ELITTE87 Ransomware
Mahdollisia haittaohjelmauhkia tutkiessaan kyberturvallisuusasiantuntijat törmäsivät uuteen ELITTE87-nimiseen kantaan. Tämä uhkaava ohjelmisto, joka on luokiteltu kiristysohjelmiksi, toimii tunkeutumalla uhrin laitteeseen ja käynnistämällä salauksen useille tiedostotyypeille. Lisäksi se muuttaa näiden salattujen tiedostojen alkuperäisiä tiedostonimiä. ELITTE87:n uhrit kohtaavat kaksi lunnaita: toinen näkyy ponnahdusikkunana, kun taas toinen on tallennettu tekstitiedostona nimeltä "info.txt".
ELITTE87 liittää tiedostonimiin erityisiä tunnisteita, mukaan lukien uhrin tunnuksen, sähköpostiosoitteen 'helpdata@zohomail.eu' ja tunnisteen '.ELITTE87'. Esimerkiksi 1.pdf-niminen tiedosto nimetään uudelleen muotoon 1.pdf.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87, ja vastaavasti tiedostosta 2.jpg tulee 2. .jpg.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87, ja niin edelleen. Tutkijat ovat tunnistaneet ELITTE87:n muunnelmaksi kiristysohjelmista Phobos -haittaohjelmaperheessä.
Sisällysluettelo
ELITTE87 Ransomware voi lukita useita arkaluonteisia ja tärkeitä tietoja
ELITTE87 Ransomwaren julkaisema lunnasilmoitus välittää jyrkän viestin uhreilleen ja ilmoittaa heille, että kyberrikolliset ovat salaaneet ja lataaneet heidän tietonsa. Se väittää, että ainoa tapa vapauttaa nämä tiedot on tekijöiden tarjoaman ohjelmiston avulla. Huomautus varoittaa nimenomaisesti yrittämästä purkaa tietoja itsenäisesti tai turvautumasta kolmannen osapuolen ohjelmistoihin ja varoittaa, että tällaiset toimet voivat johtaa peruuttamattomaan tietojen menettämiseen.
Lisäksi muistio luopua uhreista hakemasta apua välittäjiltä tai perintäyrityksiltä vihjaten, että tällaiset yritykset voivat pahentaa tilannetta tai johtaa uusiin tietojen vaarantumiseen. Se vakuuttaa uhreille, että tietovarkaustapaus pidetään luottamuksellisina.
Lisäksi lunnaat lupaavat, että lunnaat maksettaessa kaikki ladatut tiedot poistetaan kyberrikollisten järjestelmistä. Se korostaa, että uhrin henkilökohtaisia tietoja ei myydä tai hyödynnetä haitallisesti. Uhrille on asetettu tiukka 2 päivän määräaika ottaa yhteyttä kyberrikollisiin ja aloittaa lunnaita.
Jos määräyksiä ei noudateta tässä määräajassa, väitetään, että tiedot jaetaan asianomaisille osapuolille, ja syy on suoraan uhrin varassa. Yhteystiedot, mukaan lukien erityiset sähköpostiosoitteet ja ohjeet verkkorikollisten kanssa kommunikointiin, on annettu muistiinpanossa uhrin viitteeksi.
ELITTE87 Ransomware voi tehdä tartunnan saaneesta laitteesta alttiimman haittaohjelmauhille
ELITTE87 Ransomware muodostaa monitahoisen uhan tiedostojen salaamisen lisäksi. Se menee askeleen pidemmälle poistamalla palomuuri käytöstä tartunnan saaneesta järjestelmästä, mikä lisää sen alttiutta haitallisille toimille, joita kiristysohjelma ohjaa. Lisäksi Shadow Volume Copies -kopioiden poistaminen vaatii harkittuja toimia. Tämä on kriittinen ominaisuus, joka voi mahdollisesti helpottaa tiedostojen palauttamista, mikä lisää tietojen palauttamiseen liittyviä haasteita.
