ELBOW Ransomware

Analyse udført af infosec-eksperter har afsløret, at ELBOW Ransomware er en variant af PHOBOS malware-familien. Truslen kan implementeres i angreb mod individuelle brugere eller virksomhedsmål. Takket være dens destruktive egenskaber kan hver kompromitteret computer låses effektivt. Som de fleste malware af denne type, retter ELBOW Ransomware sig på adskillige filtyper og krypterer dem med en stærk kryptografisk algoritme. Ofre vil blive ude af stand til at få adgang til nogen af de berørte dokumenter, PDF'er, databaser, arkiver og mere.

Når ELBOW Ransomware krypterer en fil, vil den også markere den ved at foretage flere ændringer af filens oprindelige navn. Først vil en tegnstreng, der fungerer som ID for det specifikke offer, blive tilføjet. E-mailen 'UNKNOWNTEAM@criptext.com' tilføjes derefter, efterfulgt af '.ELBOW' som en ny filtypenavn.

For at sikre, at brugerne modtager sine løsesum-krævende beskeder, leverer ELBOW Ransomware to forskellige noter til den overtrådte enhed. Truslen vil oprette en tekstfil med navnet 'info.txt', der indeholder den korteste af noterne, mens det korrekte sæt instruktioner vil blive vist i et pop-up-vindue.

ELBOW Ransomwares krav

Begge noter gentager, at brugere først bør forsøge at etablere kontakt med cyberkriminelle via 'UNKNOWNTEAM@criptext.com.' Men hvis der går 24 timer uden at modtage et svar, formodes ofrene at prøve backup-e-mailen på 'ELBOWTALK@my.com.' Jo hurtigere brugerne sender en besked, jo bedre vil betingelserne for løsesummen være.

De cyberkriminelle oplyser også, at de er villige til at demonstrere deres evne til at gendanne de krypterede data. De tilbyder at låse op til 5 filer gratis op. De valgte filer må dog ikke overstige en samlet ikke-arkiveret størrelse på 4MB.

Beskeden vist i ELBOWs pop-up vindue er:

' Alle dine filer er blevet krypteret!
Alle dine filer er blevet krypteret på grund af et sikkerhedsproblem med din pc. Hvis du vil gendanne dem, så skriv til os på e-mailen UNKNOWNTEAM@criptext.com
Skriv dette ID i titlen på din besked -
I tilfælde af intet svar inden for 24 timer, skriv til os på denne e-mail:ELBOWTALK@my.com
Du skal betale for dekryptering i Bitcoins. Prisen afhænger af, hvor hurtigt du skriver til os. Efter betaling sender vi dig værktøjet, der dekrypterer alle dine filer.
Gratis dekryptering som garanti
Før du betaler, kan du sende os op til 5 filer til gratis dekryptering. Den samlede størrelse af filer skal være mindre end 4 Mb (ikke arkiveret), og filer bør ikke indeholde værdifuld information. (databaser, sikkerhedskopier, store excel-ark osv.)
Sådan får du Bitcoins
Den nemmeste måde at købe bitcoins på er LocalBitcoins websted. Du skal registrere dig, klikke på 'Køb bitcoins' og vælge sælger efter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finde andre steder at købe Bitcoins og begynderguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Opmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus.

Noten fundet inde i tekstfilen er:

!!!Alle dine filer er krypteret!!!
For at dekryptere dem, send en e-mail til denne adresse: UNKNOWNTEAM@criptext.com.
Hvis vi ikke svarer inden for 24 timer, send en e-mail til denne adresse: ELBOWTALK@my.com .'