FortiGuard 实验室每两周收集有关勒索软件变体的数据,这些变体在我们的数据集和 OSINT 社区中越来越受到关注。勒索软件综述报告旨在为读者提供有关不断演变的勒索软件格局以及防范这些变体的 Fortinet 解决方案的简要见解。
本版勒索软件综述涵盖了 Albabat 勒索软件。
受影响的平台: Microsoft Windows
受影响方: Microsoft Windows 用户
影响: 加密受害者的文件并要求赎金以进行文件解密
严重级别: 高
Albabat 勒索软件概述
Albabat也称为 White Bat,是一种以 Rust 编写的出于经济动机的勒索软件变体,它会识别和加密对用户重要的文件,并要求赎金才能释放它们。它首次出现于 2023 年 11 月,其变体版本为 0.1.0。 0.3.0 版本于 12 月下旬发布,随后于 2024 年 1 月中旬发布了 0.3.3 版本。
感染载体
Albabat 勒索软件似乎作为流氓软件进行分发,例如假冒的 Windows 10 数字激活工具和《反恐精英 2》游戏的作弊程序。
受害者学
Albabat 勒索软件样本已提交给公开的文件扫描服务,它似乎主要针对阿根廷、巴西、捷克共和国、德国、匈牙利、哈萨克斯坦、俄罗斯和美国的公司和个人。但由于它是作为假软件分发的,因此勒索软件可以影响任何人。
攻击方式
Albabat 勒索软件执行后,它会寻找要加密的文件。它避免加密以下文件类型:
下面列出的其他文件类型在版本 0.3.0 和 0.3.3 中不被加密:
请注意,0.3.0 版本中不包括以浅绿色突出显示的文件类型。以浅黄色突出显示的文件类型是版本 0.3.3 中排除的附加文件。
Albabat 勒索软件加密的文件具有“.abbt”文件扩展名。
该勒索软件还用自己的壁纸替换了桌面壁纸。
图1.被Albatat勒索软件0.3.0版本替换的桌面壁纸
Albabat 勒索软件的壁纸声称它支持 Windows 和 Linux 平台。但是,我们尚未找到 Linux 样本。由于该勒索软件是用 Rust 语言编写的,可以从一种操作系统交叉编译到另一种操作系统,因此未来可能会发布 Linux 版本。
版本 0.1.0 尝试终止 Chrome.exe。从版本 0.3.0 开始,勒索软件还尝试终止以下附加进程:
0.3.0 及更高版本还停止以下服务:
从版本 0.3.0 开始,勒索软件可能会窃取或修改以下文件:
版本 0.3.3 将以下条目添加到 Windows Hosts 文件中以阻止对某些站点的访问:
127[.]0[.]0[.]1 malware-guide[.]com
127[.]0[.]0[.]1 www[.]pcrisk[.]pt
127[.]0[.]0[.]1 www[.]pcrisk[.]com
127[.]0[.]0[.]1 adware[.]guru
127[.]0[.]0[.]1 www[.]cyclonis[.]com
127[.]0[.]0[.]1 jp[.]broadcom[.]com
127[.]0[.]0[.]1 www[.]broadcom[.]com
127[.]0[.]0[.]1 www[.]enigmasoftware[.]com
127[.]0[.]0[.]1 howtofix[.]guide
127[.]0[.]0[.]1 easysolvemalware[.]com
127[.]0[.]0[.]1 bbs[.]360[.]cn
127[.]0[.]0[.]1 pcsafetygeek[.]com
127[.]0[.]0[.]1 tria[.]ge
加密过程完成后,勒索软件会删除以下文件:
版本0.1.0
%USERPROFILE%AlbabatAlbabat.ekey
%USERPROFILE%AlbabatAlbabat.log
%USERPROFILE%AlbabatREADME.html
%USERPROFILE%Albabatwallpaper_albabat.jpg
%USERPROFILE%Albabatwwwbanner.jpg
%USERPROFILE%Albabatwwwfaq.html
%USERPROFILE%Albabatwwwscript.js
%USERPROFILE%Albabatwwwstyle.css
版本0.3.0
%USERPROFILE%AlbabatAlbabat.ekey
%USERPROFILE%AlbabatAlbabat_Logs.log
%USERPROFILE%Albabatpersonal_id.txt
%USERPROFILE%Albabatwallpaper_albabat.jpg
%USERPROFILE%AlbabatreadmeREADME.html
%USERPROFILE%Albabatreadmeassetsstyle.css
%USERPROFILE%Albabatreadmeassetsscript.js
%USERPROFILE%Albabatreadmeassetsbanner.jpg
%USERPROFILE%Albabatreadmepagesfaq.html
版本0.3.3
%USERPROFILE%AlbabatAlbabat.ekey
%USERPROFILE%Albabatcredits.txt
%USERPROFILE%AlbabatEncryption_DBG.log
%USERPROFILE%Albabatpersonal_id.txt
%USERPROFILE%Albabatwallpaper_albabat.jpg
%USERPROFILE%AlbabatreadmeREADME.html
%USERPROFILE%Albabatassetsbanner.jpg
%USERPROFILE%Albabatassetsscript.js
%USERPROFILE%Albabatassetsstyle.css
%USERPROFILE%Albabatpagesfaq.html
图 2. Albabat 勒索软件版本 0.3.3 投放到 %USERPROFILE%Albabat 的文件
图 3. Albabat 勒索软件版本 0.3.3 投放到 %USERPROFILE%Albabatreadme 的文件
图 4. Albabat 勒索软件版本 0.3.3 投放到 %USERPROFILE%Albabatreadmeassets 的文件
图 5. Albabat 勒索软件版本 0.3.3 投放到 %USERPROFILE%Albabatreadmepages 的文件
README.html 文件是一封勒索信,指示受害者向攻击者发送电子邮件。它需要 0.0015 比特币(约 64 美元)来解密文件。 0.1.0、0.3.0 和 0.3.3 版本释放的勒索字条除了格式之外有很大不同。
图 6. Albabat 勒索软件版本 0.3.3 部署的勒索信息
勒索字条有一个使用谷歌翻译服务的翻译选项,可以将其翻译成 100 多种语言。选择翻译选项时,会自动选择葡萄牙语作为翻译语言,这可能表明这是勒索软件开发人员的主要语言。
图 7. Albabat 勒索软件勒索字条中 Google Translate 支持的语言
根据勒索信息,大于 5MB 的文件在我们的测试环境中未加密。
FAQ 选项打开 FAQ.html,除了第 10 项(在 0.3.0 版本中添加)之外,各个变体之间没有太大区别。
图8. Albabat版本0.3.3的FAQ页面
在我们调查时,攻击者的比特币钱包没有任何交易。
数据泄露网站
尽管 Albabat 勒索软件样本之一指示受害者访问 TOR 站点,但在我们调查时该站点已无法访问。由于赎金票据中没有提及数据泄露,因此 TOR 站点很可能仅用于赎金谈判。
Fortinet保护
Fortinet 客户已通过我们的防病毒和 FortiEDR 服务免受此恶意软件变体的侵害,如下所示:
FortiGuard Labs 检测到具有以下 AV 签名的 Albabat 勒索软件样本:
W32/可能的威胁
FortiGuard AntiVirus 服务 受 FortiGate、FortiMail、FortiClient 和 FortiEDR 支持。运行最新防病毒更新的 Fortinet EPP 客户也受到保护。
国际奥委会
Albabat 勒索软件文件 IOC
参考链接: https://www.fortinet.com/blog/threat-research/ransomware-roundup-albabat
图片来源网络目标可联系删除