Ransomware é de fato um software malicioso que criptografa arquivos, tornando-os inacessíveis às vítimas. Os arquivos só podem ser descriptografados usando um software específico ou uma chave de descriptografia fornecida pelos atacantes. O ransomware geralmente adiciona uma extensão única aos arquivos criptografados, deixando evidente que eles foram comprometidos.
Elbie é uma variante específica de ransomware que pertence à família Phobos. Quando infecta um sistema, ele renomeia os arquivos adicionando o ID da vítima, um endereço de e-mail (neste caso, “[email protected]”) e a extensão “.Elbie” aos nomes originais dos arquivos. Por exemplo, um arquivo chamado “1.jpg” seria renomeado como “1.jpg.id[A279F237-2994].[[email protected]].Elbie“, e um arquivo chamado “2.jpg” se tornaria “2.jpg.id[A279F237-2994].[[email protected]].Elbie“.
Além de criptografar e renomear os arquivos, o Elbie gera dois avisos de resgate: “info.hta” e “info.txt”. Esses avisos geralmente contêm instruções e exigências dos atacantes, fornecendo informações sobre como pagar o resgate e obter a chave de descriptografia.
É crucial priorizar medidas preventivas, como backups regulares, uso de software de segurança atualizado e ter cuidado ao abrir anexos de e-mail ou visitar sites suspeitos, para mitigar o risco de ataques de ransomware.
O que é o vírus de arquivo .elbie?
Também conhecido como ransomware PHOBOS, o Elbie modifica seus documentos através da criptografia deles e exige que o resgate seja pago supostamente para restaurar o acesso a eles. O malware adiciona uma extensão complexa ao arquivo, onde o e-mail [email protected] é aquele destinado para entrar em contato com os criminosos do ransomware.
O criptovírus associado à família de ransomware Phobos, chamado Elbie, está atualmente ativo. Essa família de vírus modifica vários tipos populares de arquivos, adicionando a extensão .elbie, tornando os dados completamente inacessíveis. As vítimas não conseguem mais abrir seus documentos importantes. Além disso, o ransomware atribui uma chave de identificação única, semelhante às variantes anteriores do vírus. Uma vez que o ransomware criptografa um arquivo, ele adiciona uma nova extensão especial como secundária. O vírus também gera um aviso de resgate que supostamente fornece instruções para a restauração dos dados.
Resumo da ameaça de Elbie
| Nome | .id[XXXXXXXX-XXXX].elbie file virus |
| Extensão | [[email protected]].elbie file virus |
| Tipo | Ransomware |
| Detection | Win32/Agent.NZW, Trojan-Ransom.Win32.Zerber.eqxc, Trojan:Win32/Occamy.C3C |
| Contatos | [email protected] |
| Descrição resumida | O ransomware modifica os documentos no dispositivo atacado por meio de criptografia e solicita o pagamento de um resgate pela vítima para supostamente recuperá-los. |
| Sintomas | O vírus do arquivo criptografa os dados adicionando a extensão .elbie, também gerando um identificador único. Note que a extensão [[email protected]].elbie se torna a secundária. |
| Método de distribuição | Spam, Anexos de e-mail, Downloads legítimos comprometidos, Ataques que exploram credenciais RDP fracas ou roubadasComo alterar a porta do Remote Desktop (RDP): https://howtofix.guide/change-remote-desktop-port-on-windows-10/. |
| Ferramenta de correção | Veja se o seu sistema foi afetado pelo .elbie file virus |
O Elbie exclui cópias de sombra de arquivos, desativa as funções de recuperação e reparo do Windows, no estágio de inicialização, desativa o firewall com comandos, inicia o aplicativo mshta.exe para exibir os requisitos do ransomware:
vssadmin.exe vssadmin delete shadows /all /quiet WMIC.exe wmic shadowcopy delete bcdedit.exe bcdedit /set default recoveryenabled no bcdedit.exe bcdedit /set default bootstatuspolicy ignoreallfailures netsh.exe netsh advfirewall set currentprofile state off netsh.exe netsh firewall set opmode mode=disable mshta.exe "%USERPROFILE%\Desktop\info.hta" mshta.exe "%PUBLIC%\desktop\info.hta" mshta.exe "C:\info.hta"
Inicialização de Elbie
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\exec.exe
Vírus de arquivo .elbie – Phobos Ransomware
O que é e como eu o obtive?
