Elbie Virüsü

Elbie Virüsü

Bu makalemizde Phobos ransomware grubunun yeni varyantı olan Elbie uzantılı fidye virüsünü inceleyeceğiz. Ransomware grupları her geçen gün kendini güncellemeye devam ediyor. Bu gruplardan biri olan Phobos Ransomware grubu yeni geliştirdiği ".elbie" uzantılı varyantı ile saldırılarını arttırmaya başladı. Genel olarak diğer Phobos Ransomware yazılımları ile aynı karakteristik yapıya sahip olan Elbie uzantılı fidye virüsü, operatörleri tarafından özelleştirilerek kullanılıyor. Bu güne kadar tarafımıza ulaşmış olan vaka incelemelerinde iki çeşit Elbie varyantı tespit edilmiştir. Fast ve AntiRecuva olmak üzere kendi içinde ikiye ayrılan bu fidye yazılımı, AES-256 şifreleme algoritması kullanarak dosyaları şifreleyip kullanılamaz duruma getirmektedir. Bulaştığı sistemlerde müdahalelere karşı kendini korumak ve bulaştığı sistemi tamamen şifrelemek için sistem başlangıcında çalışmak üzere kurgulanmıştır.

elbie.png

Türü: Phobos

İsim : Elbie virüsü

Tehdit Türü : Fidye Yazılımı, Kripto Virüsü

Şifreleme Algoritması: AES-256

Şifreli Dosyalar Uzantısı : .elbie

Fidye Notu : info.hta ve info.txt

Fidye Tutarı : $3000- 30000$ (Bitcoin)

