A Buhti Ransomware Windowst és Linuxot is futtató áldozatokat céloz meg
A Buhti egyfajta zsarolóvírus, amely Windows és Linux rendszereket is megcéloz. Míg a Buhti ransomware hasznos terhelés elsősorban a Windows számítógépekre koncentrál, és a korábban kiszivárgott LockBit 3.0 zsarolóprogram egy változata néhány kisebb módosítással, van egy módosított változata is, amelyet kifejezetten a Linux rendszerek támadására terveztek, kihasználva a kiszivárgott Babuk ransomware-t.
Amikor a Buhti megfertőz egy rendszert, akkor titkosítja a fájlokat, és lecseréli az eredeti fájlnevüket egy véletlenszerű karaktersorozatra. Ezenkívül minden titkosított fájl új kiterjesztéseként az áldozat azonosítója is hozzá van csatolva. Például az eredetileg „1.jpg” nevű fájl „4G8of7O.fxkJts2wg”-re, míg a „2.png” „HePwiFM.fxkJts2wg”-re, és így tovább. A titkosítási folyamat mellett Buhti egy „[áldozat_azonosítója].README.txt” nevű váltságdíjat is eldob.
A váltságdíjról szóló feljegyzés magyarázatot ad arra, hogy az áldozat fájljait robusztus titkosítási algoritmusokkal titkosították, ami gyakorlatilag lehetetlenné teszi számukra az adatok önálló visszafejtését. A feljegyzés azonban azt állítja, hogy létezik megoldás az áldozatok számára fájljaik helyreállítására – egy speciális, dekódoló program megvásárlásával. A váltságdíjasok megnyugtatják az áldozatokat, hogy ez a visszafejtő szoftver alapos tesztelésen esett át, és sikeresen visszaállítja adataikat.
A titkosított fájlokhoz való hozzáférés visszaszerzése érdekében a feljegyzés arra utasítja az áldozatokat, hogy használjanak egy webböngészőt, és látogassanak meg egy adott webhelyet. Ezután a rendszer felkéri őket, hogy adjanak meg egy érvényes e-mail címet, amely a fizetés után megkapja a visszafejtő letöltési linkjét. A váltságdíjat Bitcoinban kérik, és az áldozatok egy konkrét Bitcoin-címet kapnak a tranzakcióhoz.
A fizetés befejezése után az áldozatok e-mailt kapnak, amely egy letöltési oldalra mutató hivatkozást tartalmaz. Ez az oldal részletes utasításokat tartalmaz a visszafejtő használatával a fájlok visszaállításához. A váltságdíj feljegyzés hangsúlyozza a fájlok önálló módosításának vagy helyreállításának lehetséges kockázatait, azt állítva, hogy az ilyen műveletek nem vezetnek a titkosított adatok sikeres visszaállításához.
A Buhti Ransom Note Bitcoin fizetést kér
A buhti váltságdíj teljes szövege a következő:
Üdvözöljük a buhtiRansomban
Mi történt?
A fájlok titkosítva vannak. Erős titkosítási algoritmusokat használunk, így nem tudja visszafejteni adatait.
De mindent visszaállíthat, ha megvásárol egy speciális programot tőlünk - univerzális decryptor. Ez a program visszaállítja az összes fájlt.
Kövesse az alábbi utasításainkat, és visszaállítja az összes adatot.Milyen garanciák?
Értékeljük hírnevünket. Ha nem végezzük el a munkánkat és a kötelezettségeinket, senki sem fizet nekünk. Ez nem a mi érdekünk.
Minden visszafejtő szoftverünk tökéletesen tesztelt, és visszafejti az Ön adatait.Hogyan lehet hozzáférni?
Böngésző használatával:
1) Nyissa meg a webhelyet: hxxps://satoshidisk.com/pay/CIGsph
2) Adja meg érvényes e-mail-címét, hogy fizetés után megkapja a letöltési linket.
3) Fizessen összeget a Bitcoin címére.
4) Kapjon e-mailben linket a letöltési oldalra.
5) Decrypt utasítás tartalmazza.!!! VESZÉLY !!!
