Ebaka 랜섬웨어
보안 연구원들은 Ebaka를 손상된 장치의 파일을 암호화한 후 해독에 대한 대가를 요구하는 명시적인 목적으로 설계된 랜섬웨어 위협으로 식별했습니다. Ebaka 악성 코드가 활성화되면 암호화를 통해 파일 잠금 프로세스를 시작하고 프로세스에서 파일 이름을 변경합니다. 원래 이름은 고유한 피해자 ID, 사이버 범죄자의 이메일 주소 및 '.ebaka' 확장자로 확장됩니다. 예를 들어, 처음에 '1.png'라는 이름의 파일은 암호화되어 '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka'로 나타납니다.
암호화 프로세스가 완료된 후 Ebaka는 데스크톱과 잠긴 데이터가 포함된 모든 디렉터리에 몸값 메모를 생성합니다. 랜섬노트 중 하나는 팝업 창('info.hta')으로 표시되고, 다른 하나는 텍스트 파일('info.txt') 형식을 취합니다. 특히, 연구 분석에 따르면 Ebaka 랜섬웨어는 잘 알려진 Phobos 랜섬웨어 제품군과 연결되어 있습니다.
Ebaka 랜섬웨어는 감염 성공 시 막대한 피해를 입힐 수 있습니다.
Ebaka 랜섬웨어와 같은 Phobos 랜섬웨어 계열과 관련된 위협적인 프로그램은 로컬 및 네트워크 공유 파일을 모두 암호화하는 고급 암호화 기능을 나타냅니다. 이러한 프로그램은 열린 파일과 관련된 프로세스를 종료하여 해당 파일이 "사용 중"으로 간주되어 암호화 프로세스에서 면제되는 것을 방지하는 정교한 접근 방식을 취합니다. 이 세심한 전략은 대상 데이터에 대한 보다 포괄적인 영향을 보장합니다.
thEbaka 랜섬웨어 작업은 중요한 시스템 파일의 손상을 억제하여 시스템 불안정의 위험을 최소화한다는 점은 주목할 만합니다. 또한 이중 암호화를 방지하여 이미 다른 랜섬웨어 변종의 영향을 받은 데이터를 보호하기 위해 의도적인 노력을 기울였습니다. 이 프로세스는 기존의 모든 데이터 암호화 프로그램을 포함하지는 않지만 미리 정의된 목록을 따릅니다.
Ebaka 랜섬웨어는 복구를 방해하기 위해 쉐도우 볼륨 복사본을 삭제하여 암호화된 파일을 복원할 수 있는 잠재적인 방법 중 하나를 제거합니다. 이 악성코드는 %LOCALAPPDATA% 경로에 대한 자체 복제, 특정 Run 키를 사용한 등록 등 다양한 지속성 보장 기술을 사용하여 시스템 재부팅 후 자동 시작을 보장합니다.
또한 Ebaka 공격은 지리적 잠금 특성을 나타낼 수 있습니다. 이러한 프로그램은 지리적 위치 데이터를 수집하고 특정 지역(몸값을 지불할 수 없는 피해자의 본거지일 수 있음)의 경제 상황, 지정학적 고려 사항 또는 기타 기준과 같은 요인에 따라 감염을 중단할 수 있습니다.
랜섬웨어 감염 연구에 대한 광범위한 경험을 바탕으로 볼 때, 공격자가 직접 개입하지 않고 암호를 해독하는 경우는 드물다는 것이 분명해졌습니다. 심각한 결함이 있는 랜섬웨어 유형 프로그램과 관련된 경우로 예외가 제한되며, 이러한 정교한 사이버 위협으로부터 데이터를 복구하는 것과 관련된 전반적인 문제와 복잡성을 강조합니다.
돈을 위해 피해자를 갈취하는 Ebaka 랜섬웨어
텍스트 파일로 제공되는 Ebaka의 몸값 메모 내용은 피해자에게 파일이 암호화되었음을 명시적으로 전달합니다. 이 메시지는 피해자가 암호 해독 프로세스를 용이하게 하기 위해 공격자와 접촉을 시작하도록 강력히 권장합니다. 또한 팝업 창에 표시되는 몸값 메모는 비트코인 암호화폐로 몸값을 지불해야 암호 해독이 가능함을 지정하여 감염에 대한 추가 세부 정보를 제공합니다. 특히, 몸값 금액은 피해자가 사이버 범죄자와 얼마나 신속하게 통신하는지에 따라 영향을 받는 것으로 알려져 있습니다.
흥미롭게도, 몸값 요구를 준수하기 전에 피해자에게는 암호 해독 프로세스를 테스트할 수 있는 옵션이 제공되는 것으로 알려졌습니다. 특정 제한 사항에 따라 테스트를 위해 최대 5개의 암호화된 파일을 제출할 수 있습니다. 이 독특한 조항은 피해자에게 신뢰감이나 긴박감을 심어주기 위한 전술로 해독 과정을 엿볼 수 있는 것으로 보입니다.
사이버 범죄자는 잠긴 파일을 수정하거나 제3자 암호 해독 도구를 사용하려는 시도에 대해 피해자에게 경고하며 영구적인 데이터 손실의 위험을 강조합니다. 또한 피해자는 제3자에게 도움을 구할 경우 잠재적인 금전적 결과가 발생할 수 있다는 경고를 받게 되며, 이는 그러한 조치가 해결 과정에서 발생하는 전반적인 금전적 손실을 증가시킬 수 있음을 시사합니다. 이 상세한 지침과 경고는 몸값 요구의 계산된 성격을 강조합니다. 이는 피해자에게 프로세스를 안내하는 동시에 성공적인 암호 해독 가능성을 손상시킬 수 있는 조치를 취하지 못하도록 하는 것을 목표로 합니다.
Ebaka 랜섬웨어 피해자에게는 다음과 같은 몸값 요구가 제시됩니다:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files generated by Ebaka Ransomware contain the following message:
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'
