ELITTE87 Ransomware
Κατά τη διάρκεια της έρευνας για πιθανές απειλές κακόβουλου λογισμικού, οι ειδικοί στον κυβερνοχώρο συνάντησαν ένα νέο στέλεχος γνωστό ως ELITTE87. Ταξινομημένο ως ransomware, αυτό το απειλητικό λογισμικό λειτουργεί διεισδύοντας στη συσκευή του θύματος και εκκινώντας την κρυπτογράφηση σε ένα ευρύ φάσμα τύπων αρχείων. Επιπλέον, αλλάζει τα αρχικά ονόματα αρχείων αυτών των κρυπτογραφημένων αρχείων. Τα θύματα του ELITTE87 έρχονται αντιμέτωπα με δύο σημειώσεις λύτρων: το ένα εμφανίζεται ως αναδυόμενο παράθυρο, ενώ το άλλο αποθηκεύεται ως αρχείο κειμένου με το όνομα 'info.txt'.
Το ELITTE87 προσθέτει συγκεκριμένα αναγνωριστικά στα ονόματα αρχείων, συμπεριλαμβανομένου του αναγνωριστικού του θύματος, της διεύθυνσης ηλεκτρονικού ταχυδρομείου «helpdata@zohomail.eu» και της επέκτασης «.ELITTE87». Για παράδειγμα, ένα αρχείο με το όνομα "1.pdf" θα μετονομαστεί σε "1.pdf.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87" και παρομοίως, το "2.jpg" θα γίνει "2 .jpg.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87' και ούτω καθεξής. Οι ερευνητές έχουν αναγνωρίσει το ELITTE87 ως μια παραλλαγή του ransomware εντός της οικογένειας κακόβουλου λογισμικού Phobos .
Πίνακας περιεχομένων
Το ELITTE87 Ransomware μπορεί να κλειδώσει διάφορα ευαίσθητα και σημαντικά δεδομένα
Το σημείωμα λύτρων που εκδόθηκε από το ELITTE87 Ransomware μεταδίδει ένα έντονο μήνυμα στα θύματά του, ενημερώνοντάς τους ότι τα δεδομένα τους έχουν κρυπτογραφηθεί και κατέβει από εγκληματίες του κυβερνοχώρου. Ισχυρίζεται ότι ο μόνος τρόπος ξεκλειδώματος αυτών των δεδομένων είναι μέσω του αποκλειστικού λογισμικού που παρέχεται από τους δράστες. Η σημείωση προειδοποιεί ρητά για την απόπειρα αποκρυπτογράφησης των δεδομένων ανεξάρτητα ή την προσφυγή σε λογισμικό τρίτων, προειδοποιώντας ότι τέτοιες ενέργειες θα μπορούσαν να οδηγήσουν σε μη αναστρέψιμη απώλεια δεδομένων.
Επιπλέον, το σημείωμα αποθαρρύνει τα θύματα να αναζητήσουν βοήθεια από μεσάζοντες ή εταιρείες ανάκτησης, υπονοώντας ότι τέτοιες προσπάθειες μπορεί να επιδεινώσουν την κατάσταση ή να οδηγήσουν σε περαιτέρω παραβίαση δεδομένων. Διαβεβαιώνει τα θύματα ότι το περιστατικό κλοπής δεδομένων θα παραμείνει εμπιστευτικό.
Επιπλέον, το σημείωμα λύτρων δεσμεύεται ότι με την πληρωμή των λύτρων, όλα τα ληφθέντα δεδομένα θα διαγραφούν από τα συστήματα των κυβερνοεγκληματιών. Τονίζει ότι τα προσωπικά στοιχεία του θύματος δεν θα πωληθούν ή θα χρησιμοποιηθούν κακόβουλα. Επιβάλλεται αυστηρή προθεσμία 2 ημερών για να ξεκινήσει το θύμα επαφή με τους κυβερνοεγκληματίες και να ξεκινήσει τη συναλλαγή λύτρων.
Η μη συμμόρφωση εντός αυτού του χρονικού πλαισίου υποτίθεται ότι ενεργοποιεί την κοινοποίηση των δεδομένων με τα ενδιαφερόμενα μέρη, με την ευθύνη να βαρύνει το θύμα. Τα στοιχεία επικοινωνίας, συμπεριλαμβανομένων συγκεκριμένων διευθύνσεων ηλεκτρονικού ταχυδρομείου με οδηγίες για τον τρόπο επικοινωνίας με τους εγκληματίες του κυβερνοχώρου, παρέχονται στο σημείωμα για αναφορά του θύματος.
Το ELITTE87 Ransomware μπορεί να κάνει τη μολυσμένη συσκευή πιο ευάλωτη σε απειλές κακόβουλου λογισμικού
Το ELITTE87 Ransomware αποτελεί μια πολύπλευρη απειλή πέρα από την απλή κρυπτογράφηση αρχείων. Προχωρά ένα βήμα παραπέρα απενεργοποιώντας το τείχος προστασίας στο μολυσμένο σύστημα, αυξάνοντας έτσι την ευαισθησία του σε περαιτέρω επιβλαβείς δραστηριότητες που ενορχηστρώνονται από το ransomware. Επιπλέον, λαμβάνει σκόπιμη δράση για τη διαγραφή των αντιγράφων τόμου σκιάς, ένα κρίσιμο χαρακτηριστικό που θα μπορούσε ενδεχομένως να διευκολύνει την αποκατάσταση αρχείων, εντείνοντας έτσι τις προκλήσεις που σχετίζονται με τις προσπάθειες ανάκτησης δεδομένων.