NE MÓDOSÍTSA, és NE próbálja meg saját maga VISSZAÁLLÍTNI. NEM LESZ VISSZAÁLLÍTÁSA.
!!! VESZÉLY !!!
Hogyan terjeszthető online a Ransomware, mint a Buhti?
Az olyan zsarolóprogramokat, mint a Buhti, általában különféle módszerekkel, a sebezhetőségek kihasználásával és a szociális tervezési taktikák alkalmazásával terjesztik online. Íme néhány gyakori terjesztési csatorna és technika, amelyet a zsarolóvírusok, például a Buhti használnak:
- Adathalász e-mailek: Az egyik elterjedt módszer az adathalász e-mailek. A támadók jogosnak tűnő megtévesztő e-maileket küldenek, gyakran megbízható szervezeteknek vagy személyeknek adják ki magukat. Ezek az e-mailek fertőzött mellékleteket tartalmazhatnak, például rosszindulatú végrehajtható fájlokat vagy makró-malware-t tartalmazó dokumentumokat. E mellékletek megnyitása elindítja a zsarolóprogramok telepítési folyamatát.
- Rosszindulatú webhelyek és Drive-by letöltések: A kiberbűnözők rosszindulatú webhelyeket hozhatnak létre, vagy jogszerű webhelyeket terjeszthetnek zsarolóprogramokat. A gyanútlan felhasználók tudtukon kívül letölthetik a ransomware-t, ha felkeresik ezeket a webhelyeket, vagy rákattintnak a feltört hivatkozásokra. Drive-by letöltések akkor fordulnak elő, amikor a rosszindulatú program automatikusan letöltődik a felhasználó beleegyezése vagy tudta nélkül.
- Exploit Kits: A Ransomware kizsákmányoló készletekkel szállítható, amelyek olyan eszközkészletek, amelyek kihasználják a szoftverek vagy webböngészők sérülékenységét. Amikor egy felhasználó meglátogat egy feltört webhelyet, vagy rákattint egy rosszindulatú hirdetésre, a kizsákmányoló készlet megkeresi a sebezhetőségeket, és továbbítja a zsarolóprogramot.
- Remote Desktop Protocol (RDP) támadások: A támadók olyan rendszereket céloznak meg, amelyek távoli vagy gyengén védett Remote Desktop Protocol kapcsolatokkal rendelkeznek. Brute-force támadásokat alkalmaznak, hogy jogosulatlan hozzáférést szerezzenek a rendszerhez, és zsarolóprogramokat telepítsenek.
- Rosszindulatú hirdetések (rosszindulatú hirdetések): A rosszindulatú hirdetések vagy rosszindulatú hirdetések legitim webhelyeken és hirdetési hálózatokon találhatók. Ezek a hirdetések rejtett szkripteket tartalmaznak, amelyek átirányítják a felhasználókat ransomware-t tartalmazó webhelyekre, vagy automatikus letöltést indítanak el.
- Fájlmegosztó hálózatok és kalózszoftverek: A fájlmegosztó hálózatokról letöltött illegitim vagy feltört szoftvereket gyakran zsarolóprogramokkal vagy más rosszindulatú programokkal együtt szállítják. Azok a felhasználók, akik fizetés nélkül szeretnének szoftverhez vagy adathordozóhoz jutni, fennáll annak a veszélye, hogy véletlenül ransomware-t telepítenek.
- Szoftver sebezhetőségeinek kihasználása: A Ransomware szerzői az operációs rendszerek, alkalmazások vagy hálózati szolgáltatások sebezhetőségeit használják ki. A javítatlan vagy elavult szoftverek megcélzásával jogosulatlan hozzáféréshez juthatnak, és telepíthetik a zsarolóprogramokat.
Kulcsfontosságú a naprakész biztonsági szoftverek karbantartása, a szoftverjavítások és -frissítések rendszeres alkalmazása, az e-mail mellékletek megnyitásakor vagy a gyanús hivatkozásokra való kattintáskor körültekintően kell eljárni, valamint erős, egyedi jelszavakat használni a ransomware támadások áldozatává válás kockázatának minimalizálása érdekében.