ELBIE Ransomware (.elbie File Virus) – Guia de Remoção

Ransomware é de fato um software malicioso que criptografa arquivos, tornando-os inacessíveis às vítimas. Os arquivos só podem ser descriptografados usando um software específico ou uma chave de descriptografia fornecida pelos atacantes. O ransomware geralmente adiciona uma extensão única aos arquivos criptografados, deixando evidente que eles foram comprometidos.

Elbie é uma variante específica de ransomware que pertence à família Phobos. Quando infecta um sistema, ele renomeia os arquivos adicionando o ID da vítima, um endereço de e-mail (neste caso, “[email protected]”) e a extensão “.Elbie” aos nomes originais dos arquivos. Por exemplo, um arquivo chamado “1.jpg” seria renomeado como “1.jpg.id[A279F237-2994].[[email protected]].Elbie“, e um arquivo chamado “2.jpg” se tornaria “2.jpg.id[A279F237-2994].[[email protected]].Elbie“.

Além de criptografar e renomear os arquivos, o Elbie gera dois avisos de resgate: “info.hta” e “info.txt”. Esses avisos geralmente contêm instruções e exigências dos atacantes, fornecendo informações sobre como pagar o resgate e obter a chave de descriptografia.

É crucial priorizar medidas preventivas, como backups regulares, uso de software de segurança atualizado e ter cuidado ao abrir anexos de e-mail ou visitar sites suspeitos, para mitigar o risco de ataques de ransomware.

O que é o vírus de arquivo .elbie?

Também conhecido como ransomware PHOBOS, o Elbie modifica seus documentos através da criptografia deles e exige que o resgate seja pago supostamente para restaurar o acesso a eles. O malware adiciona uma extensão complexa ao arquivo, onde o e-mail [email protected] é aquele destinado para entrar em contato com os criminosos do ransomware.

O criptovírus associado à família de ransomware Phobos, chamado Elbie, está atualmente ativo. Essa família de vírus modifica vários tipos populares de arquivos, adicionando a extensão .elbie, tornando os dados completamente inacessíveis. As vítimas não conseguem mais abrir seus documentos importantes. Além disso, o ransomware atribui uma chave de identificação única, semelhante às variantes anteriores do vírus. Uma vez que o ransomware criptografa um arquivo, ele adiciona uma nova extensão especial como secundária. O vírus também gera um aviso de resgate que supostamente fornece instruções para a restauração dos dados.

Resumo da ameaça de Elbie

O Elbie exclui cópias de sombra de arquivos, desativa as funções de recuperação e reparo do Windows, no estágio de inicialização, desativa o firewall com comandos, inicia o aplicativo mshta.exe para exibir os requisitos do ransomware:

vssadmin.exe vssadmin delete shadows /all /quiet
WMIC.exe wmic shadowcopy delete
bcdedit.exe bcdedit /set default recoveryenabled no
bcdedit.exe bcdedit /set default bootstatuspolicy ignoreallfailures
netsh.exe netsh advfirewall set currentprofile state off
netsh.exe netsh firewall set opmode mode=disable
mshta.exe "%USERPROFILE%\Desktop\info.hta"
mshta.exe "%PUBLIC%\desktop\info.hta"
mshta.exe "C:\info.hta"

Inicialização de Elbie

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\exec.exe

Vírus de arquivo .elbie – Phobos Ransomware

O que é e como eu o obtive?

O ransomware .elbie é mais comumente disseminado usando um carregador de carga. Ele executa o script malicioso que eventualmente instala o vírus de arquivos. A ameaça circula ativamente na web, considerando os fatos sobre o ransomware mencionados no banco de dados do VirusTotal. O ransomware .elbie também pode promover seus arquivos de carga por meio de redes sociais populares e plataformas de compartilhamento de arquivos. Alternativamente, alguns aplicativos gratuitos hospedados em muitos recursos populares podem se disfarçar de ferramentas úteis, mas podem levar aos scripts maliciosos que injetaram o ransomware. Sua cautela pessoal para evitar o ataque do vírus .elbie é muito importante!

