Ebaka Ransomware
Saugumo tyrinėtojai nustatė, kad Ebaka yra išpirkos reikalaujanti programinė įranga, sukurta siekiant aiškaus tikslo užšifruoti pažeistuose įrenginiuose esančius failus ir vėliau reikalauti išpirkos už jų iššifravimą. Kai Ebaka kenkėjiška programa suaktyvinama, ji inicijuoja failų užrakinimo procesą šifruodama, pakeisdama failų pavadinimus. Pradiniai vardai papildyti unikaliu aukos ID, kibernetinių nusikaltėlių el. pašto adresais ir plėtiniu „.ebaka“. Pavyzdžiui, failas, iš pradžių pavadintas „1.png“, bus šifruojamas ir pasirodys kaip „1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka“.
Užbaigus šifravimo procesą, Ebaka sukuria išpirkos raštelius, kurie deponuojami darbalaukyje ir visuose kataloguose, kuriuose yra užrakinti duomenys. Viena iš išpirkos kupiūrų pateikiama iššokančiame lange („info.hta“), o kita – tekstinio failo („info.txt“) forma. Pažymėtina, kad tyrimų analizė susiejo „Ebaka Ransomware“ su gerai žinoma „Phobos Ransomware“ šeima.
„Ebaka Ransomware“ gali padaryti didžiulę žalą sėkmingai užsikrėtus
Grėsmingos programos, susijusios su „Phobos Ransomware“ šeima, pvz., „Ebaka Ransomware“, turi pažangias šifravimo galimybes, užšifruojančias tiek vietinius, tiek tinklo bendrinamus failus. Šios programos laikosi sudėtingo požiūrio, nutraukdamos procesus, susijusius su atidarytais failais, kad jie nebūtų laikomi „naudojamais“ ir vėliau joms netaikomas šifravimo procesas. Ši kruopšti strategija užtikrina išsamesnį poveikį tiksliniams duomenims.
Pastebėtina, kad „Ebaka Ransomware“ operacijos nekelia pavojaus svarbiems sistemos failams, sumažindamos sistemos nestabilumo riziką. Be to, sąmoningai stengiamasi išvengti dvigubo šifravimo, taupant duomenis, kuriuos jau paveikė kiti išpirkos reikalaujančių programų variantai. Šis procesas atitinka iš anksto nustatytą sąrašą, nors jis neapima visų esamų duomenų šifravimo programų.
Siekdama užkirsti kelią atkūrimui, „Ebaka Ransomware“ ištrina „Shadow Volume Copies“, pašalindama vieną galimą užšifruotų failų atkūrimo būdą. Kenkėjiška programinė įranga naudoja įvairius patvarumą užtikrinančius metodus, įskaitant savaiminį replikaciją %LOCALAPPDATA% keliu ir registraciją su konkrečiais Vykdymo raktais, užtikrinančiais automatinį inicijavimą po sistemos perkrovimo.
Be to, Ebaka atakos gali turėti geografinio blokavimo ypatybes. Šios programos renka geografinės padėties duomenis ir gali sustabdyti užkrėtimą, remdamosi tokiais veiksniais kaip ekonominės sąlygos tam tikruose regionuose (kurie gali gyventi aukos, negalinčios sumokėti išpirkos), geopolitiniai sumetimai ar kiti kriterijai.
Remiantis didele patirtimi tiriant išpirkos reikalaujančių programų infekcijas, tampa akivaizdu, kad iššifravimas be tiesioginio užpuolikų dalyvavimo yra retas atvejis. Išimtys apsiriboja atvejai, susiję su rimtų išpirkos reikalaujančių programų tipo programomis, pabrėžiančiomis bendrus iššūkius ir sudėtingumą, susijusį su duomenų atkūrimu nuo tokių sudėtingų kibernetinių grėsmių.
Ebaka Ransomware išvilioja aukas už pinigus
Ebakos išpirkos lakšto turinys, pateiktas tekstiniame faile, aiškiai praneša aukoms, kad jų failai buvo užšifruoti. Pranešime aukas primygtinai raginamos susisiekti su užpuolikais, kad būtų lengviau iššifruoti. Be to, iššokančiame lange rodomame išpirkos rašte pateikiama daugiau informacijos apie infekciją, nurodant, kad iššifravimas priklauso nuo išpirkos sumokėjimo Bitcoin kriptovaliuta. Pažymėtina, kad išpirkos sumai tariamai įtakos turi tai, kaip greitai auka užmezga ryšį su kibernetiniais nusikaltėliais.
Įdomu tai, kad prieš vykdant išpirkos reikalavimus aukoms tariamai suteikiama galimybė išbandyti iššifravimo procesą. Jie gali pateikti iki penkių užšifruotų failų testavimui, atsižvelgiant į tam tikrus apribojimus. Atrodo, kad ši ypatinga nuostata suteikia žvilgsnį į iššifravimo procesą, galbūt kaip taktiką, kuria siekiama įskiepyti aukai pasitikėjimo ar skubumo jausmą.
Kibernetiniai nusikaltėliai įspėja aukas nuo bet kokių bandymų keisti užrakintus failus ar naudoti trečiųjų šalių iššifravimo įrankius, pabrėždami nuolatinio duomenų praradimo riziką. Be to, aukos įspėjamos apie galimas finansines pasekmes, kylančias kreipimosi į trečiąsias šalis, o tai rodo, kad tokie veiksmai gali padidinti bendrus finansinius nuostolius, patirtus per pertvarkymo procesą. Šis išsamus instrukcijų ir įspėjimų rinkinys pabrėžia apskaičiuotą išpirkos reikalavimo pobūdį. Juo siekiama nukreipti aukas per procesą ir atgrasyti jas nuo bet kokių veiksmų, galinčių pakenkti sėkmingam iššifravimui.
Ebaka Ransomware aukoms pateikiami šie išpirkos reikalavimai:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files generated by Ebaka Ransomware contain the following message:
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'
