ELITTE87 Ransomware criptografa unidades infectadas

Durante nosso exame de novas amostras de malware, descobrimos o ELITTE87, uma variante de ransomware associada à família Phobos. ELITTE87 criptografa arquivos, altera nomes de arquivos e apresenta duas notas de resgate: uma janela pop-up e um arquivo "info.txt".

ELITTE87 modifica nomes de arquivos anexando o ID da vítima, o endereço de e-mail helpdata@zohomail.eu e a extensão ".ELITTE87". Por exemplo, "1.jpg" torna-se "1.jpg.id[9ECFA84E-3492].[helpdata@zohomail.eu].ELITTE87" e "2.png" torna-se "2.png.id[9ECFA84E-3492] .[helpdata@zohomail.eu].ELITTE87".

A nota de resgate notifica as vítimas de que seus dados foram criptografados e baixados por cibercriminosos, que afirmam que apenas seu software pode desbloqueá-los. As vítimas são alertadas contra a tentativa de desencriptação independente ou o uso de software de terceiros, o que pode resultar na perda permanente de dados.

Além disso, as vítimas são desencorajadas de procurar ajuda de intermediários ou empresas de recuperação de dados, pois isso pode agravar a perda de dados ou o engano. A nota garante às vítimas que os incidentes de vazamento de dados serão mantidos em sigilo, com garantias de proteção de dados.

Ele promete que, uma vez pago o resgate, todos os dados baixados serão excluídos dos recursos dos cibercriminosos e garante que os dados pessoais não serão utilizados indevidamente ou vendidos. É dado um prazo de 2 dias para que as vítimas entrem em contato com os cibercriminosos e iniciem a transação de resgate.

O não cumprimento deste prazo supostamente leva ao compartilhamento de dados com as partes interessadas, colocando o ônus sobre a vítima. São fornecidos detalhes de contato para comunicação com os cibercriminosos, incluindo instruções específicas sobre como contatá-los.

Nota de resgate ELITTE87 usa layout tradicional de Phobos

O texto completo da nota de resgate ELITTE87 é o seguinte:

Your data is encrypted and downloaded!

Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.

Downloaded data of your company.

Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Contact us.

Write us to the e-mail:helpdata@zohomail.eu
In case of no answer in 24 hours write us to this e-mail:email.recovery24@onionmail.org
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.

Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Como um ransomware semelhante ao ELITTE87 pode infectar seu computador?

Ransomware como ELITTE87 pode infectar seu computador de vários meios, incluindo:

E-mails de phishing: os cibercriminosos costumam distribuir ransomware por meio de e-mails de phishing. Esses e-mails podem conter anexos ou links maliciosos que, quando clicados, executam o código ransomware em seu sistema.

Sites maliciosos: visitar sites comprometidos ou maliciosos pode expor seu computador a ransomware. Esses sites podem explorar vulnerabilidades em seu navegador ou plug-ins para baixar e instalar ransomware sem o seu conhecimento.

Kits de exploração: os cibercriminosos podem usar kits de exploração, que são pacotes de ferramentas projetados para explorar vulnerabilidades em software, para entregar cargas úteis de ransomware a sistemas vulneráveis. Esses kits podem ter como alvo vulnerabilidades conhecidas em sistemas operacionais, navegadores ou outros aplicativos de software.

Downloads drive-by: O ransomware também pode ser entregue por meio de downloads drive-by, onde código malicioso é baixado e executado em seu sistema sem o seu consentimento ao visitar um site comprometido.

Ataques de protocolo de área de trabalho remota (RDP): se você tiver o protocolo de área de trabalho remota (RDP) ativado em seu computador e ele não estiver devidamente protegido com senhas fortes ou autenticação multifator, os cibercriminosos podem entrar no seu sistema com força bruta e implantar ransomware.

Malvertising: Anúncios maliciosos, ou malvertisements, exibidos em sites legítimos podem redirecionar os usuários para sites que hospedam ransomware ou iniciar downloads de cargas de ransomware no sistema do usuário.

Unidades USB: O ransomware pode se espalhar através de unidades USB infectadas ou outras mídias removíveis. Conectar uma unidade USB infectada ao seu computador pode fazer com que o ransomware seja executado e se espalhe por todo o sistema.

Redes de compartilhamento de arquivos: O ransomware pode ser distribuído por meio de redes de compartilhamento de arquivos e aplicativos de compartilhamento de arquivos ponto a ponto (P2P). Os cibercriminosos podem disfarçar o ransomware como software legítimo ou arquivos de mídia para induzir os usuários a baixá-los e executá-los.