Buhti 勒索軟件針對同時運行 Windows 和 Linux 的受害者

Buhti 是一種針對 Windows 和 Linux 系統的勒索軟件。雖然 Buhti 勒索軟件有效載荷主要針對 Windows 計算機，並且是先前洩露的 LockBit 3.0 勒索軟件的變體，並進行了一些小的調整，但它還有一個專門設計用於攻擊 Linux 系統的修改版本，利用了洩露的 Babuk 勒索軟件。

當 Buhti 感染系統時，它會加密文件並將其原始文件名替換為一串隨機字符。此外，受害者的 ID 被附加為每個加密文件的新擴展名。例如，原名為“1.jpg”的文件將轉換為“4G8of7O.fxkJts2wg”，而“2.png”將轉換為“HePwiFM.fxkJts2wg”，等等。除了這個加密過程，Buhti 還投放了一張名為“[victim's_ID].README.txt”的贖金票據。

贖金票據解釋說，受害者的文件已使用強大的加密算法進行了加密，因此他們幾乎不可能獨立解密數據。然而，該說明聲稱受害者可以通過購買一種稱為解密器的特殊程序來恢復他們的文件。勒索者向受害者保證，該解密軟件已經過全面測試，將成功恢復他們的數據。

為了重新獲得對加密文件的訪問權限，該說明指示受害者使用網絡瀏覽器並訪問特定網站。然後系統會提示他們輸入一個有效的電子郵件地址，該地址將用於在付款後接收解密器的下載鏈接。要求以比特幣支付贖金，並向受害者提供用於交易的特定比特幣地址。

付款完成後，受害者將收到一封包含下載頁面鏈接的電子郵件。此頁麵包含有關如何使用解密器恢復其文件的詳細說明。贖金票據強調了修改或嘗試獨立恢復文件的潛在風險，聲稱此類操作不會導致成功恢復加密數據。

Buhti 贖金票據要求比特幣支付

Buhti勒索信全文如下：

歡迎來到 buhtiRansom

發生了什麼事？

您的文件已加密。我們使用強大的加密算法，因此您無法解密您的數據。
但是您可以通過從我們這裡購買特殊程序 - 通用解密器來恢復一切。該程序將恢復您的所有文件。
按照下面的說明進行操作，您將恢復所有數據。

什麼保證？

我們重視我們的聲譽。如果我們不做我們的工作和責任，沒有人會付錢給我們。這不符合我們的利益。
我們所有的解密軟件都經過完美測試，可以解密您的數據。

如何獲得訪問權限？

使用瀏覽器：
1）打開網址：hxxps://satoshidisk.com/pay/CIGsph
2) 付款後輸入有效郵箱接收下載鏈接。
3）支付金額到比特幣地址。
4) 收到下載頁面的電子郵件鏈接。
5）包括解密指令。

！！！危險 ！！！
請勿自行修改或嘗試恢復任何文件。它將無法恢復。
！！！危險 ！！！

像 Buhti 這樣的勒索軟件是如何在網上傳播的？

像 Buhti 這樣的勒索軟件通常通過各種方法在線分發，利用漏洞並採用社會工程策略。以下是 Buhti 等勒索軟件使用的一些常見分發渠道和技術：

• 網絡釣魚電子郵件：一種流行的方法是通過網絡釣魚電子郵件。攻擊者發送看似合法的欺騙性電子郵件，通常冒充受信任的組織或個人。這些電子郵件可能包含受感染的附件，例如惡意可執行文件或嵌入了宏惡意軟件的文檔。打開這些附件會觸發勒索軟件安裝過程。
• 惡意網站和路過式下載：網絡罪犯可能會創建惡意網站或破壞合法網站以分發勒索軟件。毫無戒心的用戶可以通過訪問這些站點或單擊受感染的鏈接在不知不覺中下載勒索軟件。當惡意軟件在未經用戶同意或不知情的情況下自動下載時，就會發生路過式下載。
• 漏洞利用工具包：勒索軟件可以使用漏洞利用工具包進行傳播，漏洞利用工具包是利用軟件或網絡瀏覽器中的漏洞的工具包。當用戶訪問受感染的網站或點擊惡意廣告時，漏洞利用工具包會掃描漏洞並傳送勒索軟件負載。
• 遠程桌面協議 (RDP) 攻擊：攻擊者將遠程桌面協議連接公開或保護不力的系統作為目標。他們使用暴力攻擊來獲得對系統的未授權訪問並安裝勒索軟件。
• 惡意廣告 (Malvertising)：可以在合法網站和廣告網絡上找到惡意廣告或惡意廣告。這些廣告包含隱藏腳本，可將用戶重定向到託管勒索軟件的網站或觸發自動下載。
• 文件共享網絡和盜版軟件：從文件共享網絡下載的非法或破解軟件通常與勒索軟件或其他惡意軟件捆綁在一起。試圖在不付費的情況下獲取軟件或媒體的用戶面臨無意中安裝勒索軟件的風險。
• 利用軟件漏洞：勒索軟件作者利用操作系統、應用程序或網絡服務中的漏洞。通過針對未打補丁或過時的軟件，他們可以獲得未經授權的訪問並部署勒索軟件有效負載。

保持最新的安全軟件、定期應用軟件補丁和更新、打開電子郵件附件或單擊可疑鏈接時要謹慎行事以及使用強而獨特的密碼以最大程度地降低成為勒索軟件攻擊受害者的風險至關重要。