Näiden ominaisuuksien lisäksi ELITTE87:ssä on kehittyneitä toimintoja, kuten kyky kerätä sijaintitietoja ja toteuttaa pysyvyysmekanismeja. Näiden mekanismien avulla kiristysohjelma voi valikoivasti sulkea pois tietyt paikat toiminnastaan, mikä parantaa sen tehokkuutta havaitsemisen välttämisessä ja pidentää sen vaikutusta vaarantuneeseen järjestelmään. On syytä huomata, että ransomware-versiot, kuten ELITTE87, jotka liittyvät Phobos-perheeseen, käyttävät usein hyväkseen Remote Desktop Protocol (RDP) -palveluiden haavoittuvuuksia keinona tunkeutua järjestelmiin, mikä korostaa tällaisten protokollien tietoturvaheikkouksien korjaamisen tärkeyttä.
Tärkeitä toimenpiteitä laitteidesi suojelemiseksi kiristyshaittaohjelmilta
Tärkeiden toimenpiteiden toteuttaminen käyttäjien laitteissa on välttämätöntä kiristysohjelmien uhkia vastaan suojautumisen kannalta. Tässä on useita keskeisiä vaiheita:
- Pidä ohjelmisto päivitettynä : Päivitä säännöllisesti kaikkien laitteiden käyttöjärjestelmät, sovellukset ja tietoturvaohjelmistot. Päivitykset sisältävät useimmiten korjauksia tunnetuille haavoittuvuuksille, joita verkkorikolliset käyttävät hyväkseen asentaakseen kiristysohjelmia.
- Asenna suojausohjelmisto : Käytä hyvämaineisia haittaohjelmien torjuntaohjelmistoja ja pidä se ajan tasalla. Tämä ohjelmisto voi havaita ja estää ransomware-uhat ennen kuin ne voivat aiheuttaa vahinkoa.
- Ota palomuurisuoja käyttöön : Aktivoi mikä tahansa käytettävissä oleva sisäänrakennettu palomuuri laitteissa valvomaan ja hallitsemaan tulevaa ja lähtevää verkkoliikennettä, mikä toimii lisäsuojana kiristysohjelmia ja muita kyberuhkia vastaan.
- Käytä sähköpostin suojaustoimenpiteitä : Ota käyttöön vankat sähköpostin suojaustoimenpiteet, mukaan lukien roskapostisuodattimet ja sähköpostin tarkistus vaarallisten liitteiden tai linkkien varalta. Opeta käyttäjiä tunnistamaan tietojenkalasteluyritykset ja välttämään kyseenalaisten linkkien napsauttamista tai tuntemattomista lähteistä peräisin olevien liitteiden käyttämistä.
- Varmuuskopioi tiedot säännöllisesti : Luo varmuuskopiot tärkeistä tiedoista ja varmista, että ne tallennetaan turvallisesti offline-tilassa tai pilveen. Kiristysohjelmahyökkäyksen sattuessa ajantasaiset varmuuskopiot voivat auttaa tietojen palauttamisessa ilman lunnaiden maksamista.
- Käytä turvallisia salasanoja ja monivaiheista todennusta (MFA) : Pakota käyttämään vahvoja, yksilöllisiä salasanoja kaikissa tileissä ja ota käyttöön monitekijätodennus aina kun mahdollista. MFA lisää turvallisuutta vaatimalla käyttäjiä vahvistamaan henkilöllisyytensä toisella menetelmällä, kuten puhelimeen lähetetyllä koodilla.
Toteuttamalla nämä tärkeät toimenpiteet käyttäjien laitteissa organisaatiot voivat vähentää merkittävästi riskiä joutua kiristysohjelmahyökkäysten uhriksi ja lieventää mahdollisia vaikutuksia toimintoihinsa ja tietoihinsa.
ELITTE87 Ransomwaren uhreille jätetyn lunnasilmoituksen koko teksti kuuluu seuraavasti:
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:helpdata@zohomail.eu
In case of no answer in 24 hours write us to this e-mail:email.recovery24@onionmail.org
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'
