Ebaka Ransomware

Tietoturvatutkijat ovat tunnistaneet Ebakan kiristysohjelmauhkaksi, jonka tarkoituksena on nimenomaan salata vaarantuneissa laitteissa olevat tiedostot ja vaatia myöhemmin lunnaita niiden salauksen purkamisesta. Kun Ebaka-haittaohjelma on aktivoitu, se käynnistää tiedostojen lukitusprosessin salauksella ja muuttaa tiedostonimiä prosessin aikana. Alkuperäisiin nimiin on lisätty yksilöllinen uhritunnus, kyberrikollisten sähköpostiosoite ja .ebaka-tunniste. Esimerkiksi tiedosto, jonka alun perin nimi on '1.png', salataan ja se tulee muotoon '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Salausprosessin päätyttyä Ebaka luo lunnaita, jotka talletetaan työpöydälle ja kaikkiin lukittuja tietoja sisältäviin hakemistoihin. Yksi lunnaista esitetään ponnahdusikkunassa ('info.hta'), kun taas toinen on tekstitiedoston muodossa ('info.txt'). Erityisesti tutkimusanalyysi on yhdistänyt Ebaka Ransomwaren tunnettuun Phobos Ransomware -perheeseen.

Ebaka Ransomware voi aiheuttaa valtavia vahinkoja onnistuneen tartunnan jälkeen

Phobos Ransomware -perheeseen liittyvissä uhkaavissa ohjelmissa, kuten Ebaka Ransomwaressa, on edistyneet salausominaisuudet, jotka salaavat sekä paikallisia että verkon jaettuja tiedostoja. Nämä ohjelmat omaksuvat kehittyneen lähestymistavan lopettamalla avattuihin tiedostoihin liittyvät prosessit, jotta niitä ei pidetä "käytössä" ja vapautettaisiin myöhemmin salausprosessista. Tämä huolellinen strategia varmistaa kattavamman vaikutuksen kohdennettuun dataan.

On huomionarvoista, että Ebaka Ransomware -toiminnot pidättäytyvät vaarantamasta kriittisiä järjestelmätiedostoja, mikä minimoi järjestelmän epävakauden riskin. Lisäksi pyritään tietoisesti välttämään kaksinkertaista salausta, mikä säästää tietoja, joihin muut kiristysohjelmaversiot jo vaikuttavat. Tämä prosessi noudattaa ennalta määritettyä luetteloa, vaikka se ei kata kaikkia olemassa olevia tietojen salausohjelmia.

Yrittääkseen estää palautumisen Ebaka Ransomware poistaa Shadow Volume Copies -kopiot ja eliminoi yhden mahdollisen menetelmän salattujen tiedostojen palauttamiseksi. Haittaohjelma käyttää erilaisia pysyvyyden varmistavia tekniikoita, mukaan lukien itsensä replikointi %LOCALAPPDATA% polulle ja rekisteröinti tietyillä Run-avaimilla, mikä varmistaa automaattisen käynnistyksen järjestelmän uudelleenkäynnistyksen jälkeen.

Lisäksi Ebaka-hyökkäyksillä voi olla geolukitusominaisuuksia. Nämä ohjelmat keräävät maantieteellistä sijaintia koskevia tietoja ja voivat keskeyttää tartunnan perustuen tekijöihin, kuten taloudellisiin olosuhteisiin tietyillä alueilla (mahdollisesti asuinpaikka uhreille, jotka eivät pysty maksamaan lunnaita), geopoliittisiin näkökohtiin tai muihin kriteereihin.

Ransomware-infektioiden tutkimisesta saadun laajan kokemuksen perusteella on selvää, että salauksen purkaminen ilman hyökkääjien suoraa osallistumista on harvinainen tapaus. Poikkeukset rajoittuvat tapauksiin, joissa on vakavasti viallisia kiristysohjelmatyyppisiä ohjelmia, jotka korostavat yleisiä haasteita ja monimutkaisuutta, jotka liittyvät tietojen palauttamiseen tällaisista kehittyneistä kyberuhkista.

Ebaka Ransomware kiristää uhreja rahasta

Ebakan lunnaat, jotka esitetään tekstitiedostossa, kertovat uhreille nimenomaisesti, että heidän tiedostonsa on salattu. Viesti rohkaisee uhreja ottamaan yhteyttä hyökkääjiin salauksen purkuprosessin helpottamiseksi. Lisäksi ponnahdusikkunassa näkyvä lunnaita koskeva huomautus antaa lisätietoja tartunnasta ja täsmentää, että salauksen purkaminen edellyttää Bitcoinin kryptovaluutan lunnaiden maksamista. Erityisesti lunnaiden määrään väitetään vaikuttavan se, kuinka nopeasti uhri ottaa yhteyttä kyberrikollisiin.

Mielenkiintoista on, että uhreilla väitetään olevan mahdollisuus testata salauksen purkuprosessia ennen lunnaita koskevien vaatimusten täyttämistä. He voivat lähettää enintään viisi salattua tiedostoa testattavaksi tietyin rajoituksin. Tämä erikoinen säännös näyttää tarjoavan välähdyksen salauksen purkuprosessiin, mahdollisesti taktiikkana juurruttaa uhriin luottamusta tai kiirettä.

Kyberrikolliset varoittavat uhreja kaikista yrityksistä muokata lukittuja tiedostoja tai käyttää kolmannen osapuolen salauksenpurkutyökaluja korostaen pysyvän tietojen katoamisen riskiä. Lisäksi uhreja varoitetaan kolmansilta osapuolilta avun hakemisen mahdollisista taloudellisista seurauksista, mikä viittaa siihen, että tällaiset toimet voivat lisätä kriisinratkaisuprosessin aikana syntyvää kokonaistaloudellista menetystä. Nämä yksityiskohtaiset ohjeet ja varoitukset korostavat lunnaiden kysynnän laskennallista luonnetta. Sen tarkoituksena on ohjata uhreja prosessin läpi ja saada heidät luopumaan kaikista toimista, jotka voivat vaarantaa onnistuneen salauksen purkamisen.

Ebaka Ransomwaren uhreille esitetään seuraavat lunnaat:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'