O .elbie File Virus é uma infecção que criptografa seus dados e exibe uma mensagem frustrante de ransomware. Abaixo está a captura de tela que mostra a nota de resgate:

Ele diz o seguinte:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected]
Write this ID in the title of your message ********-****
If there is no response from our mail, you can install the Jabber client and write to us in support of 
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The files' total size must be less than 4Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Jabber client installation instructions:
Download the jabber (Pidgin) client from https://pidgin.im/download/windows/
After installation, the Pidgin client will prompt you to create a new account.
Click "Add"
In the "Protocol" field, select XMPP
In "Username" - come up with any name
In the field "domain" - enter any jabber-server, there are many them, for example - exploit.im
Create a password
At the bottom, put a tick "Create account"
Click add
If you selected "domain" - exploit.im, then a new window should appear in which you will need to re-enter your data:
User password
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below)
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Mais sobre o ransomware PHOBOS

As variantes de ransomware normalmente empregam um algoritmo robusto para criptografar arquivos, tornando as vítimas incapazes de descriptografar seus arquivos sem a ferramenta apropriada, a menos que uma ferramenta de descriptografia de terceiros esteja disponível para download na Internet.

Infelizmente, as vítimas do ataque do Elbie não conseguem descriptografar seus arquivos sem a ferramenta de descriptografia, que é exclusivamente fornecida pelos cibercriminosos responsáveis por esse ransomware.

No entanto, nunca é aconselhável confiar nos atacantes e fazer um pagamento de resgate, pois as vítimas que o fazem frequentemente não recebem uma ferramenta de descriptografia. O método mais confiável para recuperar arquivos criptografados por ransomware sem incorrer em perdas financeiras é restaurá-los a partir de um backup.

Além disso, é importante observar que o ransomware, como um tipo de malware, pode criptografar novos arquivos e se propagar pela rede, infectando outros computadores dentro da mesma rede. Portanto, é imperativo desinstalar o ransomware de computadores infectados prontamente.

Remover o vírus Elbie Ransomware

Motivos pelos quais eu recomendaria o GridinSoft¹.

Faça o download do GridinSoft Anti-Malware.

Você pode fazer o download do GridinSoft Anti-Malware clicando no botão abaixo:

Execute o arquivo de instalação.

Quando o download do arquivo de instalação estiver concluído, clique duas vezes no arquivo setup-antimalware-fix.exe para instalar o GridinSoft Anti-Malware em seu sistema.

Um Controle de Conta de Usuário perguntando se você está prestes a permitir que o GridinSoft Anti-Malware faça alterações no seu dispositivo. Portanto, você deve clicar em “Sim” para continuar com a instalação.

Pressione o botão “Install” (Instalar).

Depois de instalado, o Anti-Malware será executado automaticamente.

Aguarde a conclusão da verificação do Anti-Malware.

O GridinSoft Anti-Malware iniciará automaticamente uma varredura em seu sistema em busca de infecções pelo Elbie e outros programas maliciosos. Esse processo pode levar de 20 a 30 minutos, portanto, sugiro que você verifique periodicamente o status do processo de verificação.

Clique em “Clean Now” (Limpar agora).

Quando a verificação for concluída, você verá a lista de infecções que o GridinSoft Anti-Malware detectou. Para removê-las, clique no botão “Clean Now” (Limpar agora) no canto direito.

Como descriptografar arquivos .elbie?

Você pode baixar e usar esse descriptografador que a Kaspersky lançou se você foi afetado pela extensão .[[email protected]].elbie.

Você pode baixar e usar esse descriptografador lançado pela Avast ou esse descriptografador lançado pela Kaspersky se você foi afetado pela extensão .elbie.

E agora?

Se o guia não ajudar a remover a infecção do Elbie, por favor, faça o download do GridinSoft Anti-Malware que eu recomendei. Além disso, você sempre pode me pedir ajuda nos comentários.

1. Uma excelente maneira de lidar com a detecção e remoção de ameaças é usando o Gridinsoft Anti-Malware. Este programa irá escanear o seu PC, encontrar e neutralizar todos os processos suspeitos[efn_note>Mais informações sobre os produtos do GridinSoft: https://gridinsoft.com/comparison

Inglês