Ebaka løsepengevare
Sikkerhetsforskere har identifisert Ebaka som en løsepenge-trussel, designet med det eksplisitte formål å kryptere filer på kompromitterte enheter og deretter kreve løsepenger for dekryptering. Når Ebaka malware er aktivert, starter den en fillåsingsprosess gjennom kryptering, og endrer filnavn i prosessen. De originale navnene er utvidet med en unik offer-ID, e-postadressen til nettkriminelle og en '.ebaka'-utvidelse. For eksempel vil en fil opprinnelig kalt '1.png' gjennomgå kryptering og vises som '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'
Etter at krypteringsprosessen er fullført, genererer Ebaka løsepenger som settes inn på skrivebordet og i alle kataloger som inneholder låste data. En av løsepengene presenteres i et popup-vindu ('info.hta'), mens en annen har form av en tekstfil ('info.txt'). Spesielt har forskningsanalyse knyttet Ebaka Ransomware til den velkjente Phobos Ransomware -familien.
Ebaka Ransomware kan forårsake enorm skade ved vellykket infeksjon
Truende programmer tilknyttet Phobos Ransomware-familien, for eksempel Ebaka Ransomware, viser avanserte krypteringsevner, og krypterer både lokale og nettverksdelte filer. Disse programmene tar en sofistikert tilnærming ved å avslutte prosesser knyttet til åpnede filer for å forhindre at de anses som "i bruk" og deretter unntas fra krypteringsprosessen. Denne grundige strategien sikrer en mer omfattende innvirkning på målrettede data.
Det er bemerkelsesverdig at Ebaka Ransomware-operasjoner avstår fra å kompromittere kritiske systemfiler, noe som minimerer risikoen for systemustabilitet. I tillegg gjøres en bevisst innsats for å unngå dobbel kryptering, og sparer data som allerede er påvirket av andre løsepengevarevarianter. Denne prosessen følger en forhåndsdefinert liste, selv om den ikke omfatter alle eksisterende datakrypteringsprogrammer.
I et forsøk på å hindre gjenoppretting, sletter Ebaka Ransomware Shadow Volume Copies, og eliminerer en potensiell metode for å gjenopprette krypterte filer. Skadevaren bruker forskjellige utholdenhetssikrende teknikker, inkludert selvreplikering til %LOCALAPPDATA%-banen og registrering med spesifikke Run-nøkler, som sikrer automatisk oppstart etter omstart av systemet.
Dessuten kan Ebaka-angrep vise geo-låseegenskaper. Disse programmene samler geolokaliseringsdata og kan avbryte infeksjon basert på faktorer som økonomiske forhold i visse regioner (potensielt hjemsted for ofre som ikke kan betale løsepenger), geopolitiske hensyn eller andre kriterier.
Med lang erfaring med å forske på løsepengevareinfeksjoner, blir det tydelig at dekryptering uten direkte involvering av angripere er en sjelden forekomst. Unntak er begrenset til tilfeller som involverer alvorlig defekte løsepengevare-programmer, som understreker de generelle utfordringene og kompleksiteten knyttet til å gjenopprette data fra slike sofistikerte cybertrusler.
Ebaka Ransomware presser ofre for penger
Innholdet i Ebakas løsepenger, presentert i en tekstfil, kommuniserer eksplisitt til ofrene at filene deres er kryptert. Meldingen oppfordrer sterkt ofre til å ta kontakt med angriperne for å lette dekrypteringsprosessen. I tillegg gir løsepengeseddelen som vises i et popup-vindu ytterligere detaljer om infeksjonen, og spesifiserer at dekryptering er betinget av betaling av løsepenger i Bitcoin kryptovaluta. Spesielt er løsepengebeløpet angivelig påvirket av hvor raskt offeret etablerer kommunikasjon med nettkriminelle.
Interessant nok, før de etterkommer løsepengekravene, er ofrene angivelig gitt muligheten til å teste dekrypteringsprosessen. De kan sende inn opptil fem krypterte filer for testing, med visse begrensninger. Denne særegne bestemmelsen ser ut til å gi et glimt av dekrypteringsprosessen, muligens som en taktikk for å innpode en følelse av tillit eller at det haster med offeret.
Nettkriminelle advarer ofre mot ethvert forsøk på å endre de låste filene eller bruke tredjeparts dekrypteringsverktøy, og understreker risikoen for permanent tap av data. I tillegg blir ofre varslet om de potensielle økonomiske konsekvensene av å søke bistand fra tredjeparter, noe som tyder på at slike handlinger kan øke det samlede økonomiske tapet som påløper under løsningsprosessen. Dette detaljerte settet med instruksjoner og advarsler understreker den beregnede naturen til løsepengekravet. Den tar sikte på å veilede ofrene gjennom prosessen samtidig som de fraråder dem fra å ta noen handlinger som kan kompromittere potensialet for vellykket dekryptering.
Ofre for Ebaka Ransomware blir presentert for følgende løsepengekrav:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files generated by Ebaka Ransomware contain the following message:
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'
