Ebaka рансъмуер

Изследователите по сигурността идентифицираха Ebaka като заплаха за рансъмуер, създадена с изричната цел да криптира файлове на компрометирани устройства и впоследствие да изисква плащания на откуп за тяхното дешифриране. След като зловредният софтуер Ebaka се активира, той инициира процес на заключване на файлове чрез криптиране, променяйки имената на файловете в процеса. Оригиналните имена са разширени с уникален идентификатор на жертвата, имейл адреса на киберпрестъпниците и разширение „.ebaka“. Например, файл с първоначално име „1.png“ ще бъде подложен на криптиране и ще се появи като „1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.“

След завършване на процеса на криптиране Ebaka генерира бележки за откуп, които се депозират на работния плот и във всички директории, съдържащи заключени данни. Една от бележките за откуп се представя в изскачащ прозорец („info.hta“), докато друга е под формата на текстов файл („info.txt“). Трябва да се отбележи, че изследователският анализ свърза рансъмуера Ebaka с добре известното семейство Phobos Ransomware .

Рансъмуерът Ebaka може да причини огромни щети при успешно заразяване

Заплашителни програми, свързани с фамилията Phobos Ransomware, като например Ebaka Ransomware, показват усъвършенствани възможности за шифроване, шифровайки както локални, така и споделени в мрежа файлове. Тези програми използват усъвършенстван подход, като прекратяват процеси, свързани с отворени файлове, за да предотвратят те да бъдат счетени за „в употреба“ и впоследствие да бъдат освободени от процеса на криптиране. Тази щателна стратегия осигурява по-всеобхватно въздействие върху целевите данни.

Трябва да се отбележи, че операциите на thEbaka Ransomware се въздържат от компрометиране на критични системни файлове, минимизирайки риска от нестабилност на системата. Освен това се полагат целенасочени усилия за избягване на двойно криптиране, спестявайки данни, които вече са засегнати от други варианти на ransomware. Този процес се придържа към предварително определен списък, въпреки че не обхваща всички съществуващи програми за криптиране на данни.

В опит да попречи на възстановяването, Ebaka Ransomware изтрива Shadow Volume Copies, елиминирайки един потенциален метод за възстановяване на криптирани файлове. Злонамереният софтуер използва различни техники за осигуряване на устойчивост, включително саморепликация към пътя %LOCALAPPDATA% и регистрация със специфични ключове за изпълнение, гарантирайки автоматично стартиране след рестартиране на системата.

Освен това атаките на Ebaka могат да проявят характеристики на геозаключване. Тези програми събират данни за геолокация и могат да прекратят заразяването въз основа на фактори като икономически условия в определени региони (потенциално дом на жертви, които не могат да платят откупи), геополитически съображения или други критерии.

Въз основа на обширния опит в изследването на инфекции с ransomware става очевидно, че дешифрирането без прякото участие на нападатели е рядко явление. Изключенията са ограничени до случаи, включващи сериозно дефектни програми от типа на ransomware, като се набляга на цялостните предизвикателства и сложност, свързани с възстановяването на данни от такива сложни кибер заплахи.

Рансъмуерът Ebaka изнудва жертвите за пари

Съдържанието на бележката за откуп на Ebaka, представена в текстов файл, изрично съобщава на жертвите, че техните файлове са криптирани. Съобщението силно насърчава жертвите да инициират контакт с нападателите, за да улеснят процеса на дешифриране. Освен това бележката за откуп, показана в изскачащ прозорец, предоставя допълнителни подробности за инфекцията, уточнявайки, че декриптирането зависи от плащането на откуп в криптовалута биткойн. Трябва да се отбележи, че сумата на откупа се предполага, че се влияе от това колко бързо жертвата установява комуникация с киберпрестъпниците.

Интересното е, че преди да се съобразят с исканията за откуп, на жертвите се твърди, че им е предоставена опцията да тестват процеса на дешифриране. Те могат да изпратят до пет криптирани файла за тестване, при определени ограничения. Тази особена разпоредба изглежда предлага бегъл поглед върху процеса на дешифриране, вероятно като тактика за внушаване на чувство на доверие или неотложност у жертвата.

Киберпрестъпниците предупреждават жертвите да не се опитват да променят заключените файлове или да използват инструменти за декриптиране на трети страни, като подчертават риска от трайна загуба на данни. Освен това жертвите биват предупреждавани за потенциалните финансови последици от търсенето на помощ от трети страни, което предполага, че подобни действия могат да увеличат общата финансова загуба, понесена по време на процеса на разрешаване. Този подробен набор от инструкции и предупреждения подчертава изчисления характер на искането за откуп. Той има за цел да напътства жертвите през процеса, като същевременно ги разубеждава да предприемат каквито и да било действия, които биха могли да компрометират потенциала за успешно дешифриране.

На жертвите на рансъмуера Ebaka се представят следните искания за откуп:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'