Ebaka Ransomware

Os pesquisadores de segurança identificaram o Ebaka como uma ameaça de ransomware, projetada com o propósito explícito de criptografar arquivos em dispositivos comprometidos e, posteriormente, exigir pagamentos de resgate pela sua descriptografia. Depois que o malware Ebaka é ativado, ele inicia um processo de bloqueio de arquivos por meio de criptografia, alterando os nomes dos arquivos no processo. Os nomes originais são ampliados com um ID de vítima exclusivo, o endereço de e-mail dos cibercriminosos e uma extensão ‘.ebaka’. Por exemplo, um arquivo inicialmente denominado '1.png' será criptografado e surgirá como '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Após a conclusão do processo de criptografia, o Ebaka gera notas de resgate que são depositadas na área de trabalho e em todos os diretórios que contêm dados bloqueados. Uma das notas de resgate é apresentada numa janela pop-up ('info.hta'), enquanto outra assume a forma de um ficheiro de texto ('info.txt'). Notavelmente, a análise da pesquisa relacionou o Ebaka Ransomware à conhecida família Phobos Ransomware.

O Ebaka Ransomware pode Causar Danos Tremendos após uma Infecçao Bem-Sucedida

Programas ameaçadores afiliados à família Phobos Ransomware, como o Ebaka Ransomware, exibem recursos avançados de criptografia, criptografando arquivos locais e compartilhados em rede. Esses programas adotam uma abordagem sofisticada, encerrando processos associados a arquivos abertos para evitar que sejam considerados "em uso" e posteriormente isentos do processo de criptografia. Esta estratégia meticulosa garante um impacto mais abrangente nos dados direcionados.

Vale ressaltar que as operações do Ebaka Ransomware evitam comprometer arquivos críticos do sistema, minimizando o risco de instabilidade do sistema. Além disso, é feito um esforço deliberado para evitar a criptografia dupla, poupando os dados já afetados por outras variantes de ransomware. Este processo segue uma lista predefinida, embora não abranja todos os programas de criptografia de dados existentes.

Na tentativa de impedir a recuperação, o Ebaka Ransomware exclui Shadow Volume Copies, eliminando um método potencial de restauração de arquivos criptografados. O malware emprega várias técnicas de garantia de persistência, incluindo auto-replicação para o caminho %LOCALAPPDATA% e registro com chaves Run específicas, garantindo iniciação automática após reinicializações do sistema.

Além disso, os ataques Ebaka podem apresentar características de bloqueio geográfico. Estes programas recolhem dados de geolocalização e podem interromper a infecção com base em factores como as condições económicas em determinadas regiões (potencialmente lar de vítimas incapazes de pagar resgates), considerações geopolíticas ou outros critérios.

Com base na vasta experiência na pesquisa de infecções por ransomware, torna-se evidente que a desencriptação sem o envolvimento direto de invasores é uma ocorrência rara. As exceções são limitadas a casos que envolvem programas do tipo ransomware com falhas graves, enfatizando os desafios gerais e a complexidade associados à recuperação de dados dessas ameaças cibernéticas sofisticadas.

O Ebaka Ransomware Extorque Dinheiro das Vítimas

O conteúdo da nota de resgate de Ebaka, apresentada num ficheiro de texto, comunica explicitamente às vítimas que os seus ficheiros foram encriptados. A mensagem incentiva fortemente as vítimas a iniciarem contato com os invasores para facilitar o processo de descriptografia. Além disso, a nota de resgate exibida em uma janela pop-up fornece mais detalhes sobre a infecção, especificando que a descriptografia depende do pagamento de um resgate na criptomoeda Bitcoin. Notavelmente, o valor do resgate é supostamente influenciado pela rapidez com que a vítima estabelece comunicação com os cibercriminosos.

Curiosamente, antes de cumprir os pedidos de resgate, as vítimas têm alegadamente a opção de testar o processo de desencriptação. Eles podem enviar até cinco arquivos criptografados para teste, sujeitos a certas limitações. Esta disposição peculiar parece oferecer um vislumbre do processo de desencriptação, possivelmente como uma tática para incutir um sentimento de confiança ou urgência na vítima.

Os cibercriminosos alertam as vítimas contra qualquer tentativa de modificar os arquivos bloqueados ou usar ferramentas de descriptografia de terceiros, enfatizando o risco de perda permanente de dados. Além disso, as vítimas são alertadas para as potenciais consequências financeiras da procura de assistência de terceiros, sugerindo que tais ações podem aumentar a perda financeira global incorrida durante o processo de resolução. Este conjunto detalhado de instruções e avisos sublinha a natureza calculada do pedido de resgate. O objetivo é orientar as vítimas durante o processo, ao mesmo tempo que as dissuade de tomar quaisquer ações que possam comprometer o potencial de uma descriptografia bem-sucedida.

As vítimas do Ebaka Ransomware recebem os seguintes pedidos de resgate:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'