O ransomware .elbie é mais comumente disseminado usando um carregador de carga. Ele executa o script malicioso que eventualmente instala o vírus de arquivos. A ameaça circula ativamente na web, considerando os fatos sobre o ransomware mencionados no banco de dados do VirusTotal. O ransomware .elbie também pode promover seus arquivos de carga por meio de redes sociais populares e plataformas de compartilhamento de arquivos. Alternativamente, alguns aplicativos gratuitos hospedados em muitos recursos populares podem se disfarçar de ferramentas úteis, mas podem levar aos scripts maliciosos que injetaram o ransomware. Sua cautela pessoal para evitar o ataque do vírus .elbie é muito importante!
O .elbie File Virus é uma infecção que criptografa seus dados e exibe uma mensagem frustrante de ransomware. Abaixo está a captura de tela que mostra a nota de resgate:
![[antich154@privatemail.com].elbie virus demanding message in a pop-up window](https://howtofix.guide/wp-content/uploads/2021/04/Elbie-files-virus.jpg)
[[email protected]].elbie virus mensagem exigente em uma janela pop-up
Ele diz o seguinte:
All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected] Write this ID in the title of your message ********-**** If there is no response from our mail, you can install the Jabber client and write to us in support of You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 5 files for free decryption. The files' total size must be less than 4Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ Jabber client installation instructions: Download the jabber (Pidgin) client from https://pidgin.im/download/windows/ After installation, the Pidgin client will prompt you to create a new account. Click "Add" In the "Protocol" field, select XMPP In "Username" - come up with any name In the field "domain" - enter any jabber-server, there are many them, for example - exploit.im Create a password At the bottom, put a tick "Create account" Click add If you selected "domain" - exploit.im, then a new window should appear in which you will need to re-enter your data: User password You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below) If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Mais sobre o ransomware PHOBOS
As variantes de ransomware normalmente empregam um algoritmo robusto para criptografar arquivos, tornando as vítimas incapazes de descriptografar seus arquivos sem a ferramenta apropriada, a menos que uma ferramenta de descriptografia de terceiros esteja disponível para download na Internet.
Infelizmente, as vítimas do ataque do Elbie não conseguem descriptografar seus arquivos sem a ferramenta de descriptografia, que é exclusivamente fornecida pelos cibercriminosos responsáveis por esse ransomware.
No entanto, nunca é aconselhável confiar nos atacantes e fazer um pagamento de resgate, pois as vítimas que o fazem frequentemente não recebem uma ferramenta de descriptografia. O método mais confiável para recuperar arquivos criptografados por ransomware sem incorrer em perdas financeiras é restaurá-los a partir de um backup.
Além disso, é importante observar que o ransomware, como um tipo de malware, pode criptografar novos arquivos e se propagar pela rede, infectando outros computadores dentro da mesma rede. Portanto, é imperativo desinstalar o ransomware de computadores infectados prontamente.
Remover o vírus Elbie Ransomware
Motivos pelos quais eu recomendaria o GridinSoft1.
Execute o arquivo de instalação.
Pressione o botão “Install” (Instalar).
Depois de instalado, o Anti-Malware será executado automaticamente.
Aguarde a conclusão da verificação do Anti-Malware.
Clique em “Clean Now” (Limpar agora).
Como descriptografar arquivos .elbie?
Você pode baixar e usar esse descriptografador que a Kaspersky lançou se você foi afetado pela extensão .[[email protected]].elbie.
Você pode baixar e usar esse descriptografador lançado pela Avast ou esse descriptografador lançado pela Kaspersky se você foi afetado pela extensão .elbie.
Leave a Comment