Ebaka Ransomware

Sikkerhedsforskere har identificeret Ebaka som en ransomware-trussel, designet med det eksplicitte formål at kryptere filer på kompromitterede enheder og efterfølgende kræve løsesumsbetalinger for deres dekryptering. Når Ebaka-malwaren er aktiveret, starter den en fillåsningsproces gennem kryptering og ændrer filnavne i processen. De originale navne er udvidet med et unikt offer-id, e-mail-adressen på de cyberkriminelle og en '.ebaka'-udvidelse. For eksempel vil en fil, der oprindeligt hedder '1.png', gennemgå kryptering og fremstå som '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Efter afslutningen af krypteringsprocessen genererer Ebaka løsesumsedler, der deponeres på skrivebordet og i alle mapper, der indeholder låste data. En af løsesumsedlerne præsenteres i et pop-up vindue ('info.hta'), mens en anden har form af en tekstfil ('info.txt'). Navnlig har forskningsanalyse knyttet Ebaka Ransomware til den velkendte Phobos Ransomware- familie.

Ebaka Ransomware kan forårsage enorm skade ved vellykket infektion

Truende programmer, der er tilknyttet Phobos Ransomware-familien, såsom Ebaka Ransomware, udviser avancerede krypteringsfunktioner, der krypterer både lokale og netværksdelte filer. Disse programmer har en sofistikeret tilgang ved at afslutte processer forbundet med åbnede filer for at forhindre dem i at blive betragtet som "i brug" og efterfølgende undtaget fra krypteringsprocessen. Denne omhyggelige strategi sikrer en mere omfattende effekt på målrettede data.

Det er bemærkelsesværdigt, at Ebaka Ransomware-operationer afholder sig fra at kompromittere kritiske systemfiler, hvilket minimerer risikoen for ustabilitet i systemet. Derudover gøres der en bevidst indsats for at undgå dobbeltkryptering, hvilket sparer data, der allerede er påvirket af andre ransomware-varianter. Denne proces overholder en foruddefineret liste, selvom den ikke omfatter alle eksisterende datakrypteringsprogrammer.

I et forsøg på at hindre gendannelse sletter Ebaka Ransomware Shadow Volume Copies, hvilket eliminerer en potentiel metode til at gendanne krypterede filer. Malwaren anvender forskellige persistenssikrende teknikker, herunder selvreplikering til %LOCALAPPDATA%-stien og registrering med specifikke Run-nøgler, hvilket sikrer automatisk initiering efter systemgenstart.

Desuden kan Ebaka-angreb udvise geo-låseegenskaber. Disse programmer indsamler geolokationsdata og kan afbryde infektion baseret på faktorer som økonomiske forhold i visse regioner (potentielt hjemsted for ofre, der ikke er i stand til at betale løsesum), geopolitiske overvejelser eller andre kriterier.

På baggrund af omfattende erfaring med forskning i ransomware-infektioner bliver det tydeligt, at dekryptering uden direkte involvering af angribere er en sjælden begivenhed. Undtagelser er begrænset til tilfælde, der involverer alvorligt fejlbehæftede programmer af ransomware-typen, hvilket understreger de overordnede udfordringer og kompleksitet forbundet med at gendanne data fra sådanne sofistikerede cybertrusler.

Ebaka Ransomware afpresser ofre for penge

Indholdet af Ebakas løsesumseddel, præsenteret i en tekstfil, kommunikerer eksplicit til ofrene, at deres filer er blevet krypteret. Meddelelsen opfordrer kraftigt ofre til at tage kontakt med angriberne for at lette dekrypteringsprocessen. Derudover giver løsesumsedlen, der vises i et pop-up-vindue, yderligere detaljer om infektionen, og specificerer, at dekryptering er betinget af betalingen af en løsesum i Bitcoin cryptocurrency. Navnlig er løsesummen angiveligt påvirket af, hvor hurtigt offeret etablerer kommunikation med cyberkriminelle.

Interessant nok, før de efterkommer kravet om løsesum, er ofrene angiveligt forsynet med muligheden for at teste dekrypteringsprocessen. De kan indsende op til fem krypterede filer til test med visse begrænsninger. Denne særegne bestemmelse ser ud til at give et glimt af dekrypteringsprocessen, muligvis som en taktik til at indgyde en følelse af tillid eller et presserende behov hos offeret.

De cyberkriminelle advarer ofre mod ethvert forsøg på at ændre de låste filer eller bruge tredjeparts dekrypteringsværktøjer, hvilket understreger risikoen for permanent datatab. Derudover advares ofre om de potentielle økonomiske konsekvenser af at søge bistand fra tredjeparter, hvilket tyder på, at sådanne handlinger kan øge det samlede økonomiske tab, der pådrages under afviklingsprocessen. Dette detaljerede sæt instruktioner og advarsler understreger den beregnede karakter af kravet om løsesum. Det har til formål at guide ofrene gennem processen og samtidig afholde dem fra at foretage handlinger, der kan kompromittere potentialet for vellykket dekryptering.

Ofre for Ebaka Ransomware bliver præsenteret for følgende krav om løsesum:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'