Ebaka Ransomware

Penyelidik keselamatan telah mengenal pasti Ebaka sebagai ancaman perisian tebusan, direka dengan tujuan eksplisit untuk menyulitkan fail pada peranti yang terjejas dan seterusnya menuntut bayaran tebusan untuk penyahsulitan mereka. Sebaik sahaja perisian hasad Ebaka diaktifkan, ia memulakan proses mengunci fail melalui penyulitan, mengubah nama fail dalam proses tersebut. Nama asal dilanjutkan dengan ID mangsa yang unik, alamat e-mel penjenayah siber dan sambungan '.ebaka'. Sebagai contoh, fail pada mulanya bernama '1.png' akan menjalani penyulitan dan muncul sebagai '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Selepas selesai proses penyulitan, Ebaka menjana nota tebusan yang disimpan pada desktop dan dalam semua direktori yang mengandungi data terkunci. Satu daripada nota tebusan dibentangkan dalam tetingkap timbul ('info.hta'), manakala satu lagi dalam bentuk fail teks ('info.txt'). Terutama, analisis penyelidikan telah mengaitkan Ebaka Ransomware dengan keluarga Phobos Ransomware yang terkenal.

Ebaka Ransomware boleh Menyebabkan Kerosakan Besar Apabila Berjaya Jangkitan

Program mengancam yang bergabung dengan keluarga Phobos Ransomware, seperti Ebaka Ransomware, mempamerkan keupayaan penyulitan lanjutan, menyulitkan kedua-dua fail tempatan dan rangkaian. Program ini mengambil pendekatan yang canggih dengan menamatkan proses yang dikaitkan dengan fail yang dibuka untuk menghalangnya daripada dianggap "sedang digunakan" dan seterusnya dikecualikan daripada proses penyulitan. Strategi yang teliti ini memastikan kesan yang lebih komprehensif pada data yang disasarkan.

Perlu diperhatikan bahawa operasi thEbaka Ransomware mengelak daripada menjejaskan fail sistem kritikal, meminimumkan risiko ketidakstabilan sistem. Selain itu, usaha yang disengajakan dibuat untuk mengelakkan penyulitan berganda, menjimatkan data yang telah terjejas oleh varian perisian tebusan lain. Proses ini mematuhi senarai yang telah ditetapkan, walaupun ia tidak merangkumi semua program penyulitan data sedia ada.

Dalam usaha untuk menghalang pemulihan, Ebaka Ransomware memadamkan Salinan Volume Bayangan, menghapuskan satu kaedah berpotensi memulihkan fail yang disulitkan. Perisian hasad menggunakan pelbagai teknik memastikan kegigihan, termasuk replikasi kendiri ke laluan %LOCALAPPDATA% dan pendaftaran dengan kekunci Jalankan tertentu, memastikan permulaan automatik selepas but semula sistem.

Selain itu, serangan Ebaka mungkin mempamerkan ciri penguncian geo. Program ini mengumpulkan data geolokasi dan mungkin menghentikan jangkitan berdasarkan faktor seperti keadaan ekonomi di wilayah tertentu (berkemungkinan menjadi rumah kepada mangsa yang tidak dapat membayar wang tebusan), pertimbangan geopolitik atau kriteria lain.

Berdasarkan pengalaman yang luas dalam menyelidik jangkitan ransomware, jelaslah bahawa penyahsulitan tanpa penglibatan langsung penyerang adalah kejadian yang jarang berlaku. Pengecualian terhad kepada kejadian yang melibatkan program jenis perisian tebusan yang cacat serius, menekankan cabaran dan kerumitan keseluruhan yang berkaitan dengan memulihkan data daripada ancaman siber yang canggih tersebut.

Ebaka Ransomware Memeras Mangsa untuk Wang

Kandungan nota tebusan Ebaka, yang dibentangkan dalam fail teks, secara jelas menyampaikan kepada mangsa bahawa fail mereka telah disulitkan. Mesej itu sangat menggalakkan mangsa untuk memulakan hubungan dengan penyerang untuk memudahkan proses penyahsulitan. Selain itu, nota tebusan yang dipaparkan dalam tetingkap timbul memberikan butiran lanjut tentang jangkitan, menyatakan bahawa penyahsulitan adalah bergantung kepada pembayaran wang tebusan dalam mata wang kripto Bitcoin. Terutama, jumlah wang tebusan kononnya dipengaruhi oleh seberapa cepat mangsa menjalin komunikasi dengan penjenayah siber.

Menariknya, sebelum mematuhi tuntutan wang tebusan, mangsa didakwa diberikan pilihan untuk menguji proses penyahsulitan. Mereka boleh menyerahkan sehingga lima fail yang disulitkan untuk ujian, tertakluk pada pengehadan tertentu. Peruntukan pelik ini nampaknya menawarkan gambaran sekilas tentang proses penyahsulitan, mungkin sebagai taktik untuk menanamkan rasa percaya atau mendesak dalam diri mangsa.

Penjenayah siber memberi amaran kepada mangsa terhadap sebarang percubaan untuk mengubah suai fail yang dikunci atau menggunakan alat penyahsulitan pihak ketiga, menekankan risiko kehilangan data kekal. Selain itu, mangsa dimaklumkan tentang kemungkinan akibat kewangan daripada mendapatkan bantuan daripada pihak ketiga, mencadangkan bahawa tindakan sedemikian boleh meningkatkan kerugian kewangan keseluruhan yang ditanggung semasa proses penyelesaian. Set arahan dan amaran terperinci ini menekankan sifat pengiraan permintaan tebusan. Ia bertujuan untuk membimbing mangsa melalui proses sambil menghalang mereka daripada mengambil sebarang tindakan yang mungkin menjejaskan potensi penyahsulitan yang berjaya.

Mangsa Ebaka Ransomware dibentangkan dengan tuntutan tebusan berikut:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'