İletişim Adresi : decphob@tuta.io, teempling86@tutanota.com, zsebas@airmail.cc, files.at.risk@tutanota.com, companyblast@msgsafe.io, mainsupport@msgsafe.io, mainsupport@onionmail.org, tripotri@cock. li, webweb321@firemail.cc, mmmjjjtoptip@cock.li, dcryption@cock.li, dcryption@mailfence.com, howrecover@snugmail.net, coronav19@tutanota.com, coronav2020@cock.li, onejoshuasmith@aol.com, qamrani@airmail.cc, friderique@tutanota.com, mmgy@tutanota.com, merak_08@tutanota.com, merak_08@protonmail.com, getmydata@bk.ru, decrypt_ad1@protonmail.com, kameric@airmail.cc, decphob@ protonmail.com, Holylolly@airmail.cc, digistart@protonmail.com, greed_001@aol.com, helpmedecoding@airmail.cc, Black_Wayne@protonmail.com, Decryptdatafiles@protonmail.com, supp0rt@cock.li, quickrecovery05@firemail. cc, tsec3x777@protonmail.com, DECRYPTUNKNOWN@Protonmail.com, gluttony_001@aol.com,recoryfile@tutanota.com, ICQ@fartwetsquirrel, jerjis@tuta.io, Holylolly@airmail.cc, gurur_001@aol.com, kabura@firemail.cc, r4ns0m@tutanota.com, contactjoke@cock.li, moon4x4@tutanota. com, hublle@protonmail.com, clearcom@protonmail.com, chinadecrypt@fasthelpassia.com, paymantsystem@cock.li, Hubble77@tutanota.com, savemyself1@tutanota.com, qirapoo@firemail.cc, yoursjollyroger@cock, raboly@ firemail.cc, sekiz20@protonmail.com, dalışvecufa@firemail.cc, cyvedira@firemail.cc, filetec@tutanota.com, crioso@protonmail.com, eleezcry@tutanota.com, HELPUNKNOWN@Tutanota.com, decrypt20@vpn. tg, kubura@firemail.cc, rodrigos@keemail.me, chadmad@ctemplar.com, chadmad@nuke.africa, dataencrypted@tutanota.com, itambuler@protonmail.com, itambuler@tutanota.com, dcrptfile@protonmail.com, filesdecrypt@aol.com, davidshelper@protonmail.com, reynoldmuren@tutanota.com,dacowe@firemail.cc, dozusopo@tutanota.com, subik099@tutanota.com, subik099@cock.li, trizvani@aol.com, trizvani@tutanota.com, datashop@list.ru, wugenaxu@firemail.cc, databack@ airmail.cc, databack@firemail.cc, moonlight101@tutanota.com, moonlight10@mail.ee, fata52@cock.li, fata54@cock.li, phobos2020@cock.li, phobos2020@tutanota.com, xiaolinghelper@firemail. cc, redsnow911@protonmail.com, surpaking@tutanota.com, surpakings@mail.ee, btcunlock@airmail.cc, btcunlock@firemail.cc, anticrypt2020@aol.com, wiruxa@airmail.cc, yongloun@tutanota.com, anygrishevich@yandex.ru, yalnızsalem@keemail.me, yalnızsalem@protonmail.com, şifreli60@tutanota.com, cifrado60@tutanota.com, rantime@tuta.io, ransomtime@cock.li, opticodbestbad@aol.com, opticodbestbad@ mail.ee, unlockdata@firemail.cc, onlyway@secmail.pro, jobiden1942@protonmail.com, jonneydep@protonmail.com,forumsystem@cock.li, forumsystem@techmail.info, sdx-2020@tutanota.com, sdx-20200@protonmail.com, şifreleme2020@aol.com, grootp2@protonmail.com, noobt56@protonmail.com, dragon.save@ aol.com, dragon.save@yahoo.com, dragon.save@aol.com, drgreen1@keemail.me, drgreen2@protonmail.com, decryption24h@criptext.com, decryption24h@elude.in, fastwind@mail.ee, fastwind2@protonmail.com, newera@ctemplar.com, newera@tfwno.gf, johnsonz@keemail.me, johnsonz@cock.lu, pandora9@tuta.io, happy@gytmail.com, ghosttm@zohomail.com, falcon360@ cock.li, tebook12@protonmail.com, rody_218@protonmail.com, erichhartmann_main@protonmail.com, erichhartmann_reserve@tuta.io, files@restore.ws, covidv19@tutanota.com, dtramp@tuta.io, lexus@gytmail. com, decrypt20@stealth.tg, decrypt20@firemail.cc, dowendowxxx@privatemail.com, ransom1999@tutanota.com, ransom2000@tutanota.com,merhabaok@gytmail.com, 1bmx1@tuta.io, ransomsophos@tutanota.com, dr.cryptor@secmail.pro, dr.cryptor@protonmail.com, lepuscrysupp@mail.ee, lepuscrysupp@cock.li, keydecryption@airmail. cc, 