Ebaka Ransomware

Biztonsági kutatók az Ebakát zsarolóvírus-fenyegetésként azonosították, amelynek kifejezetten az volt a célja, hogy titkosítsa a feltört eszközökön lévő fájlokat, és ezt követően váltságdíjat követeljen azok visszafejtéséért. Az Ebaka kártevő aktiválása után titkosítással fájlzárolási folyamatot indít el, és közben megváltoztatja a fájlneveket. Az eredeti nevek egy egyedi áldozat-azonosítóval, a kiberbűnözők e-mail címével és egy „.ebaka” kiterjesztéssel egészülnek ki. Például egy eredetileg „1.png” nevű fájl titkosításon megy keresztül, és „1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka” néven jelenik meg.

A titkosítási folyamat befejezése után az Ebaka váltságdíj-jegyzeteket generál, amelyeket az asztalon és az összes zárolt adatokat tartalmazó könyvtárban helyez el. Az egyik váltságdíjat egy felugró ablakban ('info.hta'), míg egy másik szöveges fájl ('info.txt') formájában jelenítik meg. Nevezetesen, a kutatási elemzések összekapcsolták az Ebaka Ransomware-t a jól ismert Phobos Ransomware családdal.

Az Ebaka Ransomware óriási károkat okozhat a sikeres fertőzés után

A Phobos Ransomware családhoz kapcsolódó fenyegető programok, mint például az Ebaka Ransomware, fejlett titkosítási képességekkel rendelkeznek, mind a helyi, mind a hálózaton megosztott fájlokat titkosítva. Ezek a programok kifinomult megközelítést alkalmaznak azáltal, hogy leállítják a megnyitott fájlokhoz kapcsolódó folyamatokat, hogy megakadályozzák, hogy azokat "használatban lévőnek" tekintsék, és ezt követően mentesüljenek a titkosítási folyamat alól. Ez az aprólékos stratégia átfogóbb hatást biztosít a célzott adatokra.

Figyelemre méltó, hogy az Ebaka Ransomware műveletei tartózkodnak a kritikus rendszerfájlok veszélyeztetésétől, így minimálisra csökkentik a rendszer instabilitásának kockázatát. Ezenkívül szándékos erőfeszítéseket tesznek a kettős titkosítás elkerülésére, megkímélve a más ransomware-változatok által már érintett adatokat. Ez a folyamat egy előre meghatározott listához kapcsolódik, bár nem terjed ki minden létező adattitkosító programra.

A helyreállítás megakadályozása érdekében az Ebaka Ransomware törli a Shadow Volume Copies-t, kiküszöbölve a titkosított fájlok visszaállításának egyik lehetséges módszerét. A rosszindulatú program különféle tartósságot biztosító technikákat alkalmaz, beleértve a %LOCALAPPDATA% elérési útra való önreplikációt és a regisztrációt meghatározott Futtatási kulcsokkal, biztosítva az automatikus iniciációt a rendszer újraindítását követően.

Ezenkívül az Ebaka-támadások földrajzi zárolási jellemzőket mutathatnak. Ezek a programok geolokációs adatokat gyűjtenek, és leállíthatják a fertőzést olyan tényezők alapján, mint például a bizonyos régiók gazdasági feltételei (potenciálisan váltságdíjat fizetni nem tudó áldozatok otthona), geopolitikai megfontolások vagy egyéb kritériumok.

A zsarolóprogram-fertőzések kutatásában szerzett kiterjedt tapasztalat alapján nyilvánvalóvá válik, hogy a támadók közvetlen bevonása nélkül történő visszafejtés ritka. A kivételek a súlyosan hibás ransomware típusú programokat érintő esetekre korlátozódnak, hangsúlyozva az ilyen kifinomult kiberfenyegetésekből származó adatok helyreállításával kapcsolatos általános kihívásokat és összetettséget.

Az Ebaka Ransomware pénzért zsarolja ki az áldozatokat

Ebaka váltságdíj-levelének szöveges fájlban bemutatott tartalma kifejezetten közli az áldozatokkal, hogy fájljaikat titkosították. Az üzenet határozottan arra ösztönzi az áldozatokat, hogy lépjenek kapcsolatba a támadókkal a visszafejtési folyamat megkönnyítése érdekében. Ezenkívül a felugró ablakban megjelenő váltságdíj megjegyzés további részleteket tartalmaz a fertőzésről, meghatározva, hogy a visszafejtés a Bitcoin kriptovalutában történő váltságdíj kifizetésétől függ. Nevezetesen, a váltságdíj összegét állítólag az befolyásolja, hogy az áldozat milyen gyorsan létesít kapcsolatot a kiberbûnözõkkel.

Érdekes módon a váltságdíj követeléseinek teljesítése előtt az áldozatok állítólag lehetőséget kapnak a visszafejtési folyamat tesztelésére. Legfeljebb öt titkosított fájlt küldhetnek be tesztelésre, bizonyos korlátozások mellett. Úgy tűnik, hogy ez a sajátos rendelkezés bepillantást enged a visszafejtési folyamatba, feltehetőleg a bizalom vagy a sürgősség érzését keltő taktikaként az áldozatban.

A kiberbűnözők figyelmeztetik az áldozatokat a zárolt fájlok módosítására vagy harmadik féltől származó visszafejtő eszközök használatára, hangsúlyozva a végleges adatvesztés kockázatát. Ezen túlmenően az áldozatokat figyelmeztetik a harmadik felektől való segítségkérés lehetséges pénzügyi következményeire, ami arra utal, hogy az ilyen intézkedések növelhetik a szanálási folyamat során felmerülő általános pénzügyi veszteséget. Az utasítások és figyelmeztetések ezen részletes készlete aláhúzza a váltságdíjkövetelés kiszámított természetét. Célja, hogy végigvezesse az áldozatokat a folyamaton, miközben eltántorítja őket minden olyan tevékenységtől, amely veszélyeztetheti a sikeres visszafejtés lehetőségét.

Az Ebaka Ransomware áldozatait a következő váltságdíjat követelik:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'