ELITTE87 Ransomware
Under undersøgelsen af potentielle malware-trusler stødte cybersikkerhedseksperter på en ny stamme kendt som ELITTE87. Klassificeret som ransomware fungerer denne truende software ved at infiltrere et offers enhed og starte kryptering på en bred vifte af filtyper. Desuden ændrer det de originale filnavne på disse krypterede filer. Ofre for ELITTE87 bliver konfronteret med to løsesumsedler: Den ene vises som et pop-up-vindue, mens den anden er gemt som en tekstfil med navnet 'info.txt'.
ELITTE87 tilføjer specifikke identifikatorer til filnavnene, herunder offerets ID, e-mailadressen 'helpdata@zohomail.eu' og udvidelsen '.ELITTE87.' For eksempel ville en fil med navnet '1.pdf' blive omdøbt til '1.pdf.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87,' og på samme måde ville '2.jpg' blive '2 .jpg.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87,' og så videre. Forskere har identificeret ELITTE87 som en variant af ransomware inden for Phobos malware-familien.
Indholdsfortegnelse
ELITTE87 Ransomware kan låse forskellige følsomme og vigtige data
Løsesedlen udstedt af ELITTE87 Ransomware leverer en skarp besked til sine ofre, der informerer dem om, at deres data er blevet krypteret og downloadet af cyberkriminelle. Den hævder, at den eneste måde at låse disse data op er gennem den proprietære software leveret af gerningsmændene. Noten advarer eksplicit mod at forsøge at dekryptere dataene uafhængigt eller ty til tredjepartssoftware, idet man advarer om, at sådanne handlinger kan føre til irreversibelt datatab.
Desuden afskrækker notatet ofre fra at søge hjælp fra mellemled eller gendannelsesvirksomheder, hvilket insinuerer, at sådanne bestræbelser kan forværre situationen eller resultere i yderligere datakompromittering. Det forsikrer ofrene om, at tilfældet med datatyveri vil blive holdt fortroligt.
Desuden lover løsesumsedlen, at ved betaling af løsesummen vil alle downloadede data blive slettet fra de cyberkriminelles systemer. Det understreger, at ofrets personlige oplysninger ikke vil blive solgt eller udnyttet ondsindet. Der pålægges en streng frist på 2 dage for offeret til at indlede kontakt med cyberkriminelle og påbegynde løsesumstransaktionen.
Manglende overholdelse inden for denne tidsramme udløser angiveligt deling af data med interesserede parter, med skylden direkte på offeret. Kontaktoplysninger, herunder specifikke e-mailadresser med instruktioner om, hvordan man kommunikerer med cyberkriminelle, er angivet i noten til offerets reference.
ELITTE87 Ransomware kan gøre den inficerede enhed mere sårbar over for malware-trusler
ELITTE87 Ransomware udgør en mangefacetteret trussel ud over blot at kryptere filer. Det går et skridt videre ved at deaktivere firewallen på det inficerede system, og derved øge dets modtagelighed for yderligere skadelige aktiviteter orkestreret af ransomwaren. Desuden kræver det bevidst handling at slette Shadow Volume Copies, en kritisk funktion, der potentielt kan lette filgendannelse og derved intensivere udfordringerne forbundet med datagendannelsesindsatsen.
Ud over disse egenskaber udviser ELITTE87 sofistikerede funktionaliteter, såsom evnen til at indsamle lokationsdata og implementere persistensmekanismer. Disse mekanismer gør det muligt for ransomware selektivt at udelukke bestemte steder fra dens operationer, hvilket øger dens effektivitet i at undgå opdagelse og forlænger dens indvirkning på det kompromitterede system. Det er værd at bemærke, at ransomware-varianter som ELITTE87, der er tilknyttet Phobos-familien, ofte udnytter sårbarheder inden for Remote Desktop Protocol (RDP)-tjenester som et middel til at infiltrere systemer, hvilket understreger vigtigheden af at adressere sikkerhedssvagheder i sådanne protokoller.
Afgørende foranstaltninger til at implementere på dine enheder for at beskytte dem mod ransomware-trusler
Implementering af afgørende foranstaltninger på brugernes enheder er afgørende for at sikre mod ransomware-trusler. Her er flere vigtige trin:
- Hold software opdateret : Opdater regelmæssigt operativsystemer, applikationer og sikkerhedssoftware på alle enheder. Opdateringer oftest af tiden inkluderer patches til kendte sårbarheder, som cyberkriminelle udnytter til at installere ransomware.
- Installer sikkerhedssoftware : Brug velrenommeret anti-malware-software, og hold det opdateret. Denne software kan opdage og blokere ransomware-trusler, før de kan forårsage skade.
- Aktiver firewallbeskyttelse : Aktiver enhver tilgængelig indbygget firewall på enheder for at overvåge og kontrollere indgående og udgående netværkstrafik, der fungerer som et ekstra lag af forsvar mod ransomware og andre cybertrusler.
- Anvend e-mail-sikkerhedsforanstaltninger : Implementer robuste e-mail-sikkerhedsforanstaltninger, herunder spamfiltre og e-mail-scanning for usikre vedhæftede filer eller links. Lær brugerne at genkende phishing-forsøg og omgå at klikke på tvivlsomme links eller få adgang til vedhæftede filer fra ukendte kilder.
- Sikkerhedskopier data regelmæssigt : Opret sikkerhedskopier af væsentlige data, og sørg for, at de opbevares sikkert offline eller i skyen. Når der opstår et ransomware-angreb, kan det at have opdaterede sikkerhedskopier hjælpe med at gendanne data uden at betale løsesum.
- Brug sikre adgangskoder og multifaktorautentificering (MFA) : Håndhæv brugen af stærke, unikke adgangskoder til alle konti og aktivér multifaktorgodkendelse, hvor det er muligt. MFA tilføjer mere sikkerhed ved at kræve, at brugerne bekræfter deres identitet ved hjælp af en anden metode, såsom en kode sendt til deres telefon.
Ved at implementere disse afgørende foranstaltninger på brugernes enheder kan organisationer reducere risikoen for at blive ofre for ransomware-angreb betydeligt og mindske den potentielle indvirkning på deres operationer og data.
Den fulde tekst af løsesumsedlen, der er overladt til ofrene for ELITTE87 Ransomware, lyder:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:helpdata@zohomail.eu
In case of no answer in 24 hours write us to this e-mail:email.recovery24@onionmail.org
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
