Buhti-Ransomware

Buhti ist eine Ransomware-Bedrohung, die sowohl auf Windows- als auch auf Linux-Systeme abzielt. Beim Angriff auf Windows-Computer basiert die Nutzlast der Buhti-Ransomware auf einer Variante der zuvor durchgesickerten LockBit 3.0-Ransomware mit geringfügigen Modifikationen. Dennoch verwendet die Buhti Ransomware bei der Infektion von Linux-Systemen eine modifizierte Version der durchgesickerten Babuk Ransomware .

Die Arbeitsweise von Buhti besteht darin, Dateien zu verschlüsseln und ihre ursprünglichen Dateinamen durch eine Folge zufälliger Zeichen zu ersetzen. Darüber hinaus hängt die Ransomware die ID des Opfers als neue Erweiterung an jede verschlüsselte Datei an. Um mit den Opfern zu kommunizieren, hinterlässt Buhti einen Lösegeldschein in Form einer Textdatei mit dem Namen „[Opfer-ID].README.txt“.

Die Buhti-Ransomware sperrt eine Vielzahl von Dateitypen

Der Lösegeldschein liefert den Opfern eine detaillierte Erklärung zur Verschlüsselung ihrer Dateien mithilfe robuster Verschlüsselungsalgorithmen, sodass es für sie praktisch unmöglich ist, die Daten selbstständig zu entschlüsseln. Allerdings heißt es in der Notiz, dass Opfer ihre Daten wiederherstellen können, indem sie den Angreifern ein Lösegeld zahlen und so ein spezielles Programm namens „Decryptor“ erwerben. Die Bedrohungsakteure versichern ihren Opfern, dass diese Entschlüsselungssoftware gründlichen Tests unterzogen wurde und ihre Daten nach erfolgreicher Implementierung effektiv wiederherstellen wird.

Um Kontakt zu den Cyberkriminellen aufzunehmen, werden die Opfer in der Notiz angewiesen, einen Webbrowser zu verwenden und zu einer bestimmten Website zu navigieren. Dort wird er aufgefordert, eine gültige E-Mail-Adresse einzugeben, um nach Abschluss des Zahlungsvorgangs einen Download-Link zu erhalten. Die im Hinweis angegebene Zahlung muss mit Bitcoin erfolgen und an eine angegebene Bitcoin-Adresse gerichtet sein.

Nach Abschluss der Zahlung erhalten die Opfer eine E-Mail mit einem Link zur Download-Seite. Auf dieser Seite finden Sie ausführliche Anweisungen zum weiteren Vorgehen beim Entschlüsselungsprozess. Der Lösegeldschein betont nachdrücklich die potenziellen Risiken, die mit dem Versuch verbunden sind, die Dateien unabhängig zu ändern oder wiederherzustellen, da behauptet wird, dass solche Aktionen nicht zu einer erfolgreichen Wiederherstellung führen würden.

Zusätzlich zur Verschlüsselung von Dateien verfügt Buhti über die Fähigkeit, Befehlszeilenanweisungen zu empfangen, die bestimmte Zielverzeichnisse innerhalb des Dateisystems angeben. Darüber hinaus wird ein Exfiltrationstool verwendet, das sich hauptsächlich auf den Diebstahl bestimmter Dateitypen konzentriert, darunter AIFF, ASPX, DocX, Epub, JSON, MPEG, PDF, PHP, PNG, PPT, PPTX, PSD, RAR, RAW, RTF, SQL und SVG , swf, tar, txt, wav, wma, wmv, xls, xlsx, xml, yaml und yml.

Benutzer und Organisationen müssen ihre Daten vor Ransomware-Infektionen schützen

Um ihre Daten und Geräte vor Ransomware-Infektionen zu schützen, können Benutzer und Organisationen gleichermaßen verschiedene proaktive Maßnahmen ergreifen. In erster Linie ist die Aufrechterhaltung einer robusten Backup-Strategie von entscheidender Bedeutung. Durch regelmäßiges Sichern der erforderlichen Dateien und deren Offline- oder sicheren Cloud-Speicherdienst wird sichergestellt, dass der Benutzer die Originaldateien selbst dann aus einem sauberen Backup wiederherstellen kann, wenn sie durch Ransomware verschlüsselt wurden.