5559912@firemail.cc, infoback@criptext.com, infoback@mail.ee, datastore@outlookpro.net, getmydata@cock.li, in0x2@tutanota.com, in0x2@int.pl, ransomwaree2020@cock.li, ransomwaree2021@cock.li, ghiedksjdh6hd@cock.li, sdjhf4df@potronmail.com, harpia2019@aol.com, harpia2019@mailfence.com, unlockfile@firemail.cc, unlockfile@criptext.com, jennymombu@aol.com, jennymombu@ firemail.cc, decryption24h@mailfence.com, ezfilesdec@tutanota.com, filesdecrypt@aol.com, helpme2021@aol.com, firmaverileri@bk.ru, sacura889@tutanota.com, sacura889@protonmail.com, anticrypt2021@aol. com, mycompanydata@mail.ru, james2020m@aol.com, james2020m@cock.li, jackkarter@gmx.com, jackkarter@cock.li, maykeljakson@cock.li,maykeljakson@criptext.com, basani400@aol.com, basani400@mailfence.com, jonnylow@techmail.info, jonnylow@keemail.me, databankasi@bk.ru, crashonlycash@gmx.com, gracia154@tuta.io, gracia154@ cock.li, help4rec@tutanota.com, datashophere@mail.ru, help4dec@cock.li, coderunlocker@gmail.com, coderunlockerr@gmail.com, howrecover@tutanota.com, recovery1@cock.li, mikolio@cock.li, mikolio@xmpp. jp, sharm777@aol.com, sharm777@protonmail.com, boomblack@tutanota.com, boomblack@cock.li, recovery.pc@aol.com, recovery.pc@mailfence.com, safetynet@mail.ee, safetynet@ tfwno.gf, unlocker@criptext.com, unlocker@firemail.cc, backupransomware@tutanota.com, tutik337@tuta.io, tutik337@cock.li, rottencurd@vivaldi.net, rottencurd@mail.ee, covidv19@cock. li, recoveryman@tutanota.com, 958f895@tutanota.com, 958f895@protonmail.com, magicbox@outlookpro.net, 2magicbox@cock.li, dr.help888@aol.com,decryptorr@cock.email, decryptorr@cock.lu, mrs.help888@protonmail.com, johnlo@techmail.info, johnlo@keemail.me, ransom199999@tutanota.com, ransom200000@tutanota.com, yeniden açılıyor1999@tutanota.com, ransom19999@tutanota.com, pablokariablo@mail2tor.com, borisrazor@nerdmail.co, fourfingeredfrankie@onionmail.org, kalitulz@protonmail.com, kalitulz@yandex.com, gener888@tutanota.com, sacura1716@cock.li, highlvlservice@, highlvlservice ctemplar.com, highlvlservice@tfwno.gf, strike999@tutanota.com, strike8889@protonmail.com, chinadecrypt@msgsafe.io, phobossp@protonmail.ch, phobos@mailfence.com, help2021me@aol.com, johnnylo@techmail. info, johnnylo@keemail.me, jessanor@airmail.cc, nullcipher@goat.si, xena@airmail.cc, nullcipher@tutanota.com, globalbtc@gmx.de, fastwindglobe@mail.ee, fastwindglobe@cock.li, globalbtc2@mein.gmx, operatör@wedecrypt.net, help@wedecrypt.net,zahary@techmail.info, files0at0risk0support@cock.li, musonn@airmail.cc, robud@ctemplar.com, blockfiles12@tutanota.com, blockfiles12@cock.li, robud@outlookpro.net, sidor@airmail.cc, mrreturn@ ctemplar.com, gener888@tuta.io, gener888@cock.li, unloucker1999@tutanota.com, help1999@tutanota.com, ferdinandcohn1828@gmx.com, albertwesker1998@tutanota.com, aider1999@tutanota.com, mrrobot13@tutarrobot13@tutarrobot13@tutanota.com io, backupsoftware@techmail.info, phobos@criptext.com, dharma@firemail.cc, decbot13@protonmail.com, elinali@airmail.cc, vadoranz@airmail.cc, sazepa@tuta.io, sazepa@cock.li, resp0nse1999@tutanota.com, friderique@tutanota.com, wikidev@keemail.me, wikidev@techmail.info, billscars@gmx.com, billscars@mailfence.com, mmgy@tutanota.com, @support111 (ICQ), @backupsoftware (ICQ), @mainonejoshuasmith (ICQ), @icqmainsupport (ICQ), @sewzok (Tel), decrypt20@xmpp.jp (Jabber),@Decryptorr (Telegram), @Resp0nse (Telegram), @helpsnow (Telegram), @mainonejoshuasmith (Telegram) ve Sonar'da decphob

