باج افزار ELITTE87
در طول بررسی تهدیدات احتمالی بدافزار، کارشناسان امنیت سایبری با نوع جدیدی به نام ELITTE87 مواجه شدند. این نرمافزار تهدیدکننده که به عنوان باجافزار طبقهبندی میشود، با نفوذ به دستگاه قربانی و شروع رمزگذاری در طیف گستردهای از انواع فایلها عمل میکند. علاوه بر این، نام فایل های اصلی این فایل های رمزگذاری شده را تغییر می دهد. قربانیان ELITTE87 با دو یادداشت باجگیری مواجه میشوند: یکی بهعنوان یک پنجره بازشو ظاهر میشود، در حالی که دیگری بهعنوان یک فایل متنی با نام «info.txt» ذخیره میشود.
ELITTE87 شناسههای خاصی را به نام فایلها اضافه میکند، از جمله شناسه قربانی، آدرس ایمیل "helpdata@zohomail.eu" و پسوند ".ELITTE87". برای مثال، فایلی با نام «1.pdf» به «1.pdf.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87» تغییر نام داده می شود و به طور مشابه، «2.jpg» به «2» تبدیل می شود. jpg.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87' و غیره. محققان ELITTE87 را به عنوان گونهای از باجافزار در خانواده بدافزار Phobos شناسایی کردهاند.
فهرست مطالب
باج افزار ELITTE87 می تواند داده های حساس و مهم مختلف را قفل کند
باجافزار صادر شده توسط باجافزار ELITTE87 پیام بدی را به قربانیان خود میرساند و به آنها اطلاع میدهد که دادههای آنها توسط مجرمان سایبری رمزگذاری و دانلود شده است. ادعا می کند که تنها راه باز کردن قفل این داده ها از طریق نرم افزار اختصاصی ارائه شده توسط مجرمان است. این یادداشت صریحاً در مورد تلاش برای رمزگشایی دادهها بهطور مستقل یا توسل به نرمافزار شخص ثالث هشدار میدهد و هشدار میدهد که چنین اقداماتی میتواند منجر به از دست دادن دادههای غیرقابل برگشت شود.
علاوه بر این، این یادداشت قربانیان را از درخواست کمک از شرکتهای واسطه یا بازیابی منصرف میکند و القا میکند که چنین تلاشهایی ممکن است وضعیت را تشدید کند یا منجر به به خطر انداختن اطلاعات بیشتر شود. این به قربانیان اطمینان می دهد که حادثه سرقت داده ها محرمانه نگه داشته خواهد شد.
علاوه بر این، یادداشت باج متعهد شده است که با پرداخت باج، کلیه داده های دانلود شده از سیستم مجرمان سایبری پاک می شود. تاکید میکند که اطلاعات شخصی قربانی فروخته نمیشود یا مورد سوء استفاده قرار نمیگیرد. مهلت شدید 2 روزه برای قربانی برای شروع تماس با مجرمان سایبری و شروع معامله باج تعیین شده است.
عدم رعایت در این بازه زمانی ظاهراً باعث به اشتراک گذاری داده ها با طرف های ذینفع می شود و تقصیر مستقیماً متوجه قربانی می شود. جزئیات تماس، از جمله آدرسهای ایمیل خاص با دستورالعملهای نحوه ارتباط با مجرمان سایبری، در یادداشت برای مرجع قربانی ارائه شده است.
باج افزار ELITTE87 ممکن است دستگاه آلوده را در برابر تهدیدات بدافزار آسیب پذیرتر کند
باج افزار ELITTE87 یک تهدید چند وجهی فراتر از رمزگذاری فایل ها ایجاد می کند. با غیرفعال کردن فایروال روی سیستم آلوده یک گام فراتر می رود و در نتیجه حساسیت آن را نسبت به فعالیت های مضر بعدی که توسط باج افزار تنظیم شده است افزایش می دهد. علاوه بر این، برای حذف Shadow Volume Copies، یک ویژگی حیاتی که به طور بالقوه می تواند بازیابی فایل ها را تسهیل کند، اقدام عمدی انجام می دهد و در نتیجه چالش های مرتبط با تلاش های بازیابی داده ها را تشدید می کند.