Ein weiterer grundlegender Schritt besteht darin, alle Software- und Betriebssysteme auf dem neuesten Stand zu halten. Die rechtzeitige Anwendung von Sicherheitspatches und -updates trägt zum Schutz vor bekannten Schwachstellen bei, die von Ransomware ausgenutzt werden können. Dies umfasst nicht nur das Betriebssystem, sondern auch Anwendungen, Plugins und Antivirensoftware.

Der Einsatz professioneller Anti-Malware-Software bietet eine zusätzliche Verteidigungsebene. Diese Sicherheitslösungen können bekannte Ransomware-Stämme und unsichere Aktivitäten erkennen und blockieren und bieten so Echtzeitschutz vor potenziellen Bedrohungen.

Die Implementierung starker und eindeutiger Passwörter für alle Konten und die Aktivierung der Multi-Faktor-Authentifizierung (MFA), wo möglich, tragen dazu bei, das Risiko eines unbefugten Zugriffs auf Geräte und vertrauliche Informationen zu verringern. Das regelmäßige Ändern von Passwörtern und die Vermeidung der Wiederverwendung von Passwörtern über mehrere Konten hinweg sind wichtige Praktiken, die es zu befolgen gilt.

Sich über Phishing-Techniken und Social-Engineering-Taktiken zu informieren, versetzt Benutzer in die Lage, potenzielle Ransomware-Übermittlungsmethoden zu erkennen und zu vermeiden. Wenn Sie bei unerwarteten oder unaufgeforderten Anfragen nach persönlichen Daten, Finanzdaten oder Anmeldedaten vorsichtig sein, können Sie verhindern, dass Sie Opfer von Phishing-Versuchen werden.

Schließlich ist die Aufrechterhaltung eines proaktiven und wachsamen Ansatzes zur Cybersicherheit von entscheidender Bedeutung. Sich über die neuesten Ransomware-Bedrohungen, bewährte Sicherheitspraktiken und neue Trends auf dem Laufenden zu halten, kann Benutzern dabei helfen, ihre Abwehrmaßnahmen entsprechend anzupassen und effektiv auf potenzielle Risiken zu reagieren.

Insgesamt erfordert der Schutz von Daten und Geräten vor Ransomware-Infektionen eine Kombination aus vorbeugenden Maßnahmen, Bewusstsein und kontinuierlicher Sorgfalt, um den sich entwickelnden Bedrohungen immer einen Schritt voraus zu sein.

Der Lösegeldschein, den Buhti Ransomware seinen Opfern hinterließ, lautet:

'----------- [ Willkommen bei buhtiRansom ] ------------->

Was ist passiert?

Ihre Dateien werden verschlüsselt. Wir verwenden starke Verschlüsselungsalgorithmen, sodass Sie Ihre Daten nicht entschlüsseln können.
Aber Sie können alles wiederherstellen, indem Sie bei uns ein spezielles Programm kaufen – Universal Decryptor. Dieses Programm stellt alle Ihre Dateien wieder her.
Befolgen Sie unsere nachstehenden Anweisungen und Sie werden alle Ihre Daten wiederherstellen.

Welche Garantien?

Wir schätzen unseren Ruf. Wenn wir unserer Arbeit und unseren Verpflichtungen nicht nachkommen, wird uns niemand bezahlen. Das liegt nicht in unserem Interesse.
Unsere gesamte Entschlüsselungssoftware ist perfekt getestet und entschlüsselt Ihre Daten.

Wie erhalte ich Zugang?

Verwendung eines Browsers:
Öffnen Sie die Website: hxxps://satoshidisk.com/pay/CIGsph
Geben Sie eine gültige E-Mail-Adresse ein, um nach der Zahlung den Download-Link zu erhalten.
Zahlen Sie den Betrag an die Bitcoin-Adresse.
Erhalten Sie per E-Mail einen Link zur Download-Seite.
Entschlüsselungsanleitung enthalten.

!!! ACHTUNG !!!
ÄNDERN Sie keine Dateien und versuchen Sie auch nicht, sie selbst wiederherzustellen. Eine Wiederherstellung ist NICHT möglich.
!!! ACHTUNG !!!'