Ebaka Ransomware

Drošības pētnieki ir identificējuši Ebaka kā izspiedējvīrusu draudus, kas izstrādāti ar skaidru mērķi šifrēt failus apdraudētajās ierīcēs un pēc tam pieprasīt izpirkuma maksu par to atšifrēšanu. Kad Ebaka ļaunprātīgā programmatūra ir aktivizēta, tā sāk failu bloķēšanas procesu, izmantojot šifrēšanu, mainot failu nosaukumus. Sākotnējie vārdi ir papildināti ar unikālu upura ID, kibernoziedznieku e-pasta adresi un paplašinājumu “.ebaka”. Piemēram, fails ar sākotnējo nosaukumu “1.png” tiks šifrēts un tiks parādīts kā “1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka”.

Pēc šifrēšanas procesa pabeigšanas Ebaka ģenerē izpirkuma piezīmes, kas tiek noguldītas uz darbvirsmas un visos direktorijos, kuros ir bloķēti dati. Viena no izpirkuma piezīmēm tiek parādīta uznirstošajā logā (“info.hta”), bet cita ir teksta faila formā (“info.txt”). Proti, pētījumu analīze ir saistījusi Ebaka Ransomware ar labi zināmo Phobos Ransomware saimi.

Ebaka Ransomware pēc veiksmīgas inficēšanās var radīt milzīgus bojājumus

Ar Phobos Ransomware saimi saistītās apdraudošās programmas, piemēram, Ebaka Ransomware, piedāvā uzlabotas šifrēšanas iespējas, šifrējot gan lokālos, gan tīklā koplietotos failus. Šīs programmas izmanto sarežģītu pieeju, pārtraucot procesus, kas saistīti ar atvērtajiem failiem, lai novērstu to, ka tie tiek uzskatīti par "lietotiem" un pēc tam atbrīvoti no šifrēšanas procesa. Šī rūpīgā stratēģija nodrošina vispusīgāku ietekmi uz mērķa datiem.

Jāatzīmē, ka Ebaka Ransomware operācijas atturas no kritisko sistēmas failu kompromitēšanas, samazinot sistēmas nestabilitātes risku. Turklāt tiek pieliktas apzinātas pūles, lai izvairītos no dubultas šifrēšanas, saudzējot datus, kurus jau ietekmē citi izspiedējvīrusa varianti. Šis process atbilst iepriekš noteiktam sarakstam, lai gan tas neaptver visas esošās datu šifrēšanas programmas.

Mēģinot kavēt atkopšanu, Ebaka Ransomware dzēš Shadow Volume Copies, novēršot vienu iespējamo šifrēto failu atjaunošanas metodi. Ļaunprātīgā programmatūra izmanto dažādas noturības nodrošināšanas metodes, tostarp pašreplikāciju %LOCALAPPDATA% ceļā un reģistrāciju ar īpašām palaišanas atslēgām, nodrošinot automātisku iniciāciju pēc sistēmas atsāknēšanas.

Turklāt Ebaka uzbrukumiem var būt ģeogrāfiskās bloķēšanas īpašības. Šīs programmas apkopo ģeogrāfiskās atrašanās vietas datus un var pārtraukt inficēšanos, pamatojoties uz tādiem faktoriem kā ekonomiskie apstākļi noteiktos reģionos (potenciāli upuru mājvieta, kas nevar samaksāt izpirkuma maksu), ģeopolitiski apsvērumi vai citi kritēriji.

Pamatojoties uz plašo pieredzi ransomware infekciju izpētē, kļūst skaidrs, ka atšifrēšana bez tiešas uzbrucēju iesaistīšanās ir reta parādība. Izņēmumi attiecas tikai uz gadījumiem, kas saistīti ar nopietniem kļūdainiem izpirkuma programmatūras tipa programmām, uzsverot vispārējās problēmas un sarežģītību, kas saistīta ar datu atkopšanu no šādiem sarežģītiem kiberdraudiem.

Ebaka Ransomware izspiež upurus par naudu

Ebakas izpirkuma vēstules saturs, kas uzrādīts teksta failā, upuriem skaidri paziņo, ka viņu faili ir šifrēti. Ziņojums stingri mudina upurus sazināties ar uzbrucējiem, lai atvieglotu atšifrēšanas procesu. Turklāt uznirstošajā logā redzamajā izpirkuma maksājumā ir sniegta sīkāka informācija par infekciju, norādot, ka atšifrēšana ir atkarīga no izpirkuma maksas samaksas Bitcoin kriptovalūtā. Proti, izpirkuma maksu it kā ietekmē tas, cik ātri upuris nodibina saziņu ar kibernoziedzniekiem.

Interesanti, ka pirms izpirkuma prasību izpildes upuriem it kā tiek nodrošināta iespēja pārbaudīt atšifrēšanas procesu. Viņi var iesniegt testēšanai līdz pieciem šifrētiem failiem, ievērojot noteiktus ierobežojumus. Šķiet, ka šis savdabīgais noteikums sniedz ieskatu atšifrēšanas procesā, iespējams, kā taktika, lai iedvestu upura uzticības vai steidzamības sajūtu.

Kibernoziedznieki brīdina upurus no jebkādiem mēģinājumiem modificēt bloķētos failus vai izmantot trešo pušu atšifrēšanas rīkus, uzsverot neatgriezeniskas datu zaudēšanas risku. Turklāt cietušie tiek brīdināti par iespējamām finansiālajām sekām, kas var rasties, meklējot palīdzību no trešajām personām, kas liecina, ka šādas darbības var palielināt kopējos finansiālos zaudējumus, kas radušies noregulējuma procesa laikā. Šis detalizētais instrukciju un brīdinājumu kopums uzsver izpirkuma pieprasījuma aprēķināto raksturu. Tās mērķis ir palīdzēt upuriem šajā procesā, vienlaikus atturot viņus no jebkādām darbībām, kas varētu apdraudēt veiksmīgas atšifrēšanas iespējas.

Ebaka Ransomware upuriem tiek izvirzītas šādas izpirkuma prasības:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'