ELITTE87 แรนซัมแวร์

ในระหว่างการสืบสวนภัยคุกคามมัลแวร์ที่อาจเกิดขึ้น ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้พบกับสายพันธุ์ใหม่ที่เรียกว่า ELITTE87 ซอฟต์แวร์คุกคามนี้จัดอยู่ในประเภทแรนซัมแวร์ โดยแทรกซึมเข้าไปในอุปกรณ์ของเหยื่อและเริ่มการเข้ารหัสไฟล์หลายประเภท นอกจากนี้ยังเปลี่ยนชื่อไฟล์ดั้งเดิมของไฟล์ที่เข้ารหัสเหล่านี้ เหยื่อของ ELITTE87 ต้องเผชิญกับบันทึกเรียกค่าไถ่สองฉบับ โดยรายการหนึ่งปรากฏเป็นหน้าต่างป๊อปอัป ในขณะที่อีกรายการถูกบันทึกเป็นไฟล์ข้อความชื่อ 'info.txt'

ELITTE87 จะเพิ่มตัวระบุเฉพาะต่อท้ายชื่อไฟล์ รวมถึง ID ของเหยื่อ ที่อยู่อีเมล 'helpdata@zohomail.eu' และนามสกุล '.ELITTE87' ตัวอย่างเช่น ไฟล์ชื่อ '1.pdf' จะถูกเปลี่ยนชื่อเป็น '1.pdf.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87,' และในทำนองเดียวกัน '2.jpg' จะกลายเป็น '2 .jpg.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87,' และอื่นๆ นักวิจัยระบุว่า ELITTE87 เป็นตัวแปรหนึ่งของแรนซัมแวร์ในตระกูลมัลแวร์ Phobos

มัลแวร์เรียกค่าไถ่ ELITTE87 สามารถล็อคข้อมูลที่ละเอียดอ่อนและสำคัญต่างๆ ได้

บันทึกค่าไถ่ที่ออกโดย ELITTE87 Ransomware ส่งข้อความที่ชัดเจนถึงเหยื่อ โดยแจ้งให้ทราบว่าข้อมูลของพวกเขาได้รับการเข้ารหัสและดาวน์โหลดโดยอาชญากรไซเบอร์ โดยยืนยันว่าวิธีเดียวในการปลดล็อคข้อมูลนี้คือผ่านซอฟต์แวร์ที่เป็นกรรมสิทธิ์ของผู้กระทำความผิด หมายเหตุเตือนอย่างชัดเจนถึงความพยายามที่จะถอดรหัสข้อมูลอย่างอิสระหรือใช้ซอฟต์แวร์บุคคลที่สาม โดยเตือนว่าการกระทำดังกล่าวอาจทำให้ข้อมูลสูญหายอย่างถาวร

นอกจากนี้ บันทึกดังกล่าวยังห้ามปรามเหยื่อจากการขอความช่วยเหลือจากบริษัทตัวกลางหรือบริษัทกู้คืน โดยบอกเป็นนัยว่าความพยายามดังกล่าวอาจทำให้สถานการณ์รุนแรงขึ้นหรือส่งผลให้เกิดการละเมิดข้อมูลเพิ่มเติม ช่วยให้ผู้เสียหายมั่นใจได้ว่าเหตุการณ์ของการโจรกรรมข้อมูลจะถูกเก็บเป็นความลับ

นอกจากนี้ บันทึกเรียกค่าไถ่ยังให้คำมั่นว่าเมื่อชำระค่าไถ่แล้ว ข้อมูลที่ดาวน์โหลดทั้งหมดจะถูกลบออกจากระบบของอาชญากรไซเบอร์ โดยเน้นย้ำว่าข้อมูลส่วนบุคคลของเหยื่อจะไม่ถูกขายหรือแสวงหาประโยชน์อย่างมุ่งร้าย มีกำหนดเวลาที่เข้มงวด 2 วันสำหรับเหยื่อในการเริ่มต้นการติดต่อกับอาชญากรไซเบอร์และเริ่มธุรกรรมค่าไถ่

การไม่ปฏิบัติตามภายในกรอบเวลานี้ มีเจตนากระตุ้นให้มีการแบ่งปันข้อมูลกับผู้มีส่วนได้เสีย โดยที่เหยื่อตกเป็นเหยื่อโดยตรง รายละเอียดการติดต่อ รวมถึงที่อยู่อีเมลเฉพาะพร้อมคำแนะนำในการสื่อสารกับอาชญากรไซเบอร์มีอยู่ในหมายเหตุเพื่อเป็นข้อมูลอ้างอิงของเหยื่อ

มัลแวร์เรียกค่าไถ่ ELITTE87 อาจทำให้อุปกรณ์ที่ติดไวรัสเสี่ยงต่อการคุกคามจากมัลแวร์มากขึ้น

ELITTE87 Ransomware ก่อให้เกิดภัยคุกคามในหลายแง่มุม นอกเหนือจากการเข้ารหัสไฟล์ มันก้าวไปอีกขั้นด้วยการปิดการใช้งานไฟร์วอลล์บนระบบที่ติดไวรัส ซึ่งจะเป็นการเพิ่มความไวต่อกิจกรรมที่เป็นอันตรายเพิ่มเติมที่ควบคุมโดยแรนซัมแวร์ นอกจากนี้ ยังมีการดำเนินการโดยเจตนาเพื่อลบ Shadow Volume Copies ซึ่งเป็นคุณลักษณะสำคัญที่อาจอำนวยความสะดวกในการกู้คืนไฟล์ ดังนั้นจึงเพิ่มความท้าทายที่เกี่ยวข้องกับความพยายามในการกู้คืนข้อมูล