علاوه بر این قابلیتها، ELITTE87 عملکردهای پیچیدهای مانند توانایی جمعآوری دادههای مکان و پیادهسازی مکانیسمهای پایداری را نشان میدهد. این مکانیسمها به باجافزار اجازه میدهد تا بهطور انتخابی مکانهای خاصی را از عملیات خود حذف کند، کارایی آن را در اجتناب از شناسایی و طولانیتر کردن تأثیر آن بر سیستم در معرض خطر افزایش میدهد. شایان ذکر است که انواع باجافزار مانند ELITTE87 که به خانواده فوبوس وابسته هستند، اغلب از آسیبپذیریهای موجود در سرویسهای پروتکل دسکتاپ از راه دور (RDP) به عنوان ابزاری برای نفوذ به سیستمها استفاده میکنند و بر اهمیت رسیدگی به ضعفهای امنیتی در این پروتکلها تأکید میکنند.
اقدامات مهمی که باید روی دستگاههایتان اجرا کنید تا از آنها در برابر تهدیدات باجافزار محافظت کنید
اجرای اقدامات اساسی در دستگاه های کاربران برای محافظت در برابر تهدیدات باج افزار ضروری است. در اینجا چندین مرحله کلیدی وجود دارد:
- نرم افزار را به روز نگه دارید : سیستم عامل ها، برنامه ها و نرم افزارهای امنیتی را به طور منظم در همه دستگاه ها به روز کنید. به روز رسانی ها اغلب شامل وصله هایی برای آسیب پذیری های شناخته شده است که مجرمان سایبری برای نصب باج افزار از آنها سوء استفاده می کنند.
- نصب نرم افزار امنیتی : از نرم افزارهای ضد بدافزار معتبر استفاده کنید و آن را به روز نگه دارید. این نرمافزار میتواند تهدیدات باجافزار را قبل از ایجاد آسیب شناسایی و مسدود کند.
- فعال کردن محافظت از فایروال : هر فایروال داخلی موجود در دستگاه ها را برای نظارت و کنترل ترافیک شبکه ورودی و خروجی فعال کنید و به عنوان یک لایه دفاعی اضافی در برابر باج افزارها و سایر تهدیدات سایبری عمل کند.
- از اقدامات امنیتی ایمیل استفاده کنید : اقدامات امنیتی ایمیل قوی را اجرا کنید، از جمله فیلترهای هرزنامه و اسکن ایمیل برای پیوست ها یا پیوندهای ناامن. به کاربران بیاموزید که تلاشهای فیشینگ را تشخیص دهند و از کلیک روی پیوندهای مشکوک یا دسترسی به پیوستهای منابع ناشناخته دور بزنند.
- به طور منظم از دادههای پشتیبان تهیه کنید : از دادههای ضروری نسخه پشتیبان تهیه کنید و اطمینان حاصل کنید که به صورت آفلاین یا در فضای ابری ذخیره میشوند. هنگام وقوع یک حمله باجافزار، داشتن نسخههای پشتیبان بهروز میتواند به بازیابی دادهها بدون پرداخت باج کمک کند.
- استفاده از گذرواژههای ایمن و احراز هویت چند عاملی (MFA) : استفاده از رمزهای عبور قوی و منحصر به فرد را برای همه حسابها اعمال کنید و احراز هویت چند مرحلهای را تا جایی که ممکن است فعال کنید. MFA با الزام کاربران به تأیید هویت خود از طریق روش دیگری مانند کد ارسال شده به تلفن خود، امنیت بیشتری را افزایش می دهد.
با اجرای این اقدامات حیاتی بر روی دستگاههای کاربران، سازمانها میتوانند خطر قربانی شدن در حملات باجافزار را به میزان قابل توجهی کاهش دهند و تأثیر بالقوه بر عملیات و دادههای خود را کاهش دهند.
متن کامل یادداشت باج به قربانیان باج افزار ELITTE87 به شرح زیر است:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:helpdata@zohomail.eu
In case of no answer in 24 hours write us to this e-mail:email.recovery24@onionmail.org
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'