Multi-License Discount Quote
Βάση δεδομένων απειλών Ransomware Ebaka Ransomware

Ebaka Ransomware

Μέχρι το Mezo το Ransomware
Μετάφραση σε:
Ελληνικά

Οι ερευνητές ασφαλείας έχουν αναγνωρίσει το Ebaka ως απειλή ransomware, που έχει σχεδιαστεί με ρητό σκοπό την κρυπτογράφηση αρχείων σε παραβιασμένες συσκευές και στη συνέχεια την απαίτηση πληρωμών λύτρων για την αποκρυπτογράφηση τους. Μόλις ενεργοποιηθεί το κακόβουλο λογισμικό Ebaka, ξεκινά μια διαδικασία κλειδώματος αρχείων μέσω κρυπτογράφησης, αλλάζοντας τα ονόματα αρχείων στη διαδικασία. Τα αρχικά ονόματα επεκτείνονται με ένα μοναδικό αναγνωριστικό θύματος, τη διεύθυνση ηλεκτρονικού ταχυδρομείου των εγκληματιών του κυβερνοχώρου και μια επέκταση «.ebaka». Για παράδειγμα, ένα αρχείο με το αρχικό όνομα '1.png' θα υποβληθεί σε κρυπτογράφηση και θα εμφανιστεί ως '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, το Ebaka δημιουργεί σημειώσεις λύτρων που κατατίθενται στην επιφάνεια εργασίας και σε όλους τους καταλόγους που περιέχουν κλειδωμένα δεδομένα. Μία από τις σημειώσεις λύτρων παρουσιάζεται σε ένα αναδυόμενο παράθυρο ('info.hta'), ενώ μια άλλη έχει τη μορφή αρχείου κειμένου ('info.txt'). Συγκεκριμένα, η ερευνητική ανάλυση έχει συνδέσει το Ebaka Ransomware με τη γνωστή οικογένεια Phobos Ransomware .

Το Ebaka Ransomware θα μπορούσε να προκαλέσει τεράστια ζημιά σε επιτυχή μόλυνση

Απειλητικά προγράμματα που συνδέονται με την οικογένεια Phobos Ransomware, όπως το Ebaka Ransomware, παρουσιάζουν προηγμένες δυνατότητες κρυπτογράφησης, κρυπτογραφώντας τόσο τοπικά όσο και αρχεία κοινής χρήσης δικτύου. Αυτά τα προγράμματα ακολουθούν μια περίπλοκη προσέγγιση τερματίζοντας διεργασίες που σχετίζονται με ανοιχτά αρχεία για να αποτραπούν από το να θεωρηθούν "σε χρήση" και στη συνέχεια να εξαιρεθούν από τη διαδικασία κρυπτογράφησης. Αυτή η σχολαστική στρατηγική εξασφαλίζει πιο ολοκληρωμένο αντίκτυπο στα στοχευμένα δεδομένα.

Αξίζει να σημειωθεί ότι οι λειτουργίες του Ebaka Ransomware αποφεύγουν να διακυβεύουν κρίσιμα αρχεία συστήματος, ελαχιστοποιώντας τον κίνδυνο αστάθειας του συστήματος. Επιπλέον, καταβάλλεται σκόπιμη προσπάθεια να αποφευχθεί η διπλή κρυπτογράφηση, εξοικονομώντας δεδομένα που έχουν ήδη επηρεαστεί από άλλες παραλλαγές ransomware. Αυτή η διαδικασία ακολουθεί μια προκαθορισμένη λίστα, αν και δεν περιλαμβάνει όλα τα υπάρχοντα προγράμματα κρυπτογράφησης δεδομένων.

Σε μια προσπάθεια να εμποδίσει την ανάκτηση, το Ebaka Ransomware διαγράφει τα Shadow Volume Copies, εξαλείφοντας μια πιθανή μέθοδο επαναφοράς κρυπτογραφημένων αρχείων. Το κακόβουλο λογισμικό χρησιμοποιεί διάφορες τεχνικές διασφάλισης επιμονής, συμπεριλαμβανομένης της αυτο-ανατύπωσης στη διαδρομή %LOCALAPPDATA% και της εγγραφής με συγκεκριμένα κλειδιά Run, διασφαλίζοντας την αυτόματη εκκίνηση μετά τις επανεκκινήσεις του συστήματος.