นอกเหนือจากความสามารถเหล่านี้แล้ว ELITTE87 ยังมีฟังก์ชันการทำงานที่ซับซ้อน เช่น ความสามารถในการรวบรวมข้อมูลตำแหน่งและการใช้กลไกการคงอยู่ กลไกเหล่านี้ช่วยให้แรนซัมแวร์สามารถเลือกแยกสถานที่บางแห่งออกจากการดำเนินงานได้ เพิ่มประสิทธิภาพในการหลบเลี่ยงการตรวจจับ และยืดเวลาผลกระทบต่อระบบที่ถูกบุกรุก เป็นที่น่าสังเกตว่าแรนซัมแวร์สายพันธุ์ต่างๆ เช่น ELITTE87 ซึ่งอยู่ในเครือของกลุ่ม Phobos มักจะหาประโยชน์จากช่องโหว่ภายในบริการ Remote Desktop Protocol (RDP) เพื่อเป็นวิธีในการแทรกซึมระบบ โดยเน้นย้ำถึงความสำคัญของการจัดการจุดอ่อนด้านความปลอดภัยในโปรโตคอลดังกล่าว

มาตรการสำคัญในการปรับใช้กับอุปกรณ์ของคุณเพื่อปกป้องพวกเขาจากภัยคุกคามแรนซัมแวร์

การใช้มาตรการสำคัญบนอุปกรณ์ของผู้ใช้ถือเป็นสิ่งสำคัญในการป้องกันภัยคุกคามแรนซัมแวร์ ต่อไปนี้เป็นขั้นตอนสำคัญหลายประการ:

• อัปเดตซอฟต์แวร์อยู่เสมอ : อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ความปลอดภัยบนอุปกรณ์ทั้งหมดเป็นประจำ การอัปเดตส่วนใหญ่จะมีแพตช์สำหรับช่องโหว่ที่อาชญากรไซเบอร์ใช้เพื่อติดตั้งแรนซัมแวร์
• ติดตั้งซอฟต์แวร์ความปลอดภัย : ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงและอัปเดตอยู่เสมอ ซอฟต์แวร์นี้สามารถตรวจจับและบล็อกภัยคุกคามแรนซัมแวร์ก่อนที่จะสร้างความเสียหายได้
• เปิดใช้งานการป้องกันไฟร์วอลล์ : เปิดใช้งานไฟร์วอลล์ในตัวที่มีอยู่บนอุปกรณ์เพื่อตรวจสอบและควบคุมการรับส่งข้อมูลเครือข่ายขาเข้าและขาออก โดยทำหน้าที่เป็นชั้นการป้องกันเพิ่มเติมจากแรนซัมแวร์และภัยคุกคามทางไซเบอร์อื่น ๆ
• ใช้มาตรการรักษาความปลอดภัยอีเมล : ใช้มาตรการรักษาความปลอดภัยอีเมลที่แข็งแกร่ง รวมถึงตัวกรองสแปมและการสแกนอีเมลเพื่อหาไฟล์แนบหรือลิงก์ที่ไม่ปลอดภัย สอนผู้ใช้ให้รู้จักความพยายามในการฟิชชิ่งและหลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยหรือเข้าถึงไฟล์แนบจากแหล่งที่ไม่รู้จัก
• สำรองข้อมูลเป็นประจำ : สร้างการสำรองข้อมูลที่จำเป็นและรับรองว่าข้อมูลเหล่านั้นจะถูกเก็บไว้อย่างปลอดภัยแบบออฟไลน์หรือในระบบคลาวด์ ในการโจมตีแรนซัมแวร์ การสำรองข้อมูลที่ทันสมัยสามารถช่วยในการกู้คืนข้อมูลโดยไม่ต้องจ่ายค่าไถ่
• ใช้รหัสผ่านที่ปลอดภัยและการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) : บังคับใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกันสำหรับทุกบัญชี และเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยทุกครั้งที่เป็นไปได้ MFA เพิ่มความปลอดภัยมากขึ้นโดยกำหนดให้ผู้ใช้ยืนยันตัวตนผ่านวิธีอื่น เช่น รหัสที่ส่งไปยังโทรศัพท์ของตน

การใช้มาตรการสำคัญเหล่านี้บนอุปกรณ์ของผู้ใช้ องค์กรต่างๆ สามารถลดความเสี่ยงที่จะตกเป็นเหยื่อการโจมตีของแรนซัมแวร์ได้อย่างมาก และลดผลกระทบที่อาจเกิดขึ้นกับการดำเนินงานและข้อมูลของพวกเขา

ข้อความทั้งหมดในบันทึกค่าไถ่ที่ตกเป็นเหยื่อของ ELITTE87 Ransomware อ่านว่า:

'Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:helpdata@zohomail.eu
In case of no answer in 24 hours write us to this e-mail:email.recovery24@onionmail.org
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'