El勒索軟件
威脅評分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威脅記分卡是我們的研究團隊收集和分析的不同惡意軟件威脅的評估報告。 EnigmaSoft 威脅記分卡使用多種指標對威脅進行評估和排名,包括現實世界和潛在的風險因素、趨勢、頻率、普遍性和持續性。 EnigmaSoft 威脅記分卡根據我們的研究數據和指標定期更新,對范圍廣泛的計算機用戶非常有用,從尋求解決方案以從其係統中刪除惡意軟件的最終用戶到分析威脅的安全專家。
EnigmaSoft 威脅記分卡顯示各種有用的信息,包括:
排名:特定威脅在 EnigmaSoft 的威脅數據庫中的排名。
嚴重級別:根據我們的風險建模過程和研究確定的對象嚴重級別,以數字表示,如我們的威脅評估標準中所述。
受感染的計算機:根據 SpyHunter 的報告,在受感染的計算機上檢測到的特定威脅的已確認和疑似案例的數量。
另請參閱威脅評估標準。
| 威胁级别: | 100 % (高的) |
| 受感染的计算机: | 4 |
| 初见: | November 5, 2018 |
| 最后一次露面: | March 6, 2020 |
| 受影响的操作系统: | Windows |
El Ransomware是一種加密勒索軟件木馬,犯罪分子使用該勒索軟件將受害者的文件劫為人質,要求勒索贖金。 El Ransomware於2018年10月27日首次報導。通過損壞的垃圾郵件附件分發El Ransomware。
El Ransomware如何攻擊計算機
El Ransomware的受害者通常會收到帶有附件的垃圾郵件。該文件附件通常是帶有嵌入式宏腳本的PDF或DOCX文件,該腳本可將El Ransomware下載並安裝到受害者的計算機上。安裝後,El Ransomware使用AES 256加密使受害者的文件不可訪問。不幸的是,一旦受害者的文件被加密,沒有解密密鑰(犯罪分子將其擁有)就無法解密。諸如El Ransomware之類的攻擊通常以用戶生成的文件為目標,這些文件可能包括各種各樣的文件類型,包括帶有以下文件擴展名的文件:
.jpg,.jpeg,.raw,.tif,.gif,.png,.bmp,.3dm,.max,.accdb,.db,.dbf,.mdb,.pdb,.sql,.dwg,.dxf ,.cpp,.cs,.h,.php,.asp,.rb,.java,.jar,.class,.py,.js,.aaf,.aep,.aepx,.plb,.prel 、. prproj,.aet,.ppj,.psd,.indd,.indl,.indt,.indb,.inx,.idml,.pmd,.xqx,.xqx,.ai,.eps,.ps,.svg, .swf,.fla,.as3,.as,.txt,.doc,.dot,.docx,.docm,.dotx,.dotm,.docb,.rtf,.wpd,.wps,.msg,.pdf ,.xls,.xlt,.xlm,.xlsx,.xlsm,.xltx,.xltm,.xlsb,.xla,.xlam,.xll,.xlw,.ppt,.pot,.pps,.pptx 、. pptm,.potx,.potm,.ppam,.ppsx,.ppsm,.sldx,.sldm,.wav,.mp3,.aif,.iff,.m3u,.m4u,.mid,.mpa,.wma, .ra,.avi,.mov,.mp4,.3gp,.mpeg,.3g2,.asf,.asx,.flv,.mpg,.wmv,.vob,.m3u8,.dat,.csv,.efx ,.sdf,.vcf,.xml,.ses,.qbw,.qbb,.qbm,.qbi,.qbr,.cnt,.des,.v30,.qbo,.ini,.lgb,.qwc 、. qbp,.aif,.qba,.tlg,.qbx,.qby,.1pa,.qpd,.txt,.set,.iif,.nd,.rtp,.tlg,.wav,.qsm,.qss, .qst,.fx0,.fx1,.mx0,.fpx,.fxr,.fim,.ptb,.ai,.pfb,.cgn,.vsd 、. cdr,.cmx,.cpt,.csl,.cur,.des,.dsf,.ds4,.drw,.eps,.ps,.prn,.gif,.pcd,.pct,.pcx,.plt, .rif,.svg,.swf,.tga,.tiff,.psp,.ttf,.wpd,.wpg,.wi,.raw,.wmf,.txt,.cal,.cpx,.shw,.clk ,.cdx,.cdt,.fpx,.fmv,.img,.gem,.xcf,.pic,.mac,.met,.pp4,.pp5,.ppf,.nap,.pat,.ps 、. prn,.sct,.vsd,.wk3,.wk4,.xpm,.zip,.rar。
識別由El Ransomware加密的文件是很基本的,因為El Ransomware會將文件擴展名“ .WAND”添加到每個受影響的文件的名稱中。 El Ransomware以名為“關於.WAND解鎖指令.txt”的文本文件的形式提供贖金記錄,該文件被放置在受感染計算機的桌面上。受影響的PC的桌面也將其牆紙圖像更改為Anonymous徽標。. 攻擊的受害者將收到由El Ransomware傳遞的以下勒索消息:
“下載和文檔中的許多文件已加密,如果要恢復它們,請按照說明進行操作。
-發送電子郵件至:gktlc5a@protonmail.com和hackcwand@protonmail.com
-將款項存入我們電子郵件回復中提供的帳戶中。
-在付款後輸入您收到的密碼。”
此惡意軟件的Wand和El勒索軟件迭代會刪除以下勒索信息,作為其一部分
操作方法:
================================
您好,朋友,請閱讀以下內容
您的文件已被鎖定,修改擴展名。
***
請給我發送電子郵件,解鎖費用為100美元。
***
電子郵件:hackcwandgproton@mail.com
================================
還有一個鎖屏,它使用以下文本阻止對桌面的訪問:
'Tus archivos漢西多encriptados
穆斯古斯檔案館副館長笛卡爾和笛卡爾
腸內胰島素
–溝通AL CORREO GKTLC5A@PROTONMAIL.COM
– DEPOSITA ELDIÑEROEN LA CUENTA PROPORCIONADA DESDE EL CORREO。
– INGRESA LACONTRASEÑARECIBIDA LUEGO DE PAGO。
– TIENES 24 HORAS PARA變現TODO LO ANTERIOR。
文本翻譯如下:
“您的文件已加密,許多帶有擴展名的文件都通過“下載”和“
“文檔”目錄,如果要恢復它們,請按照說明進行操作。 –通過電子郵件交流
GKTLC5A@PROTONMAIL.COM
–將款項存入郵件中指定的帳戶。
–輸入付款後收到的密碼。
–您有24小時的時間列出所有清單。”
處理El Ransomware感染
與El Ransomware相關的贖金平均為100美元,通常通過比特幣支付。但是,不建議您支付此贖金,因為它允許罪犯繼續製造和分發El Ransomware等威脅。此外,負責El Ransomware的犯罪分子不太可能願意在攻擊後幫助攻擊的受害者恢復其數據。防範El Ransomware和類似威脅的最佳保護是將數據的備份副本存儲在雲或外部存儲設備中。除了文件備份外,還建議使用一個安全程序來防止首先安裝El Ransomware。
