Buhti Ransomware sikter mot ofre som kjører både Windows og Linux

Buhti er en type løsepengevare som retter seg mot både Windows- og Linux-systemer. Mens Buhti-ransomware-nyttelasten primært fokuserer på Windows-datamaskiner og er en variant av den tidligere lekkede LockBit 3.0-ransomwaren med noen mindre justeringer, har den også en modifisert versjon spesielt designet for å angripe Linux-systemer, og utnytter den lekkede Babuk-ransomwaren.

Når Buhti infiserer et system, krypterer det filer og erstatter deres originale filnavn med en streng med tilfeldige tegn. I tillegg legges offerets ID til som den nye utvidelsen for hver kryptert fil. For eksempel vil en fil opprinnelig kalt "1.jpg" bli transformert til "4G8of7O.fxkJts2wg", mens "2.png" vil bli "HePwiFM.fxkJts2wg," og så videre. Ved siden av denne krypteringsprosessen slipper Buhti også en løsepenge med navnet "[victim's_ID].README.txt".

Løsepengene gir en forklaring på at offerets filer er kryptert ved hjelp av robuste krypteringsalgoritmer, noe som gjør det praktisk talt umulig for dem å dekryptere dataene uavhengig. Imidlertid hevder notatet at det er en løsning tilgjengelig for ofrene for å gjenopprette filene sine - ved å kjøpe et spesielt program kjent som en dekryptering. Løserne forsikrer ofrene om at denne dekrypteringsprogramvaren har gjennomgått grundige tester og vil lykkes med å gjenopprette dataene deres.

For å få tilbake tilgang til de krypterte filene deres, instruerer notatet ofrene om å bruke en nettleser og besøke et bestemt nettsted. De blir deretter bedt om å angi en gyldig e-postadresse, som vil bli brukt til å motta en nedlastingslenke for dekrypteringsmaskinen etter at betalingen er utført. Løsepengene blir bedt om i Bitcoin og ofrene får en spesifikk Bitcoin-adresse for transaksjonen.

Når betalingen er fullført, vil ofrene motta en e-post som inneholder en lenke til en nedlastingsside. Denne siden inneholder detaljerte instruksjoner om hvordan du bruker dekryptering for å gjenopprette filene deres. Løsepengene understreker den potensielle risikoen ved å endre eller forsøke å gjenopprette filene uavhengig, og hevder at slike handlinger ikke vil føre til en vellykket gjenoppretting av de krypterte dataene.

Buhti løsepengenotat ber om Bitcoin-betaling

Den fullstendige teksten til Buhti løsepengenotatet lyder som følger:

Velkommen til buhtiRansom

Hva skjedde?

Filene dine er kryptert. Vi bruker sterke krypteringsalgoritmer, så du kan ikke dekryptere dataene dine.
Men du kan gjenopprette alt ved å kjøpe et spesielt program fra oss - universal decryptor. Dette programmet vil gjenopprette alle filene dine.
Følg instruksjonene nedenfor og du vil gjenopprette alle dataene dine.

Hvilke garantier?

Vi verdsetter vårt rykte. Hvis vi ikke gjør vårt arbeid og våre forpliktelser, vil ingen betale oss. Dette er ikke i vår interesse.
All vår dekrypteringsprogramvare er perfekt testet og vil dekryptere dataene dine.

Hvordan få tilgang?

Bruke en nettleser:
1) Åpne nettsted: hxxps://satoshidisk.com/pay/CIGsph
2) Skriv inn gyldig e-post for å motta nedlastingslenke etter betaling.
3) Betal beløp til Bitcoin-adresse.
4) Motta e-postlenke til nedlastingssiden.
5) Dekrypteringsinstruksjon inkludert.

!!! FARE!!!
IKKE MODIFISER eller prøv å GJENOPPRETT filer selv. Det VIL IKKE være i stand til å gjenopprette.
!!! FARE!!!

Hvordan distribueres ransomware som Buhti på nettet?

Ransomware som Buhti distribueres vanligvis på nettet gjennom ulike metoder, utnytter sårbarheter og bruker sosial ingeniørtaktikk. Her er noen vanlige distribusjonskanaler og teknikker som brukes av løsepengeprogramvare som Buhti:

  • Phishing-e-poster: En vanlig metode er gjennom phishing-e-poster. Angripere sender villedende e-poster som virker legitime, og utgir seg ofte for å være pålitelige organisasjoner eller enkeltpersoner. Disse e-postene kan inneholde infiserte vedlegg, for eksempel ondsinnede kjørbare filer eller dokumenter innebygd med makro malware. Åpning av disse vedleggene utløser løsepengevareinstallasjonsprosessen.
  • Ondsinnede nettsteder og nedlastinger som kjører forbi: Nettkriminelle kan opprette ondsinnede nettsteder eller kompromittere legitime nettsteder for å distribuere løsepengeprogramvare. Intetanende brukere kan ubevisst laste ned løsepengevaren ved å besøke disse nettstedene eller klikke på kompromitterte lenker. Drive-by-nedlastinger skjer når skadelig programvare lastes ned automatisk uten brukerens samtykke eller viten.
  • Utnyttelsessett: Ransomware kan leveres ved hjelp av utnyttelsessett, som er verktøysett som utnytter sårbarheter i programvare eller nettlesere. Når en bruker besøker et kompromittert nettsted eller klikker på en ondsinnet annonse, skanner utnyttelsessettet etter sårbarheter og leverer løsepengelasten.
  • Remote Desktop Protocol (RDP)-angrep: Angripere målretter mot systemer med utsatte eller svakt sikrede Remote Desktop Protocol-forbindelser. De bruker brute-force-angrep for å få uautorisert tilgang til systemet og installere løsepengeprogramvare.
  • Ondsinnede annonser (malvertising): Ondsinnede annonser, eller malvertisements, kan bli funnet på legitime nettsteder og annonsenettverk. Disse annonsene inneholder skjulte skript som omdirigerer brukere til nettsteder som er vert for løsepengevare eller utløser automatiske nedlastinger.
  • Fildelingsnettverk og piratkopiert programvare: Ulovlig eller sprukket programvare lastet ned fra fildelingsnettverk leveres ofte sammen med løsepengeprogramvare eller annen skadelig programvare. Brukere som ønsker å skaffe programvare eller medier uten å betale, risikerer å installere løsepengeprogramvare ved et uhell.
  • Utnyttelse av programvaresårbarheter: Ransomware-forfattere utnytter sårbarheter i operativsystemer, applikasjoner eller nettverkstjenester. Ved å målrette mot uoppdatert eller utdatert programvare kan de få uautorisert tilgang og distribuere løsepengelasten.

Det er avgjørende å opprettholde oppdatert sikkerhetsprogramvare, regelmessig bruke programvareoppdateringer og -oppdateringer, utvise forsiktighet når du åpner e-postvedlegg eller klikker på mistenkelige lenker, og bruke sterke, unike passord for å minimere risikoen for å bli offer for løsepengevareangrep.

Innen Zaib
May 29, 2023
Ransomware
Norsk
May 29, 2023
Ransomware

Populære innlegg

Microsoft advarer statsstøttede trusselaktører bruker AI i angrep

5 days siden

Trojan Al11 Malware Deteksjon

11 months siden

Popup-vinduer "Din iCloud blir hacket" og "Din iPhone har...

7 months siden

Pinaview er en Adware-app med alle funksjoner

10 months siden

Hva er Lucky Ransomware?

7 months siden

«American Express – Oppdater kontoinformasjonen din»...

6 months siden
Norsk
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.