Ebaka Ransomware

Els investigadors de seguretat han identificat Ebaka com una amenaça de ransomware, dissenyada amb el propòsit explícit de xifrar fitxers en dispositius compromesos i, posteriorment, exigir pagaments de rescat per al seu desxifrat. Un cop activat el programari maliciós Ebaka, inicia un procés de bloqueig de fitxers mitjançant el xifratge, alterant els noms dels fitxers en el procés. Els noms originals s'amplien amb un identificador de víctima únic, l'adreça de correu electrònic dels ciberdelinqüents i una extensió ".ebaka". Per exemple, un fitxer anomenat inicialment '1.png' es xifrarà i apareixerà com a '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Un cop finalitzat el procés de xifratge, Ebaka genera notes de rescat que es dipositen a l'escriptori i dins de tots els directoris que contenen dades bloquejades. Una de les notes de rescat es presenta en una finestra emergent ('info.hta'), mentre que una altra pren la forma d'un fitxer de text ('info.txt'). En particular, l'anàlisi de la investigació ha vinculat l'Ebaka Ransomware a la coneguda família Phobos Ransomware .

El ransomware Ebaka podria causar un dany enorme en cas d'una infecció reeixida

Els programes amenaçadors afiliats a la família Phobos Ransomware, com ara Ebaka Ransomware, presenten capacitats avançades de xifratge, xifrant fitxers locals i compartits a la xarxa. Aquests programes adopten un enfocament sofisticat en finalitzar els processos associats als fitxers oberts per evitar que es considerin "en ús" i, posteriorment, eximïts del procés de xifratge. Aquesta estratègia meticulosa garanteix un impacte més complet en les dades dirigides.

Cal destacar que les operacions de Ebaka Ransomware s'abstinguin de comprometre els fitxers crítics del sistema, minimitzant el risc d'inestabilitat del sistema. A més, es fa un esforç deliberat per evitar el doble xifratge, estalviant dades que ja estan afectades per altres variants de ransomware. Aquest procés s'adhereix a una llista predefinida, tot i que no inclou tots els programes de xifrat de dades existents.

En un intent d'obstaculitzar la recuperació, Ebaka Ransomware elimina les còpies de volum d'ombra, eliminant un mètode potencial per restaurar fitxers xifrats. El programari maliciós utilitza diverses tècniques per garantir la persistència, com ara l'autoreplicació al camí %LOCALAPPDATA% i el registre amb claus d'execució específiques, que garanteixen l'inici automàtic després del reinici del sistema.

A més, els atacs d'Ebaka poden presentar característiques de bloqueig geogràfic. Aquests programes recullen dades de geolocalització i poden interrompre la infecció en funció de factors com ara les condicions econòmiques de determinades regions (potencialment llar de víctimes que no poden pagar rescats), consideracions geopolítiques o altres criteris.

A partir d'una àmplia experiència en la investigació d'infeccions per ransomware, es fa evident que el desxifrat sense la participació directa dels atacants és un fet poc freqüent. Les excepcions es limiten a les instàncies que involucren programes de tipus ransomware seriosament defectuosos, posant èmfasi en els reptes generals i la complexitat associats a la recuperació de dades d'aquestes amenaces cibernètiques tan sofisticades.

El ransomware Ebaka extorsiona les víctimes per diners

El contingut de la nota de rescat d'Ebaka, presentat en un fitxer de text, comunica explícitament a les víctimes que els seus fitxers han estat xifrats. El missatge anima les víctimes a iniciar el contacte amb els atacants per facilitar el procés de desxifrat. A més, la nota de rescat que es mostra en una finestra emergent proporciona més detalls sobre la infecció, especificant que el desxifrat depèn del pagament d'un rescat en criptomoneda Bitcoin. En particular, la quantitat del rescat està suposadament influenciada per la rapidesa amb què la víctima estableix la comunicació amb els ciberdelinqüents.

Curiosament, abans de complir amb les demandes de rescat, suposadament, les víctimes tenen l'opció de provar el procés de desxifrat. Poden enviar fins a cinc fitxers xifrats per a proves, subjectes a determinades limitacions. Aquesta disposició peculiar sembla oferir una visió del procés de desxifrat, possiblement com una tàctica per inculcar un sentiment de confiança o urgència a la víctima.

Els ciberdelinqüents adverteixen a les víctimes contra qualsevol intent de modificar els fitxers bloquejats o utilitzar eines de desxifrat de tercers, posant èmfasi en el risc de pèrdua permanent de dades. A més, s'avisa a les víctimes de les possibles conseqüències financeres de la recerca d'ajuda de tercers, cosa que suggereix que aquestes accions poden augmentar la pèrdua financera global en què s'ha incorregut durant el procés de resolució. Aquest conjunt detallat d'instruccions i advertències subratlla la naturalesa calculada de la demanda de rescat. Té com a objectiu guiar les víctimes durant el procés alhora que les dissuadi de prendre qualsevol acció que pugui comprometre el potencial d'èxit del desxifrat.

Les víctimes del ransomware Ebaka reben les següents demandes de rescat:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'