Elbie 勒索軟件：完整指南

Elbie 是一種文件加密勒索軟件，它通過將受害者的 ID、電子郵件地址和“.Elbie”擴展名附加到文件名來重命名文件。 Elbie 屬於 Phobos 勒索軟件家族，類似於 8base 勒索軟件。 SalvageData 專家建議採取主動的數據安全措施，例如定期備份、強大的網絡安全實踐以及保持軟件最新，以防止惡意軟件攻擊。和，如果發生惡意軟件攻擊，請立即聯繫我們的惡意軟件恢復專家。

艾爾比是什麼樣的威脅？

Elbie 是勒索軟件，是一種對文件進行加密的惡意軟件，使受害者無法訪問文件，直到受害者在要求支付贖金後使用犯罪分子提供的解密密鑰解密文件。 Elbie 勒索軟件最初由 Cisco Talos 於 2023 年 5 月 24 日報告，該團伙有經濟動機。截至本文發表時，其起源仍未知。 Elbie 勒索軟件的危險之一是它會攻擊計算機用戶和組織，但沒有主要目標，使在線的每個人都成為潛在的受害者。

確認姓名

• 埃爾比病毒

威脅類型

• 勒索軟件
• 加密病毒
• 文件櫃

檢測名稱

• 阿瓦斯特Win32:Phobos-D [贖金]
• 平均電壓Win32:Phobos-D [贖金]
• 埃姆西軟件勒索木馬.PHU (B)
• 卡巴斯基HEUR:Trojan-Ransom.Win32.Generic
• 惡意軟件字節通用惡意軟件AI.DDS
• 邁克菲贖金-Phobos!9E79576CBD90
• 微軟贖金：Win32/Phobos.PM

分配方式

閱讀更多：NoEscape 勒索軟件：完整指南

• 社會工程
• 網絡釣魚
• 惡意廣告
• 漏洞利用工具包
• 盜版軟件

結果

• 所有文件均已加密
• 為新的感染敞開大門
• 數據洩露

Elbie勒索軟件的感染和執行方法

勒索軟件通過多種方式傳播，包括網絡釣魚電子郵件、偷渡式下載、軟件破解工具/破解軟件安裝程序以及虛假安裝程序。由於該團伙不會選擇受害者，因此下載盜版軟件的個人用戶與中小型企業一樣面臨著計算機被 Elbie 勒索軟件感染的風險。 Elbie 勒索軟件使用有效負載來運行安裝文件病毒的惡意腳本。有效負載是旨在在目標系統上執行未經授權的操作的惡意軟件。病毒一旦執行，就會立即感染系統，並與遠程服務器通信，為特定計算機生成唯一密鑰。然後，Elbie 勒索軟件使用 AES-256 結合 RSA-1024 非對稱加密作為加密方法，對受害者計算機上的文件進行加密。之後，勒索軟件會將受害者的 ID、電子郵件地址和“.Elbie”擴展名附加到其文件名中（FILENAME.id[12 字母數字].[[email protected]].Elbie）。然後勒索軟件會生成兩個勒索字條：“info.hta”和“info.txt”，告知受害者他們的所有文件都已加密，如果沒有攻擊者提供的工具就無法解密。

不要支付贖金！聯繫勒索軟件恢復服務不僅可以恢復您的文件，還可以消除任何潛在威脅。

Elbie 勒索軟件妥協指標 (IOC)

妥協指標 (IOC) 是在網絡或操作系統中觀察到的偽影，可高度可信地指示計算機入侵。 IOC 可用於使用入侵檢測系統和防病毒軟件來及早檢測未來的攻擊企圖。它們本質上是犯罪現場留下的證據的數字版本，潛在的 IOC 包括異常網絡流量、來自外國的特權用戶登錄、奇怪的 DNS 請求、系統文件更改等。當檢測到 IOC 時，安全團隊會評估可能的威脅或驗證其真實性。 IOC 還提供了攻擊者滲透網絡後可以訪問的內容的證據。以下是與 Elbie 勒索軟件相關的一些 IOC：

• 文件名：安裝程序
• 勒索信文件名：信息.hta、信息.txt
• 文件擴展名: .埃爾比
• 電子郵件地址：[電子郵件受保護]，[電子郵件受保護]

埃爾比勒索信

艾爾比投下的兩張贖金紙條內容不同。 “info.hta”提供了有關所發生事件的更多詳細信息，而“info.txt”僅提供了聯繫信息。 Elbie 的“info.hta”勒索字條示例：

Elbie 的“info.txt”勒索信樣本：

如何應對 Elbie 勒索軟件攻擊

從 Elbie 勒索軟件攻擊中恢復的第一步是通過斷開與互聯網的連接並刪除所有連接的設備來隔離受感染的計算機。然後，您必須聯繫地方當局。就美國居民和企業而言，聯邦調查局和網絡犯罪投訴中心（IC3）要報告惡意軟件攻擊，您必須收集有關該攻擊的所有信息，包括：

