Buhti 勒索软件针对同时运行 Windows 和 Linux 的受害者

Buhti 是一种针对 Windows 和 Linux 系统的勒索软件。虽然 Buhti 勒索软件有效载荷主要针对 Windows 计算机，并且是先前泄露的 LockBit 3.0 勒索软件的变体，并进行了一些小的调整，但它还有一个专门设计用于攻击 Linux 系统的修改版本，利用了泄露的 Babuk 勒索软件。

当 Buhti 感染系统时，它会加密文件并将其原始文件名替换为一串随机字符。此外，受害者的 ID 被附加为每个加密文件的新扩展名。例如，原名为“1.jpg”的文件将转换为“4G8of7O.fxkJts2wg”，而“2.png”将转换为“HePwiFM.fxkJts2wg”，等等。除了这个加密过程，Buhti 还投放了一张名为“[victim's_ID].README.txt”的赎金票据。

赎金票据解释说，受害者的文件已使用强大的加密算法进行了加密，因此他们几乎不可能独立解密数据。然而，该说明声称受害者可以通过购买一种称为解密器的特殊程序来恢复他们的文件。勒索者向受害者保证，该解密软件已经过全面测试，将成功恢复他们的数据。

为了重新获得对加密文件的访问权限，该说明指示受害者使用网络浏览器并访问特定网站。然后系统会提示他们输入一个有效的电子邮件地址，该地址将用于在付款后接收解密器的下载链接。要求以比特币支付赎金，并向受害者提供用于交易的特定比特币地址。

付款完成后，受害者将收到一封包含下载页面链接的电子邮件。此页面包含有关如何使用解密器恢复其文件的详细说明。赎金票据强调了修改或尝试独立恢复文件的潜在风险，声称此类操作不会导致成功恢复加密数据。

Buhti 赎金票据要求比特币支付

Buhti勒索信全文如下：

欢迎来到 buhtiRansom

发生了什么事？

您的文件已加密。我们使用强大的加密算法，因此您无法解密您的数据。
但是您可以通过从我们这里购买特殊程序 - 通用解密器来恢复一切。该程序将恢复您的所有文件。
按照下面的说明进行操作，您将恢复所有数据。

什么保证？

我们重视我们的声誉。如果我们不做我们的工作和责任，没有人会付钱给我们。这不符合我们的利益。
我们所有的解密软件都经过完美测试，可以解密您的数据。

如何获得访问权限？

使用浏览器：
1）打开网址：hxxps://satoshidisk.com/pay/CIGsph
2) 付款后输入有效邮箱接收下载链接。
3）支付金额到比特币地址。
4) 收到下载页面的电子邮件链接。
5）包括解密指令。

！！！危险 ！！！
请勿自行修改或尝试恢复任何文件。它将无法恢复。
！！！危险 ！！！

像 Buhti 这样的勒索软件是如何在网上传播的？

像 Buhti 这样的勒索软件通常通过各种方法在线分发，利用漏洞并采用社会工程策略。以下是 Buhti 等勒索软件使用的一些常见分发渠道和技术：

• 网络钓鱼电子邮件：一种流行的方法是通过网络钓鱼电子邮件。攻击者发送看似合法的欺骗性电子邮件，通常冒充受信任的组织或个人。这些电子邮件可能包含受感染的附件，例如恶意可执行文件或嵌入了宏恶意软件的文档。打开这些附件会触发勒索软件安装过程。
• 恶意网站和路过式下载：网络罪犯可能会创建恶意网站或破坏合法网站以分发勒索软件。毫无戒心的用户可以通过访问这些站点或单击受感染的链接在不知不觉中下载勒索软件。当恶意软件在未经用户同意或不知情的情况下自动下载时，就会发生路过式下载。
• 漏洞利用工具包：勒索软件可以使用漏洞利用工具包进行传播，漏洞利用工具包是利用软件或网络浏览器中的漏洞的工具包。当用户访问受感染的网站或点击恶意广告时，漏洞利用工具包会扫描漏洞并传送勒索软件负载。
• 远程桌面协议 (RDP) 攻击：攻击者将远程桌面协议连接公开或保护不力的系统作为目标。他们使用暴力攻击来获得对系统的未授权访问并安装勒索软件。
• 恶意广告 (Malvertising)：可以在合法网站和广告网络上找到恶意广告或恶意广告。这些广告包含隐藏脚本，可将用户重定向到托管勒索软件的网站或触发自动下载。
• 文件共享网络和盗版软件：从文件共享网络下载的非法或破解软件通常与勒索软件或其他恶意软件捆绑在一起。试图在不付费的情况下获取软件或媒体的用户面临无意中安装勒索软件的风险。
• 利用软件漏洞：勒索软件作者利用操作系统、应用程序或网络服务中的漏洞。通过针对未打补丁或过时的软件，他们可以获得未经授权的访问并部署勒索软件有效负载。

保持最新的安全软件、定期应用软件补丁和更新、打开电子邮件附件或单击可疑链接时要谨慎行事以及使用强而独特的密码以最大程度地降低成为勒索软件攻击受害者的风险至关重要。