Εκτός από αυτές τις δυνατότητες, το ELITTE87 παρουσιάζει εξελιγμένες λειτουργίες, όπως η ικανότητα συλλογής δεδομένων τοποθεσίας και εφαρμογής μηχανισμών εμμονής. Αυτοί οι μηχανισμοί επιτρέπουν στο ransomware να αποκλείει επιλεκτικά ορισμένες τοποθεσίες από τις λειτουργίες του, ενισχύοντας την αποτελεσματικότητά του στην αποφυγή του εντοπισμού και παρατείνοντας τον αντίκτυπό του στο παραβιασμένο σύστημα. Αξίζει να σημειωθεί ότι παραλλαγές ransomware όπως το ELITTE87, οι οποίες συνδέονται με την οικογένεια Phobos, συχνά εκμεταλλεύονται ευπάθειες στις υπηρεσίες Remote Desktop Protocol (RDP) ως μέσο διείσδυσης σε συστήματα, υπογραμμίζοντας τη σημασία της αντιμετώπισης αδυναμιών ασφαλείας σε τέτοια πρωτόκολλα.
Κρίσιμα μέτρα που πρέπει να εφαρμόσετε στις συσκευές σας για την προστασία τους από απειλές ransomware
Η εφαρμογή κρίσιμων μέτρων στις συσκευές των χρηστών είναι απαραίτητη για την προστασία από απειλές ransomware. Ακολουθούν διάφορα βασικά βήματα:
- Διατήρηση ενημερωμένου λογισμικού : Ενημερώνετε τακτικά τα λειτουργικά συστήματα, τις εφαρμογές και το λογισμικό ασφαλείας σε όλες τις συσκευές. Οι ενημερώσεις τις περισσότερες φορές περιλαμβάνουν ενημερώσεις κώδικα για γνωστά τρωτά σημεία που εκμεταλλεύονται οι εγκληματίες του κυβερνοχώρου για να εγκαταστήσουν ransomware.
- Εγκατάσταση λογισμικού ασφαλείας : Χρησιμοποιήστε αξιόπιστο λογισμικό προστασίας από κακόβουλο λογισμικό και κρατήστε το ενημερωμένο. Αυτό το λογισμικό μπορεί να εντοπίσει και να αποκλείσει απειλές ransomware προτού προκαλέσουν ζημιά.
- Ενεργοποίηση προστασίας τείχους προστασίας : Ενεργοποιήστε οποιοδήποτε διαθέσιμο ενσωματωμένο τείχος προστασίας σε συσκευές για την παρακολούθηση και τον έλεγχο της εισερχόμενης και εξερχόμενης κυκλοφορίας δικτύου, ενεργώντας ως πρόσθετο επίπεδο άμυνας έναντι ransomware και άλλων απειλών στον κυβερνοχώρο.
- Εφαρμόστε μέτρα ασφαλείας email : Εφαρμόστε ισχυρά μέτρα ασφαλείας email, συμπεριλαμβανομένων φίλτρων ανεπιθύμητης αλληλογραφίας και σάρωσης email για μη ασφαλή συνημμένα ή συνδέσμους. Διδάξτε τους χρήστες να αναγνωρίζουν τις προσπάθειες phishing και να παρακάμπτουν το κλικ σε αμφίβολους συνδέσμους ή την πρόσβαση σε συνημμένα από άγνωστες πηγές.
- Δημιουργία αντιγράφων ασφαλείας δεδομένων τακτικά : Δημιουργήστε αντίγραφα ασφαλείας βασικών δεδομένων και βεβαιωθείτε ότι αποθηκεύονται με ασφάλεια εκτός σύνδεσης ή στο cloud. Σε περίπτωση επίθεσης ransomware, η ύπαρξη ενημερωμένων αντιγράφων ασφαλείας μπορεί να βοηθήσει στην επαναφορά δεδομένων χωρίς να πληρώσετε τα λύτρα.
- Χρήση ασφαλών κωδικών πρόσβασης και ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) : Επιβάλετε τη χρήση ισχυρών, μοναδικών κωδικών πρόσβασης για όλους τους λογαριασμούς και ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων όπου είναι δυνατόν. Το MFA προσθέτει περισσότερη ασφάλεια απαιτώντας από τους χρήστες να επαληθεύουν την ταυτότητά τους μέσω άλλης μεθόδου, όπως ένας κωδικός που αποστέλλεται στο τηλέφωνό τους.
Εφαρμόζοντας αυτά τα κρίσιμα μέτρα στις συσκευές των χρηστών, οι οργανισμοί μπορούν να μειώσουν σημαντικά τον κίνδυνο να πέσουν θύματα επιθέσεων ransomware και να μετριάσουν τις πιθανές επιπτώσεις στις λειτουργίες και τα δεδομένα τους.
Το πλήρες κείμενο του σημειώματος λύτρων που αφέθηκε στα θύματα του ELITTE87 Ransomware έχει ως εξής:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:helpdata@zohomail.eu
In case of no answer in 24 hours write us to this e-mail:email.recovery24@onionmail.org
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
