4.0.9 загруженная с официального сайта безопасная. Тот твит предупреждает о том, что имеются поддельные установщики
Не доверять никому и ничему кроме того, что выложено на официальным сайте это первое правило, которому должен следовать каждый криптан. Если вам кто-то выложил здесь ша256 - не верьте.
Доверяйте только разработчику Electrum. Чтобы проверить свой файл, скачайте еще файл его pgp signature - файл с расширением asc, ссылка на который находится на официальном сайте рядом с тем файлом, который вы скачали и проверьте свой закаченный файл по стандартной процедуре проверки подписанных pgp файлов. Хорошая инструкция как это сделать лежит здесь
https://bitcointalk.org/index.php?topic=5134965