ELBOW Ransomware

信息安全专家进行的分析表明，ELBOW勒索软件是 PHOBOS 恶意软件家族的变种。威胁可以部署在针对个人用户或公司目标的攻击中。由于其破坏能力，每台受感染的计算机都可以被有效锁定。与大多数此类恶意软件一样，ELBOW Ransomware 以多种文件类型为目标，并使用强大的加密算法对其进行加密。受害者将无法访问任何受影响的文档、PDF、数据库、档案等。

每当 ELBOW Ransomware 加密文件时，它也会通过对该文件的原始名称进行多次更改来标记它。首先，将附加一个字符串作为特定受害者的 ID。接下来将添加“UNKNOWNTEAM@criptext.com”电子邮件，然后添加“.ELBOW”作为新的文件扩展名。

为了确保用户收到要求赎金的消息，ELBOW Ransomware 会向被破坏的设备发送两个不同的注释。威胁将创建一个名为“info.txt”的文本文件以包含较短的注释，同时将在弹出窗口中显示正确的说明集。

ELBOW 勒索软件的需求

两份说明都重申，用户应首先尝试通过“UNKNOWNTEAM@criptext.com”与网络犯罪分子建立联系。但是，如果 24 小时后仍未收到答复，受害者应该尝试发送电子邮件至“ELBOWTALK@my.com”的备用电子邮件。显然，用户发送消息越早，赎金的条件就越好。

网络犯罪分子还表示，他们愿意展示他们恢复加密数据的能力。他们提供免费解锁多达 5 个文件。但是，所选文件的总非归档大小不得超过 4MB。

ELBOW 的弹出窗口中显示的消息是：

'你所有的文件都被加密了！
由于您的 PC 存在安全问题，您的所有文件都已加密。如果您想恢复它们，请写信给我们的电子邮件 UNKNOWNTEAM@criptext.com
在您的消息标题中写下此 ID -
如果 24 小时内没有回复，请写信给我们这个电子邮件：ELBOWTALK@my.com
你必须支付比特币的解密费用。价格取决于您给我们写信的速度。付款后，我们将向您发送解密所有文件的工具。
免费解密为保证
在付款之前，您最多可以向我们发送 5 个免费解密的文件。文件的总大小必须小于 4Mb（未归档），并且文件不应包含有价值的信息。 （数据库、备份、大型 Excel 工作表等）
如何获得比特币
购买比特币的最简单方法是 LocalBitcoins 网站。您必须注册，点击“购买比特币”，然后通过付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在此处找到其他购买比特币的地方和初学者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
注意力！
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致数据永久丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们将费用添加到我们的账户中），或者您可能成为诈骗的受害者。

在文本文件中找到的注释是：

!!!你所有的文件都是加密的!!!
要解密它们，请发送电子邮件至此地址：UNKNOWNTEAM@criptext.com。
如果我们在 24 小时内没有回复，请发送电子邮件至此地址：ELBOWTALK@my.com 。