AV Algılaması : Avast (Win32:PWSX-gen [Trj]), BitDefender (Trojan.GenericKD.33855769), ESET-NOD32 (MSIL/GenKryptik.EKSC'nin Bir Varyantı), Kaspersky (HEUR:Trojan-PSW.MSIL.Agensla.gen), Algılamaların Tam Listesi ( VirusTotal )

Elbie uzantılı fidye virüsü, "Phobos" ransomware ailesine ait bir fidye yazılım çeşididir. Bir sisteme bulaştıktan sonra dosyaları şifreler, yeniden adlandırır ve iletişim kurabilmek için genellikle her klasörün içerisine bir txt doyası oluşturur. Bulaştığı her cihaz için bir ID oluşturur ve iletişim kurmak, ücret talep etmek vb işlemleri gerçekleştirmek için bu ID numarasını baz alır. Oluşturulan her ID'nin sonuna iletişim için datashophere@mail.ru e-posta adresini ekler. Dosyaları şifreledikten sonra dosya adlarına ".elbie" uzantısını ekleyerek dosyaları yeniden adlandırır. Örneğin, "local.txt" dosyasını "local.txt.id[2D965F00-2575].[datashophere@mail.ru].elbie olarak yeniden adlandırır.

photo_2022-03-23_22-04-44.jpg

Tüm dosyaları şifreleyip uzantılarını değiştirdikten sonra her klasör içerisine "info.txt" veya "info.hta" ismi ile bir bilgilendirme dosyası oluşturur. Bu dosya içerisinde saldırgan ile nasıl iletişime geçeceğiniz, ödemeyi hangi şekilde yapacağınız, şifrelenen dosyalara müdahale etmemeniz gerektiği vb notlar bırakılır. Bırakılan not içerisinde saldırgan ile belirtilen mail adresleri üzerinden iletişime geçilmesi gerektiği, 24 saat içerisinde cevap verilmediği takdirde "TOR BROWSER" aracılığıyla belirtilen link ile iletişime geçilmesini belirten notlar bırakılıyor. İletişime geçtikten sonra, güven sağlamak amacıyla istedikleri miktarda fidyeyi alabilmek için bir kısım dosyayı ücretsiz olarak çözmeyi vaat ediyor. Unutulmamalıdır ki sistemlerinize fidye virüsü bulaştırıp sizden ücret talep eden siber korsanlar, ödemeyi aldıktan sonra sizinle iletişimi kesebilirler. Fidye yazılımı geliştiricilerinin ödemeden sonra bile şifre çözme araçları / anahtarları göndermediğini unutmayın. Daha önce yaşanmış bir çok vakada olduğu gibi siber korsanlara güvenen kişiler genellikle dolandırılıyor. Fidye virüsüne maruz kalmadan önce mutlaka çalışan bir yedeğiniz olduğundan emin olun. Fidye virüsü saldırılarından minimum düzeyde etkilenmenin yolu her zaman çalışan ve güncel bir yedeğinizin olmasıdır. Yanlış bilinen ve sıkça karşılaşılan sorunlardan biri de sistemin şifrelendiği sırada sunucuların enerji bağlantısı kesilerek müdahale edilmesidir. Böyle bir durumda o an şifrelenen bir dosyanın, şifreleme tamamlanmadığından dolayı ani elektrik kesintisi nedeniyle hasar göreceği öngörülmemektedir ve kalıcı hasarlara sebebiyet vermektedir. Şifreleme işlemi tamamlanmayan bir dosya, şifre çözücü bir anahtar hacker'dan satın alınsa dahi o an hasar gören dosya çözülemeyecektir. Böyle bir durumda yapılması gereken ilk müdahale, network bağlantısı kesilmeli ve şifreleme gerçekleşen sistemin hiç bir şekilde enerjisi kesilmemelidir. Konuyla ilgili bir uzmana danışmadan önce sisteme hiç bir müdahalede bulunulmamalıdır. Çözümlenen vakaların %80'inin yetkisiz müdahalede bulunulmamış ve bir uzman kontrolünde gerçekleşen operasyonlar olduğu bilinmelidir.

Şayet ".elbie" uzantılı fidye virüsü saldırısına maruz kaldıysanız bu konuda destek isteyebilir ve dosyalarınızın ücretsiz olarak analizini talep edebilirsiniz.

Destek

Herhangi bir veri kaybı yaşadığınızda, bulunduğunuz konuma en yakın DrDisk Lab çözüm ortağı ile iletişime geçebilirsiniz...

Yukarı