux. Alors que la charge utile du ransomware Buhti se concentre principalement sur les ordinateurs Windows et est une variante du ransomware LockBit 3.0 précédemment divulgué avec quelques ajustements mineurs, il a également une version modifiée spécialement conçue pour attaquer les systèmes Linux, en tirant parti du ransomware Babuk divulgué.

Lorsque Buhti infecte un système, il crypte les fichiers et remplace leurs noms de fichiers d'origine par une chaîne de caractères aléatoires. De plus, l'ID de la victime est ajouté en tant que nouvelle extension pour chaque fichier crypté. Par exemple, un fichier initialement nommé "1.jpg" serait transformé en "4G8of7O.fxkJts2wg", tandis que "2.png" deviendrait "HePwiFM.fxkJts2wg", et ainsi de suite. Parallèlement à ce processus de cryptage, Buhti dépose également une note de rançon nommée "[victim's_ID].README.txt".

La note de rançon fournit une explication que les fichiers de la victime ont été cryptés à l'aide d'algorithmes de cryptage robustes, ce qui rend pratiquement impossible pour eux de décrypter les données de manière indépendante. Cependant, la note affirme qu'il existe une solution disponible pour que les victimes récupèrent leurs fichiers en achetant un programme spécial appelé décrypteur. Les rançonneurs rassurent les victimes que ce logiciel de décryptage a subi des tests approfondis et restaurera avec succès leurs données.

Pour retrouver l'accès à leurs fichiers cryptés, la note demande aux victimes d'utiliser un navigateur Web et de visiter un site Web spécifique. Ils sont ensuite invités à entrer une adresse e-mail valide, qui sera utilisée pour recevoir un lien de téléchargement pour le décrypteur après le paiement. Le paiement de la rançon est demandé en Bitcoin et les victimes reçoivent une adresse Bitcoin spécifique pour la transaction.

Une fois le paiement effectué, les victimes recevront un email contenant un lien vers une page de téléchargement. Cette page comprend des instructions détaillées sur la façon d'utiliser le décrypteur pour restaurer leurs fichiers. La note de rançon met l'accent sur les risques potentiels de modifier ou de tenter de récupérer les fichiers de manière indépendante, affirmant que de telles actions ne conduiront pas à une restauration réussie des données cryptées.

Buhti Ransom Note demande un paiement Bitcoin

Le texte intégral de la note de rançon de Buhti se lit comme suit :

Bienvenue sur buhtiRansom

Ce qui s'est produit?

Vos fichiers sont cryptés. Nous utilisons des algorithmes de cryptage puissants, vous ne pouvez donc pas décrypter vos données.
Mais vous pouvez tout restaurer en achetant chez nous un programme spécial - décrypteur universel. Ce programme restaurera tous vos fichiers.
Suivez nos instructions ci-dessous et vous récupérerez toutes vos données.

Quelles garanties ?

Nous apprécions notre réputation. Si nous ne faisons pas notre travail et nos responsabilités, personne ne nous paiera. Ce n'est pas dans notre intérêt.
Tous nos logiciels de décryptage sont parfaitement testés et décrypteront vos données.

Comment obtenir l'accès ?

À l'aide d'un navigateur :
1) Ouvrez le site Web : hxxps://satoshidisk.com/pay/CIGsph
2) Entrez un e-mail valide pour recevoir le lien de téléchargement après le paiement.
3) Payez le montant à l'adresse Bitcoin.
4) Recevez un lien par e-mail vers la page de téléchargement.
5) Instruction de déchiffrement incluse.

!!! DANGER !!!
NE PAS MODIFIER ou essayer de RÉCUPÉRER des fichiers vous-même. Il NE SERA PAS en mesure de RESTAURER.
!!! DANGER !!!

Comment le rançongiciel Like Buhti est-il distribué en ligne ?

Les rançongiciels comme Buhti sont généralement distribués en ligne par diverses méthodes, exploitant les vulnérabilités et employant des tactiques d'ingénierie sociale. Voici quelques canaux et techniques de distribution courants utilisés par les rançongiciels comme Buhti :

  • E-mails d'hameçonnage : une méthode courante consiste à envoyer des e-mails d'hameçonnage. Les attaquants envoient des e-mails trompeurs qui semblent légitimes, usurpant souvent l'identité d'organisations ou d'individus de confiance. Ces e-mails peuvent contenir des pièces jointes infectées, telles que des fichiers exécutables malveillants ou des documents contenant des macros malveillantes. L'ouverture de ces pièces jointes déclenche le processus d'installation du rançongiciel.
  • Sites Web malveillants et téléchargements intempestifs : les cybercriminels peuvent créer des sites Web malveillants ou compromettre des sites Web légitimes pour distribuer des logiciels de rançon. Les utilisateurs peu méfiants peuvent télécharger le rançongiciel sans le savoir en visitant ces sites ou en cliquant sur des liens compromis. Les téléchargements intempestifs se produisent lorsque des logiciels malveillants sont automatiquement téléchargés sans le consentement ou la connaissance de l'utilisateur.
  • Kits d'exploitation : les ransomwares peuvent être diffusés à l'aide de kits d'exploitation, qui sont des boîtes à outils qui tirent parti des vulnérabilités des logiciels ou des navigateurs Web. Lorsqu'un utilisateur visite un site Web compromis ou clique sur une publicité malveillante, le kit d'exploitation recherche les vulnérabilités et fournit la charge utile du ransomware.
  • Attaques RDP (Remote Desktop Protocol) : les attaquants ciblent des systèmes avec des connexions Remote Desktop Protocol exposées ou faiblement sécurisées. Ils utilisent des attaques par force brute pour obtenir un accès non autorisé au système et installer des rançongiciels.
  • Publicités malveillantes (Malvertising) : des publicités malveillantes ou des publicités malveillantes peuvent être trouvées sur des sites Web et des réseaux publicitaires légitimes. Ces publicités contiennent des scripts cachés qui redirigent les utilisateurs vers des sites Web hébergeant des rançongiciels ou déclenchent des téléchargements automatiques.
  • Réseaux de partage de fichiers et logiciels piratés : les logiciels illégitimes ou piratés téléchargés à partir de réseaux de partage de fichiers sont souvent accompagnés de rançongiciels ou d'autres logiciels malveillants. Les utilisateurs cherchant à obtenir des logiciels ou des supports sans payer risquent d'installer par inadvertance des rançongiciels.
  • Exploitation des vulnérabilités logicielles : les auteurs de rançongiciels exploitent les vulnérabilités des systèmes d'exploitation, des applications ou des services réseau. En ciblant les logiciels non corrigés ou obsolètes, ils peuvent obtenir un accès non autorisé et déployer la charge utile du ransomware.

Il est essentiel de maintenir un logiciel de sécurité à jour, d'appliquer régulièrement des correctifs et des mises à jour logicielles, de faire preuve de prudence lors de l'ouverture de pièces jointes ou de cliquer sur des liens suspects, et d'utiliser des mots de passe forts et uniques pour minimiser le risque d'être victime d'attaques de ransomwares.

Par Zaib
May 29, 2023
Ransomware
Français
May 29, 2023
Ransomware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.