• 勒索信截圖
• 與威脅行為者的溝通（如果有的話）
• 加密文件的示例

但是，如果您願意聯繫專業人士，那麼最好讓每台受感染的機器保持原樣並要求緊急勒索軟件清除服務。這些專業人員能夠快速減輕損害、收集證據、可能逆轉加密並恢復系統。重新啟動或關閉系統可能會損害恢復服務。捕獲實時系統的 RAM 可能有助於獲取加密密鑰，捕獲 dropper 文件（即執行惡意負載的文件）可能會被逆向工程並導致數據解密或了解其運行方式。您必須不刪除勒索軟件，並保留所有攻擊證據。這對於數字取證專家們將追踪該黑客組織並查明其身份。當局可以通過使用受感染系統上的數據調查這次攻擊。網絡攻擊調查與任何其他刑事調查沒有什麼不同：它需要證據來找到攻擊者。

1.聯繫您的事件響應提供商

網絡事件響應是響應和管理網絡安全事件的過程。事件響應保留者是與網絡安全提供商簽訂的服務協議，允許組織獲​​得有關網絡安全事件的外部幫助。它通過安全合作夥伴為組織提供結構化形式的專業知識和支持，使他們能夠在網絡事件期間快速有效地做出響應。事件響應保留人員讓組織高枕無憂，在網絡安全事件發生之前和之後提供專家支持。事件響應保留程序的具體性質和結構將根據提供商和組織的要求而有所不同。良好的事件響應保留者應該強大而靈活，提供經過驗證的服務來增強組織的長期安全態勢。如果您聯繫您的 IR 服務提供商，他們可以立即接管並指導您完成勒索軟件恢復的每個步驟。但是，如果您決定自行刪除惡意軟件並與 IT 團隊一起恢復文件，則可以按照以下步驟操作。

2. 識別惡意軟件感染

通過文件擴展名（例如：“Filename.Elbie”）確定是否是 Elbie 勒索軟件感染了您的計算機，或者檢查勒索字條內容中是否有指定名稱。您還可以使用勒索軟件 ID 工具，您所需要的只是輸入一些有關攻擊的信息。有了這些信息，您就可以查找公共解密密鑰。

3.使用備份恢復數據

備份對於數據恢復的重要性怎麼強調都不為過，尤其是在數據完整性存在各種潛在風險和威脅的情況下。備份是全面數據保護策略的關鍵組成部分。它們提供了從各種威脅中恢復的方法，確保操作的連續性並保留有價值的信息。面對勒索軟件攻擊，惡意軟件會加密您的數據並要求您付費才能釋放數據，備份可以讓您恢復信息，而不會屈服於攻擊者的要求。請確保定期測試和更新您的備份程序，以增強其防範潛在數據丟失情況的有效性。進行備份的方法有多種，因此您必須選擇正確的備份介質，並至少在異地和離線狀態下存儲一份數據副本。

4. 聯繫惡意軟件恢復服務

如果您沒有備份或需要幫助刪除惡意軟件並消除漏洞，請聯繫數據恢復服務。支付贖金並不能保證您的數據會歸還給您。恢復每個文件的唯一有保證的方法是擁有備份。如果您不這樣做，勒索軟件數據恢復服務可以幫助您解密和恢復文件。 SalvageData 專家可以安全地恢復您的文件並防止 Elbie 勒索軟件再次攻擊您的網絡，請與我們的恢復專家 24/7 聯繫。

防止 Elbie 勒索軟件攻擊

防止惡意軟件是數據安全的最佳解決方案。比從中恢復更容易、更便宜。 Elbie 勒索軟件可能會毀掉您企業的未來，甚至關門大吉。以下是一些提示，可確保您可以避免惡意軟件攻擊:

• 保留你的 操作系統和軟件是最新的具有最新的安全補丁和更新。這有助於防止攻擊者利用的漏洞。
• 使用強而獨特的密碼對於所有帳戶，並儘可能啟用雙因素身份驗證。這可以幫助防止攻擊者訪問您的帳戶。
• 警惕可疑電子郵件、鏈接和附件。不要打開電子郵件或點擊來自未知或可疑來源的鏈接或附件。
• 使用信譽良好的防病毒和反惡意軟件軟件並保持最新。這可以幫助在惡意軟件造成損害之前檢測並刪除它。
• 使用防火牆阻止對您的網絡和系統的未經授權的訪問。
• 網絡分段將較大的網絡劃分為較小的子網絡，子網絡之間的互連性有限。它限制攻擊者的橫向移動並防止未經授權的用戶訪問組織的知識產權和數據。
• 限制用戶權限防止攻擊者訪問敏感數據和系統。
• 教育員工和員工關於如何識別和避免網絡釣魚電子郵件和其他社會工程攻擊。