ALBUUE Ransomware
Analyse utført av infosec-eksperter har avslørt at ELBOW Ransomware er en variant av PHOB O S malware-familien. Trusselen kan utplasseres i angrep mot individuelle brukere eller bedriftsmål. Takket være de destruktive egenskapene kan hver kompromittert datamaskin låses effektivt. Som de fleste malware av denne typen, retter ELBOW Ransomware seg på en rekke filtyper og krypterer dem med en sterk kryptografisk algoritme. Ofre vil ikke kunne få tilgang til noen av de berørte dokumentene, PDF-er, databaser, arkiver og mer.
Når ELBOW Ransomware krypterer en fil, vil den også merke den ved å gjøre flere endringer i den filens opprinnelige navn. Først vil en tegnstreng som fungerer som ID for det spesifikke offeret bli lagt til. E-posten 'UNKNOWNTEAM@criptext.com' vil bli lagt til neste, etterfulgt av '.ELBOW' som en ny filtype.
For å sikre at brukere mottar løsepenger-krevende meldinger, leverer ELBOW Ransomware to forskjellige notater til den brutte enheten. Trusselen vil opprette en tekstfil kalt 'info.txt' som inneholder den korteste av notatene, mens det riktige settet med instruksjoner vil vises i et popup-vindu.
Kravene til ELBOW Ransomware
Begge notatene gjentar at brukere først bør prøve å etablere kontakt med nettkriminelle via 'UNKNOWNTEAM@criptext.com.' Men hvis det går 24 timer uten å motta svar, skal ofrene prøve backup-e-posten på 'ELBOWTALK@my.com.' Tilsynelatende jo raskere brukere sender en melding, jo bedre vil betingelsene for løsepenger være.
De nettkriminelle oppgir også at de er villige til å demonstrere sin evne til å gjenopprette de krypterte dataene. De tilbyr å låse opp opptil 5 filer gratis. De valgte filene må imidlertid ikke overstige en total ikke-arkivert størrelse på 4 MB.
Meldingen som vises i ELBOWs popup-vindu er:
' Alle filene dine er kryptert!
Alle filene dine er kryptert på grunn av et sikkerhetsproblem med PC-en din. Hvis du ønsker å gjenopprette dem, skriv til oss på e-posten UNKNOWNTEAM@criptext.com
Skriv denne ID-en i tittelen på meldingen -
Hvis du ikke får svar innen 24 timer, skriv til denne e-posten:ELBOWTALK@my.com
Du må betale for dekryptering i Bitcoins. Prisen avhenger av hvor raskt du skriver til oss. Etter betaling vil vi sende deg verktøyet som vil dekryptere alle filene dine.
Gratis dekryptering som garanti
Før du betaler kan du sende oss opptil 5 filer for gratis dekryptering. Den totale størrelsen på filene må være mindre enn 4 Mb (ikke arkivert), og filene skal ikke inneholde verdifull informasjon. (databaser, sikkerhetskopier, store excel-ark, etc.)
Hvordan få tak i Bitcoins
Den enkleste måten å kjøpe bitcoins på er LocalBitcoins-siden. Du må registrere deg, klikke 'Kjøp bitcoins' og velge selger etter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finne andre steder å kjøpe Bitcoins og nybegynnerguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Merk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt) eller du kan bli et offer for en svindel.Notatet som finnes i tekstfilen er:
!!!Alle filene dine er kryptert!!!
For å dekryptere dem send e-post til denne adressen: UNKNOWNTEAM@criptext.com.
Hvis vi ikke svarer innen 24 timer, send e-post til denne adressen: ELBOWTALK@my.com .'
