Ebaka Ransomware

Bezpečnostní výzkumníci identifikovali Ebaka jako hrozbu ransomwaru, která byla navržena s explicitním účelem šifrování souborů na napadených zařízeních a následně požadování výkupného za jejich dešifrování. Jakmile je malware Ebaka aktivován, zahájí proces zamykání souborů pomocí šifrování, přičemž v procesu mění názvy souborů. Původní jména jsou rozšířena o jedinečné ID oběti, e-mailovou adresu kyberzločinců a příponu „.ebaka“. Například soubor původně pojmenovaný '1.png' bude zašifrován a objeví se jako '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Po dokončení procesu šifrování Ebaka vygeneruje výkupné, které se uloží na plochu a do všech adresářů obsahujících zamčená data. Jedna z poznámek o výkupném je zobrazena ve vyskakovacím okně ('info.hta'), zatímco další má formu textového souboru ('info.txt'). Pozoruhodné je, že výzkumná analýza spojila Ebaka Ransomware se známou rodinou Phobos Ransomware .

Ebaka Ransomware by mohl způsobit obrovské škody při úspěšné infekci

Hrozivé programy přidružené k rodině Phobos Ransomware, jako je Ebaka Ransomware, vykazují pokročilé možnosti šifrování, které šifrují místní i síťové soubory. Tyto programy uplatňují sofistikovaný přístup tím, že ukončují procesy spojené s otevřenými soubory, aby se zabránilo tomu, že budou považovány za „používané“ a následně vyjmuty z procesu šifrování. Tato pečlivá strategie zajišťuje komplexnější dopad na cílená data.

Je pozoruhodné, že operace thEbaka Ransomware neohrožují důležité systémové soubory, čímž se minimalizuje riziko nestability systému. Kromě toho se záměrně snaží zabránit dvojitému šifrování, čímž se šetří data již ovlivněná jinými variantami ransomwaru. Tento proces se řídí předem definovaným seznamem, i když nezahrnuje všechny existující programy pro šifrování dat.

Ve snaze zabránit obnově Ebaka Ransomware odstraní stínové kopie svazků, čímž eliminuje jednu potenciální metodu obnovy zašifrovaných souborů. Malware využívá různé techniky zajišťující perzistenci, včetně samo-replikace na cestu %LOCALAPPDATA% a registrace pomocí specifických klíčů Run, které zajišťují automatickou inicializaci po restartu systému.

Kromě toho mohou útoky Ebaka vykazovat vlastnosti geo-uzamykání. Tyto programy shromažďují geolokační údaje a mohou zastavit infekci na základě faktorů, jako jsou ekonomické podmínky v určitých regionech (potenciálně domov obětí neschopných platit výkupné), geopolitické úvahy nebo jiná kritéria.

Na základě rozsáhlých zkušeností s výzkumem ransomwarových infekcí je zřejmé, že dešifrování bez přímé účasti útočníků je vzácným jevem. Výjimky jsou omezeny na případy zahrnující vážně chybné programy typu ransomware, zdůrazňující celkové výzvy a složitost související s obnovou dat z takto sofistikovaných kybernetických hrozeb.

Ebaka Ransomware vydírá oběti za peníze

Obsah výkupného Ebaka, prezentovaný v textovém souboru, výslovně sděluje obětem, že jejich soubory byly zašifrovány. Zpráva důrazně vyzývá oběti, aby zahájily kontakt s útočníky a usnadnily tak proces dešifrování. Poznámka o výkupném zobrazená ve vyskakovacím okně navíc poskytuje další podrobnosti o infekci a uvádí, že dešifrování je podmíněno zaplacením výkupného v kryptoměně bitcoin. Je pozoruhodné, že výše výkupného je údajně ovlivněna tím, jak rychle oběť naváže komunikaci s kyberzločinci.

Je zajímavé, že před splněním požadavků na výkupné mají oběti údajně možnost otestovat proces dešifrování. Mohou odeslat až pět zašifrovaných souborů k testování, s výhradou určitých omezení. Zdá se, že toto zvláštní ustanovení nabízí letmý pohled na proces dešifrování, možná jako taktiku, jak v oběti vzbudit pocit důvěry nebo naléhavosti.

Kyberzločinci varují oběti před jakýmkoli pokusem o úpravu zamčených souborů nebo použití dešifrovacích nástrojů třetích stran, přičemž zdůrazňují riziko trvalé ztráty dat. Kromě toho jsou oběti upozorněny na možné finanční důsledky hledání pomoci od třetích stran, což naznačuje, že takové kroky mohou zvýšit celkovou finanční ztrátu způsobenou během procesu řešení problémů. Tento podrobný soubor pokynů a varování podtrhuje vypočítanou povahu požadavku na výkupné. Jeho cílem je vést oběti celým procesem a zároveň je odradit od jakýchkoli akcí, které by mohly ohrozit potenciál úspěšného dešifrování.

Obětem Ebaka Ransomware jsou předloženy následující požadavky na výkupné:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'