ELITTE87 Ransomware crittografa le unità infette

Durante l'esame di nuovi campioni di malware, abbiamo scoperto ELITTE87, una variante del ransomware associato alla famiglia Phobos. ELITTE87 crittografa i file, altera i nomi dei file e presenta due richieste di riscatto: una finestra pop-up e un file "info.txt".

ELITTE87 modifica i nomi dei file aggiungendo l'ID della vittima, l'indirizzo email helpdata@zohomail.eu e l'estensione ".ELITTE87". Ad esempio, "1.jpg" diventa "1.jpg.id[9ECFA84E-3492].[helpdata@zohomail.eu].ELITTE87" e "2.png" diventa "2.png.id[9ECFA84E-3492] .[helpdata@zohomail.eu].ELITTE87".

La richiesta di riscatto avvisa le vittime che i loro dati sono stati crittografati e scaricati dai criminali informatici, i quali affermano che solo il loro software può sbloccarli. Le vittime sono avvisate di non tentare una decrittazione indipendente o di utilizzare software di terze parti, che potrebbero comportare la perdita permanente dei dati.

Inoltre, le vittime sono scoraggiate dal chiedere aiuto a intermediari o società di recupero dati, poiché ciò potrebbe aggravare la perdita o l’inganno dei dati. La nota assicura alle vittime che gli episodi di fuga di dati saranno mantenuti riservati, con garanzie di protezione dei dati.

Si impegna che una volta pagato il riscatto, tutti i dati scaricati verranno eliminati dalle risorse dei criminali informatici e si assicura che i dati personali non verranno utilizzati in modo improprio o venduti. Viene concesso alle vittime un termine di 2 giorni per contattare i criminali informatici e avviare la transazione di riscatto.

Il mancato rispetto di questo termine porta presumibilmente alla condivisione dei dati con le parti interessate, ponendo l'onere sulla vittima. Vengono forniti i dettagli di contatto per la comunicazione con i criminali informatici, comprese istruzioni specifiche su come raggiungerli.

La nota di riscatto ELITTE87 utilizza il layout tradizionale di Phobos

Il testo completo della richiesta di riscatto ELITTE87 recita come segue:

Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:helpdata@zohomail.eu
In case of no answer in 24 hours write us to this e-mail:email.recovery24@onionmail.org
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

In che modo un ransomware simile a ELITTE87 può infettare il tuo computer?

Ransomware come ELITTE87 possono infettare il tuo computer in vari modi, tra cui:

E-mail di phishing: i criminali informatici spesso distribuiscono ransomware tramite e-mail di phishing. Queste e-mail possono contenere allegati o collegamenti dannosi che, se cliccati, eseguono il codice ransomware sul tuo sistema.

Siti Web dannosi: visitare siti Web compromessi o dannosi può esporre il tuo computer a ransomware. Questi siti potrebbero sfruttare le vulnerabilità del tuo browser o dei plugin per scaricare e installare ransomware a tua insaputa.

Kit di exploit: i criminali informatici possono utilizzare kit di exploit, ovvero pacchetti di strumenti progettati per sfruttare le vulnerabilità del software, per fornire payload di ransomware ai sistemi vulnerabili. Questi kit possono prendere di mira le vulnerabilità note nei sistemi operativi, nei browser o in altre applicazioni software.

Download drive-by: il ransomware può essere distribuito anche tramite download drive-by, in cui il codice dannoso viene scaricato ed eseguito sul tuo sistema senza il tuo consenso mentre visiti un sito Web compromesso.

Attacchi Remote Desktop Protocol (RDP): se sul tuo computer è abilitato il Remote Desktop Protocol (RDP) e non è adeguatamente protetto con password complesse o autenticazione a più fattori, i criminali informatici possono penetrare nel tuo sistema con la forza bruta e distribuire ransomware.

Malvertising: annunci pubblicitari dannosi, o malvertisement, visualizzati su siti Web legittimi possono reindirizzare gli utenti a siti Web che ospitano ransomware o avviare download di payload ransomware sul sistema dell'utente.

Unità USB: il ransomware può diffondersi attraverso unità USB infette o altri supporti rimovibili. Collegare un'unità USB infetta al computer può causare l'esecuzione e la diffusione del ransomware nel sistema.

Reti di condivisione file: il ransomware può essere distribuito attraverso reti di condivisione file e applicazioni di condivisione file peer-to-peer (P2P). I criminali informatici possono camuffare il ransomware come software legittimo o file multimediale per indurre gli utenti a scaricarli ed eseguirli.