Rançongiciel ELITTE87
Au cours de l'enquête sur les menaces potentielles de logiciels malveillants, les experts en cybersécurité ont découvert une nouvelle souche appelée ELITTE87. Classé comme ransomware, ce logiciel menaçant fonctionne en infiltrant l'appareil d'une victime et en initiant le cryptage d'un large éventail de types de fichiers. De plus, il modifie les noms de fichiers originaux de ces fichiers cryptés. Les victimes d'ELITTE87 sont confrontées à deux demandes de rançon : l'une apparaît sous forme de fenêtre contextuelle, tandis que l'autre est enregistrée sous forme de fichier texte nommé « info.txt ».
ELITTE87 ajoute des identifiants spécifiques aux noms de fichiers, notamment l'identifiant de la victime, l'adresse e-mail « helpdata@zohomail.eu » et l'extension « .ELITTE87 ». Par exemple, un fichier nommé « 1.pdf » serait renommé « 1.pdf.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87 », et de même, « 2.jpg » deviendrait « 2 ». .jpg.id[9ECFA74E-3592].[helpdata@zohomail.eu].ELITTE87,' et ainsi de suite. Les chercheurs ont identifié ELITTE87 comme une variante du ransomware au sein de la famille des malwares Phobos .
Table des matières
Le ransomware ELITTE87 peut verrouiller diverses données sensibles et importantes
La demande de rançon émise par ELITTE87 Ransomware délivre un message clair à ses victimes, les informant que leurs données ont été cryptées et téléchargées par des cybercriminels. Il affirme que le seul moyen de déverrouiller ces données consiste à utiliser le logiciel propriétaire fourni par les auteurs. La note met explicitement en garde contre toute tentative de décryptage des données de manière indépendante ou contre le recours à un logiciel tiers, avertissant que de telles actions pourraient entraîner une perte irréversible de données.
En outre, la note dissuade les victimes de demander l'aide d'intermédiaires ou de sociétés de récupération, insinuant que de telles tentatives pourraient aggraver la situation ou entraîner une nouvelle compromission des données. Il garantit aux victimes que l’incident de vol de données restera confidentiel.
De plus, la demande de rançon promet qu'une fois la rançon payée, toutes les données téléchargées seront effacées des systèmes des cybercriminels. Il souligne que les informations personnelles de la victime ne seront ni vendues ni exploitées de manière malveillante. Un délai strict de 2 jours est imposé à la victime pour prendre contact avec les cybercriminels et commencer la transaction de rançon.
Le non-respect de ce délai déclencherait le partage des données avec les parties intéressées, la faute étant directement imputée à la victime. Les coordonnées, y compris les adresses e-mail spécifiques avec les instructions sur la façon de communiquer avec les cybercriminels, sont fournies dans la note à titre de référence pour la victime.
Le ransomware ELITTE87 peut rendre l’appareil infecté plus vulnérable aux menaces de logiciels malveillants
Le Ransomware ELITTE87 constitue une menace à multiples facettes au-delà du simple cryptage de fichiers. Il va encore plus loin en désactivant le pare-feu du système infecté, augmentant ainsi sa vulnérabilité à d'autres activités nuisibles orchestrées par le ransomware. De plus, il prend des mesures délibérées pour supprimer les clichés instantanés de volumes, une fonctionnalité essentielle qui pourrait potentiellement faciliter la restauration de fichiers, intensifiant ainsi les défis associés aux efforts de récupération de données.
En plus de ces capacités, ELITTE87 présente des fonctionnalités sophistiquées, telles que la capacité de collecter des données de localisation et de mettre en œuvre des mécanismes de persistance. Ces mécanismes permettent au ransomware d'exclure sélectivement certains emplacements de ses opérations, améliorant ainsi son efficacité pour échapper à la détection et prolongeant son impact sur le système compromis. Il convient de noter que les variantes de ransomware comme ELITTE87, affiliées à la famille Phobos, exploitent souvent les vulnérabilités des services RDP (Remote Desktop Protocol) comme moyen d'infiltrer les systèmes, soulignant l'importance de remédier aux faiblesses de sécurité de ces protocoles.
