ELBOW Ransomware
Eine von Infosec-Experten durchgeführte Analyse hat ergeben, dass die ELBOW Ransomware eine Variante der PHOBOS - Malware-Familie ist. Die Bedrohung kann bei Angriffen gegen einzelne Benutzer oder Unternehmensziele eingesetzt werden. Dank seiner zerstörerischen Fähigkeiten kann jeder kompromittierte Computer effektiv gesperrt werden. Wie die meisten Malware dieser Art zielt die ELBOW Ransomware auf zahlreiche Dateitypen ab und verschlüsselt sie mit einem starken kryptografischen Algorithmus. Die Opfer haben keinen Zugriff auf die betroffenen Dokumente, PDFs, Datenbanken, Archive und mehr.
Immer wenn die ELBOW Ransomware eine Datei verschlüsselt, markiert sie sie auch, indem sie mehrere Änderungen am ursprünglichen Namen dieser Datei vornimmt. Zunächst wird eine Zeichenfolge angehängt, die als ID für das spezifische Opfer fungiert. Als nächstes wird die E-Mail-Adresse „UNKNOWNTEAM@criptext.com“ hinzugefügt, gefolgt von „.ELBOW“ als neue Dateierweiterung.
Um sicherzustellen, dass Benutzer ihre Lösegeld fordernden Nachrichten erhalten, sendet die ELBOW Ransomware zwei verschiedene Notizen an das verletzte Gerät. Die Bedrohung erstellt eine Textdatei mit dem Namen „info.txt“, die die kürzere der Notizen enthält, während die richtigen Anweisungen in einem Popup-Fenster angezeigt werden.
Forderungen von ELBOW Ransomware
Beide Notizen wiederholen, dass Benutzer zunächst versuchen sollten, über „UNKNOWNTEAM@criptext.com“ Kontakt mit den Cyberkriminellen aufzunehmen. Wenn jedoch 24 Stunden vergehen, ohne eine Antwort zu erhalten, sollten die Opfer es mit der Backup-E-Mail unter „ELBOWTALK@my.com“ versuchen. Je früher die Nutzer eine Nachricht senden, desto besser sind offenbar die Bedingungen für das Lösegeld.
Die Cyberkriminellen erklären auch, dass sie bereit sind, ihre Fähigkeit zur Wiederherstellung der verschlüsselten Daten zu demonstrieren. Sie bieten an, bis zu 5 Dateien kostenlos freizuschalten. Die ausgewählten Dateien dürfen jedoch eine nicht archivierte Gesamtgröße von 4 MB nicht überschreiten.
Die im Popup-Fenster von ELBOW angezeigte Nachricht lautet:
' Alle Ihre Dateien wurden verschlüsselt!
Alle Ihre Dateien wurden aufgrund eines Sicherheitsproblems mit Ihrem PC verschlüsselt. Wenn Sie sie wiederherstellen möchten, schreiben Sie uns an die E-Mail-Adresse UNKNOWNTEAM@criptext.com
Schreiben Sie diese ID in den Titel Ihrer Nachricht -
Falls Sie innerhalb von 24 Stunden keine Antwort erhalten, schreiben Sie uns an diese E-Mail: ELBOWTALK@my.com
Sie müssen für die Entschlüsselung in Bitcoins bezahlen. Der Preis hängt davon ab, wie schnell Sie uns schreiben. Nach der Zahlung senden wir Ihnen das Tool, das alle Ihre Dateien entschlüsselt.
Kostenlose Entschlüsselung als Garantie
Vor dem Bezahlen können Sie uns bis zu 5 Dateien zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 4 MB betragen (nicht archiviert) und die Dateien sollten keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen usw.)
So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die LocalBitcoins-Website. Sie müssen sich registrieren, auf „Bitcoins kaufen“ klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
hxxps://localbitcoins.com/buy_bitcoins
Hier finden Sie auch andere Orte, an denen Sie Bitcoins kaufen können, und einen Leitfaden für Anfänger:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Aufmerksamkeit!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Drittanbietern kann zu erhöhten Kosten führen (sie fügen ihre Gebühr zu unserer hinzu) oder Sie können Opfer eines Betrugs werden.Die Notiz in der Textdatei lautet:
!!!Alle Ihre Dateien sind verschlüsselt!!!
Um sie zu entschlüsseln, senden Sie eine E-Mail an diese Adresse: UNKNOWNTEAM@criptext.com.
Wenn wir nicht innerhalb von 24 Stunden antworten, senden Sie eine E-Mail an diese Adresse: ELBOWTALK@my.com .'
