Програма-вимагач Ebaka

Дослідники безпеки ідентифікували Ebaka як загрозу програмного забезпечення-вимагача, створене з явною метою шифрування файлів на скомпрометованих пристроях і подальшого вимагання викупу за їх дешифрування. Після активації зловмисного ПЗ Ebaka ініціює процес блокування файлів за допомогою шифрування, змінюючи назви файлів у процесі. Оригінальні імена розширено унікальним ідентифікатором жертви, електронною адресою кіберзлочинців і розширенням «.ebaka». Наприклад, файл із початковою назвою «1.png» піддасться шифруванню та з’явиться як «1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.

Після завершення процесу шифрування Ebaka створює нотатки про викуп, які зберігаються на робочому столі та в усіх каталогах, що містять заблоковані дані. Одна з заміток про викуп представлена у спливаючому вікні ('info.hta'), а інша має форму текстового файлу ('info.txt'). Примітно, що аналіз досліджень пов’язав програму-вимагач Ebaka з добре відомою сім’єю програм-вимагачів Phobos .

Програма-вимагач Ebaka може завдати величезної шкоди в разі успішного зараження

Загрозливі програми, пов’язані з сімейством Phobos Ransomware, наприклад Ebaka Ransomware, демонструють розширені можливості шифрування, шифруючи як локальні, так і спільні файли в мережі. Ці програми використовують складний підхід, припиняючи процеси, пов’язані з відкритими файлами, щоб запобігти тому, щоб вони були визнані «у використанні» та згодом виключені з процесу шифрування. Ця ретельна стратегія забезпечує більш комплексний вплив на цільові дані.

Слід зазначити, що операції thEbaka Ransomware утримуються від компрометації критичних системних файлів, мінімізуючи ризик нестабільності системи. Крім того, докладаються свідомі зусилля, щоб уникнути подвійного шифрування, зберігаючи дані, які вже постраждали від інших варіантів програм-вимагачів. Цей процес дотримується попередньо визначеного списку, хоча він не охоплює всі існуючі програми шифрування даних.

Намагаючись перешкодити відновленню, програма-вимагач Ebaka видаляє тіньові копії томів, усуваючи один із потенційних методів відновлення зашифрованих файлів. Зловмисне програмне забезпечення використовує різні методи забезпечення стійкості, включаючи самовідтворення до шляху %LOCALAPPDATA% і реєстрацію за допомогою певних ключів запуску, що забезпечує автоматичний запуск після перезавантаження системи.

Крім того, атаки Ebaka можуть демонструвати характеристики геоблокування. Ці програми збирають геолокаційні дані та можуть припинити зараження на основі таких факторів, як економічні умови в певних регіонах (де потенційно проживають жертви, які не можуть заплатити викуп), геополітичні міркування чи інші критерії.

Спираючись на великий досвід дослідження заражень програмами-вимагачами, стає очевидним, що дешифрування без прямої участі зловмисників є рідкісним явищем. Винятки обмежуються випадками, пов’язаними з програмами-вимагачами із серйозними недоліками, що підкреслює загальні проблеми та складність, пов’язані з відновленням даних від таких складних кіберзагроз.

Програма-вимагач Ebaka вимагає у жертв гроші

Вміст записки Ебаки про викуп, представлений у текстовому файлі, чітко повідомляє жертвам, що їхні файли були зашифровані. Повідомлення настійно закликає жертв ініціювати контакт із зловмисниками, щоб полегшити процес дешифрування. Крім того, повідомлення про викуп, яке відображається у спливаючому вікні, містить додаткові відомості про зараження, вказуючи, що розшифровка залежить від сплати викупу в криптовалюті Bitcoin. Зокрема, на суму викупу нібито впливає те, наскільки швидко жертва встановлює зв’язок із кіберзлочинцями.

Цікаво, що перед тим, як задовольнити вимоги щодо викупу, жертвам нібито надається можливість перевірити процес розшифровки. Вони можуть подати до п’яти зашифрованих файлів для тестування з певними обмеженнями. Це особливе положення, здається, дає змогу коротко заглянути в процес дешифрування, можливо, як тактику, щоб прищепити жертві відчуття довіри або терміновості.

Кіберзлочинці застерігають жертв від будь-яких спроб змінити заблоковані файли або використовувати сторонні інструменти дешифрування, підкреслюючи ризик безповоротної втрати даних. Крім того, потерпілих попереджають про потенційні фінансові наслідки звернення за допомогою до третіх сторін, припускаючи, що такі дії можуть збільшити загальні фінансові втрати, понесені під час процесу врегулювання. Цей детальний набір інструкцій і попереджень підкреслює розрахований характер вимоги викупу. Він спрямований на те, щоб направляти жертв через процес, одночасно відмовляючи їх від будь-яких дій, які можуть поставити під загрозу потенціал успішного дешифрування.

Жертвам програми-вимагача Ebaka висуваються такі вимоги щодо викупу:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'