Mesures cruciales à mettre en œuvre sur vos appareils pour les protéger des menaces de ransomware
La mise en œuvre de mesures cruciales sur les appareils des utilisateurs est essentielle pour se protéger contre les menaces de ransomware. Voici plusieurs étapes clés :
- Gardez les logiciels à jour : mettez régulièrement à jour les systèmes d'exploitation, les applications et les logiciels de sécurité sur tous les appareils. La plupart du temps, les mises à jour incluent des correctifs pour les vulnérabilités connues que les cybercriminels exploitent pour installer des ransomwares.
- Installez un logiciel de sécurité : utilisez un logiciel anti-malware réputé et tenez-le à jour. Ce logiciel peut détecter et bloquer les menaces de ransomware avant qu'elles ne puissent causer des dommages.
- Activer la protection par pare-feu : activez n'importe quel pare-feu intégré disponible sur les appareils pour surveiller et contrôler le trafic réseau entrant et sortant, agissant comme une couche de défense supplémentaire contre les ransomwares et autres cybermenaces.
- Utiliser des mesures de sécurité des e-mails : mettez en œuvre des mesures robustes de sécurité des e-mails, notamment des filtres anti-spam et une analyse des e-mails à la recherche de pièces jointes ou de liens dangereux. Apprenez aux utilisateurs à reconnaître les tentatives de phishing et à éviter de cliquer sur des liens douteux ou d'accéder à des pièces jointes provenant de sources inconnues.
- Sauvegardez régulièrement les données : créez des sauvegardes de données essentielles et assurez-vous qu'elles sont stockées en toute sécurité hors ligne ou dans le cloud. En cas d'attaque de ransomware, disposer de sauvegardes à jour peut aider à restaurer les données sans payer de rançon.
- Utilisez des mots de passe sécurisés et l'authentification multifacteur (MFA) : imposez l'utilisation de mots de passe forts et uniques pour tous les comptes et activez l'authentification multifacteur dans la mesure du possible. MFA ajoute plus de sécurité en obligeant les utilisateurs à vérifier leur identité via une autre méthode, comme un code envoyé sur leur téléphone.
- Limiter les privilèges utilisateur : restreindre les privilèges des utilisateurs uniquement à ce qui est nécessaire pour leurs rôles. Cela permet d’empêcher les ransomwares de se propager sur le réseau et d’accéder aux données sensibles.
- Éduquer les utilisateurs : offrez régulièrement aux utilisateurs une formation de sensibilisation à la cybersécurité pour les informer sur les ransomwares, les techniques de phishing, les menaces et les meilleures pratiques pour rester en sécurité en ligne. Apprenez-leur à reconnaître les comportements suspects et à signaler rapidement les incidents de sécurité potentiels.
En mettant en œuvre ces mesures cruciales sur les appareils des utilisateurs, les organisations peuvent réduire considérablement le risque d'être victime d'attaques de ransomware et atténuer l'impact potentiel sur leurs opérations et leurs données.
Le texte intégral de la demande de rançon laissée aux victimes du Ransomware ELITTE87 se lit comme suit :
'Your data is encrypted and downloaded!
Unlocking your data is possible only with our software.
Important! An attempt to decrypt it yourself or decrypt it with third-party software will result in the loss of your data forever.
Contacting intermediary companies, recovery companies will create the risk of losing your data forever or being deceived by these companies.
Being deceived is your responsibility! Learn the experience on the forums.Downloaded data of your company.
Data leakage is a serious violation of the law. Don't worry, the incident will remain a secret, the data is protected.
After the transaction is completed, all data downloaded from you will be deleted from our resources. Government agencies, competitors, contractors and local media
not aware of the incident.
Also, we guarantee that your company's personal data will not be sold on DArkWeb resources and will not be used to attack your company, employees
and counterparties in the future.
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Contact us.
Write us to the e-mail:helpdata@zohomail.eu
In case of no answer in 24 hours write us to this e-mail:email.recovery24@onionmail.org
Write this ID in the title of your message: -
If you have not contacted within 2 days from the moment of the incident, we will consider the transaction not completed.
Your data will be sent to all interested parties. This is your responsibility.Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'