Ebaka Ransomware
Sigurnosni istraživači identificirali su Ebaku kao ransomware prijetnju, osmišljenu s eksplicitnom svrhom šifriranja datoteka na kompromitiranim uređajima i naknadnog traženja otkupnine za njihovo dešifriranje. Nakon što se zlonamjerni softver Ebaka aktivira, on pokreće proces zaključavanja datoteka putem enkripcije, mijenjajući nazive datoteka u procesu. Izvorna imena proširena su jedinstvenim ID-om žrtve, adresom elektroničke pošte kibernetičkih kriminalaca i ekstenzijom '.ebaka'. Na primjer, datoteka koja je inicijalno nazvana '1.png' bit će podvrgnuta enkripciji i pojavit će se kao '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'
Nakon završetka procesa enkripcije, Ebaka generira bilješke o otkupnini koje se pohranjuju na radnu površinu i unutar svih direktorija koji sadrže zaključane podatke. Jedna od poruka o otkupnini predstavljena je u skočnom prozoru ('info.hta'), dok je druga u obliku tekstualne datoteke ('info.txt'). Naime, analiza istraživanja povezala je Ebaka Ransomware s dobro poznatom obitelji Phobos Ransomware .
Ransomware Ebaka mogao bi uzrokovati ogromnu štetu nakon uspješne infekcije
Prijeteći programi povezani s obitelji Phobos Ransomware, kao što je Ebaka Ransomware, pokazuju napredne mogućnosti šifriranja, šifrirajući i lokalne i mrežno dijeljene datoteke. Ovi programi imaju sofisticirani pristup prekidanjem procesa povezanih s otvorenim datotekama kako bi spriječili da se smatraju "u upotrebi" i kasnije izuzmu iz procesa šifriranja. Ova pažljiva strategija osigurava sveobuhvatniji učinak na ciljane podatke.
Važno je napomenuti da se operacije thEbaka Ransomwarea suzdržavaju od ugrožavanja kritičnih sistemskih datoteka, čime se smanjuje rizik od nestabilnosti sustava. Osim toga, namjerno se pokušava izbjeći dvostruka enkripcija, štedeći podatke koji su već pogođeni drugim varijantama ransomwarea. Ovaj se postupak pridržava unaprijed definiranog popisa, iako ne obuhvaća sve postojeće programe za šifriranje podataka.
U pokušaju sprječavanja oporavka, Ebaka Ransomware briše Shadow Volume Copies, eliminirajući jednu potencijalnu metodu vraćanja šifriranih datoteka. Zlonamjerni softver upotrebljava različite tehnike za osiguravanje postojanosti, uključujući samoreplikaciju na stazu %LOCALAPPDATA% i registraciju s određenim ključevima Run, osiguravajući automatsko pokretanje nakon ponovnog pokretanja sustava.
Štoviše, Ebaka napadi mogu pokazivati karakteristike geo-zaključavanja. Ovi programi prikupljaju geolokacijske podatke i mogu prekinuti infekciju na temelju čimbenika kao što su ekonomski uvjeti u određenim regijama (koje su potencijalno dom žrtvama koje ne mogu platiti otkupninu), geopolitička razmatranja ili drugi kriteriji.
Na temelju opsežnog iskustva u istraživanju infekcija ransomwareom, postaje očito da je dešifriranje bez izravnog uključivanja napadača rijetka pojava. Iznimke su ograničene na slučajeve koji uključuju programe tipa ransomwarea s ozbiljnim nedostacima, naglašavajući sveukupne izazove i složenost povezanu s vraćanjem podataka od takvih sofisticiranih cyber prijetnji.
Ransomware Ebaka iznuđuje žrtve za novac
Sadržaj Ebakine poruke o otkupnini, prikazan u tekstualnoj datoteci, izričito govori žrtvama da su njihove datoteke šifrirane. Poruka snažno potiče žrtve da stupe u kontakt s napadačima kako bi olakšali proces dešifriranja. Osim toga, poruka o otkupnini prikazana u skočnom prozoru pruža dodatne pojedinosti o infekciji, navodeći da je dešifriranje uvjetovano plaćanjem otkupnine u kriptovaluti Bitcoin. Naime, na iznos otkupnine navodno utječe koliko brzo žrtva uspostavlja komunikaciju s kibernetičkim kriminalcima.
Zanimljivo, prije nego što ispune zahtjeve za otkupninom, žrtve navodno imaju mogućnost testiranja procesa dešifriranja. Oni mogu poslati do pet šifriranih datoteka na testiranje, uz određena ograničenja. Čini se da ova neobična odredba daje uvid u proces dešifriranja, vjerojatno kao taktiku da se žrtvi usadi osjećaj povjerenja ili hitnosti.
Cyberkriminalci upozoravaju žrtve na svaki pokušaj izmjene zaključanih datoteka ili korištenja alata za dešifriranje trećih strana, naglašavajući rizik od trajnog gubitka podataka. Dodatno, žrtve su upozorene na potencijalne financijske posljedice traženja pomoći od trećih strana, sugerirajući da takve radnje mogu povećati ukupni financijski gubitak nastao tijekom postupka rješavanja. Ovaj detaljan skup uputa i upozorenja naglašava proračunatu prirodu zahtjeva za otkupninu. Cilj mu je voditi žrtve kroz proces dok ih odvraća od poduzimanja bilo kakvih radnji koje bi mogle ugroziti potencijal za uspješno dešifriranje.
Žrtvama Ebaka Ransomwarea prezentiraju se sljedeći zahtjevi za otkupninu:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files generated by Ebaka Ransomware contain the following message:
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'