Επιπλέον, οι επιθέσεις Ebaka μπορεί να παρουσιάζουν χαρακτηριστικά γεωκλειδώματος. Αυτά τα προγράμματα συγκεντρώνουν δεδομένα γεωγραφικής τοποθεσίας και ενδέχεται να διακόψουν τη μόλυνση βάσει παραγόντων όπως οι οικονομικές συνθήκες σε ορισμένες περιοχές (ενδεχομένως φιλοξενούν θύματα που δεν μπορούν να πληρώσουν λύτρα), γεωπολιτικές εκτιμήσεις ή άλλα κριτήρια.

Αντλώντας από την εκτεταμένη εμπειρία στην έρευνα λοιμώξεων ransomware, γίνεται προφανές ότι η αποκρυπτογράφηση χωρίς την άμεση εμπλοκή επιτιθέμενων είναι ένα σπάνιο φαινόμενο. Οι εξαιρέσεις περιορίζονται σε περιπτώσεις που αφορούν προγράμματα τύπου ransomware με σοβαρά ελαττώματα, δίνοντας έμφαση στις συνολικές προκλήσεις και την πολυπλοκότητα που σχετίζονται με την ανάκτηση δεδομένων από τέτοιες περίπλοκες απειλές στον κυβερνοχώρο.

Το Ebaka Ransomware εκβιάζει θύματα για χρήματα

Το περιεχόμενο του σημειώματος για τα λύτρα του Ebaka, που παρουσιάζεται σε αρχείο κειμένου, γνωστοποιεί ρητά στα θύματα ότι τα αρχεία τους έχουν κρυπτογραφηθεί. Το μήνυμα ενθαρρύνει έντονα τα θύματα να ξεκινήσουν επαφή με τους εισβολείς για να διευκολύνουν τη διαδικασία αποκρυπτογράφησης. Επιπλέον, το σημείωμα λύτρων που εμφανίζεται σε ένα αναδυόμενο παράθυρο παρέχει περισσότερες λεπτομέρειες σχετικά με τη μόλυνση, διευκρινίζοντας ότι η αποκρυπτογράφηση εξαρτάται από την πληρωμή λύτρων σε κρυπτονόμισμα Bitcoin. Συγκεκριμένα, το ποσό των λύτρων υποτίθεται ότι επηρεάζεται από το πόσο γρήγορα το θύμα δημιουργεί επικοινωνία με τους εγκληματίες του κυβερνοχώρου.

Είναι ενδιαφέρον ότι, προτού συμμορφωθούν με τις απαιτήσεις για λύτρα, τα θύματα φέρεται να έχουν τη δυνατότητα να δοκιμάσουν τη διαδικασία αποκρυπτογράφησης. Μπορούν να υποβάλουν έως και πέντε κρυπτογραφημένα αρχεία για δοκιμή, με την επιφύλαξη ορισμένων περιορισμών. Αυτή η περίεργη διάταξη φαίνεται να προσφέρει μια ματιά στη διαδικασία αποκρυπτογράφησης, πιθανώς ως τακτική για να ενσταλάξει στο θύμα μια αίσθηση εμπιστοσύνης ή επείγουσας ανάγκης.

Οι κυβερνοεγκληματίες προειδοποιούν τα θύματα για οποιαδήποτε προσπάθεια τροποποίησης των κλειδωμένων αρχείων ή χρήσης εργαλείων αποκρυπτογράφησης τρίτων, τονίζοντας τον κίνδυνο μόνιμης απώλειας δεδομένων. Επιπλέον, τα θύματα ειδοποιούνται για τις πιθανές οικονομικές συνέπειες της αναζήτησης βοήθειας από τρίτους, υποδηλώνοντας ότι τέτοιες ενέργειες μπορεί να αυξήσουν τη συνολική οικονομική ζημία που προκλήθηκε κατά τη διαδικασία επίλυσης. Αυτό το λεπτομερές σύνολο οδηγιών και προειδοποιήσεων υπογραμμίζει την υπολογιζόμενη φύση της ζήτησης λύτρων. Στόχος του είναι να καθοδηγήσει τα θύματα στη διαδικασία, αποτρέποντάς τα από τη λήψη οποιωνδήποτε ενεργειών που θα μπορούσαν να θέσουν σε κίνδυνο τη δυνατότητα επιτυχούς αποκρυπτογράφησης.

Στα θύματα του Ebaka Ransomware παρουσιάζονται οι ακόλουθες απαιτήσεις για λύτρα:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
30,969
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...