Ebaka Ransomware

Cercetătorii în domeniul securității au identificat Ebaka drept o amenințare de tip ransomware, concepută cu scopul explicit de a cripta fișierele de pe dispozitive compromise și de a solicita ulterior plăți de răscumpărare pentru decriptarea acestora. Odată ce malware-ul Ebaka este activat, acesta inițiază un proces de blocare a fișierelor prin criptare, modificând numele fișierelor în acest proces. Numele originale sunt extinse cu un ID unic de victimă, adresa de e-mail a infractorilor cibernetici și o extensie „.ebaka”. De exemplu, un fișier denumit inițial „1.png” va fi supus criptării și va apărea ca „1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka”.

După finalizarea procesului de criptare, Ebaka generează note de răscumpărare care sunt depuse pe desktop și în toate directoarele care conțin date blocate. Una dintre notele de răscumpărare este prezentată într-o fereastră pop-up („info.hta”), în timp ce alta ia forma unui fișier text („info.txt”). În special, analiza cercetării a legat Ebaka Ransomware de binecunoscuta familie Phobos Ransomware .

Ransomware-ul Ebaka ar putea provoca daune imense la infecția cu succes

Programele amenințătoare afiliate familiei Phobos Ransomware, cum ar fi Ebaka Ransomware, prezintă capabilități avansate de criptare, criptând atât fișierele locale, cât și fișierele partajate în rețea. Aceste programe adoptă o abordare sofisticată prin încheierea proceselor asociate fișierelor deschise pentru a preveni ca acestea să fie considerate „în uz” și ulterior scutite de procesul de criptare. Această strategie meticuloasă asigură un impact mai cuprinzător asupra datelor vizate.

Este de remarcat faptul că operațiunile Ebaka Ransomware se abțin de la compromiterea fișierelor de sistem critice, minimizând riscul de instabilitate a sistemului. În plus, se face un efort deliberat pentru a evita dubla criptare, scutind datele deja afectate de alte variante de ransomware. Acest proces aderă la o listă predefinită, deși nu cuprinde toate programele existente de criptare a datelor.

În încercarea de a împiedica recuperarea, Ebaka Ransomware șterge Copiile Shadow Volume, eliminând o metodă potențială de restaurare a fișierelor criptate. Malware-ul folosește diverse tehnici de asigurare a persistenței, inclusiv auto-replicarea către calea %LOCALAPPDATA% și înregistrarea cu anumite chei Run, asigurând inițierea automată după repornirea sistemului.

Mai mult, atacurile Ebaka pot prezenta caracteristici de geo-blocare. Aceste programe adună date de geolocalizare și pot întrerupe infecția pe baza unor factori precum condițiile economice din anumite regiuni (potențial căminul victimelor care nu pot plăti răscumpărări), considerente geopolitice sau alte criterii.

Având în vedere experiența vastă în cercetarea infecțiilor cu ransomware, devine evident că decriptarea fără implicarea directă a atacatorilor este o întâmplare rară. Excepțiile sunt limitate la cazurile care implică programe de tip ransomware grav defecte, subliniind provocările generale și complexitatea asociate cu recuperarea datelor de la astfel de amenințări cibernetice sofisticate.

Ebaka Ransomware stoarce victimele pentru bani

Conținutul notei de răscumpărare a lui Ebaka, prezentat într-un fișier text, comunică în mod explicit victimelor că fișierele lor au fost criptate. Mesajul încurajează cu tărie victimele să inițieze contactul cu atacatorii pentru a facilita procesul de decriptare. În plus, nota de răscumpărare afișată într-o fereastră pop-up oferă detalii suplimentare despre infecție, specificând că decriptarea este condiționată de plata unei răscumpări în criptomoneda Bitcoin. În special, valoarea răscumpărării este presupusă influențată de cât de prompt victima stabilește comunicarea cu infractorii cibernetici.

Interesant este că, înainte de a se conforma cererilor de răscumpărare, victimelor se presupune că li se oferă opțiunea de a testa procesul de decriptare. Ei pot trimite până la cinci fișiere criptate pentru testare, sub rezerva anumitor limitări. Această prevedere deosebită pare să ofere o privire asupra procesului de decriptare, posibil ca o tactică de a insufla un sentiment de încredere sau de urgență victimei.

Infractorii cibernetici avertizează victimele împotriva oricărei încercări de a modifica fișierele blocate sau de a folosi instrumente de decriptare de la terți, subliniind riscul pierderii permanente a datelor. În plus, victimele sunt avertizate cu privire la potențialele consecințe financiare ale căutării de asistență de la terți, sugerând că astfel de acțiuni pot crește pierderea financiară generală suferită în timpul procesului de soluționare. Acest set detaliat de instrucțiuni și avertismente subliniază natura calculată a cererii de răscumpărare. Acesta își propune să ghideze victimele prin proces, descurajându-le în același timp să întreprindă orice acțiuni care ar putea compromite potențialul de decriptare de succes.

Victimelor Ebaka Ransomware li se prezintă următoarele cereri de răscumpărare:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'