Ebaka Ransomware

Bezpečnostní výskumníci identifikovali Ebaka ako ransomvérovú hrozbu, ktorá bola navrhnutá s explicitným účelom šifrovania súborov na napadnutých zariadeniach a následne požadovania výkupného za ich dešifrovanie. Akonáhle je malvér Ebaka aktivovaný, iniciuje proces uzamykania súborov prostredníctvom šifrovania, pričom v procese mení názvy súborov. Pôvodné mená sú rozšírené o jedinečné ID obete, e-mailovú adresu kyberzločincov a príponu „.ebaka“. Napríklad súbor pôvodne s názvom '1.png' bude zašifrovaný a objaví sa ako '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Po dokončení procesu šifrovania Ebaka generuje výkupné, ktoré sa ukladá na pracovnú plochu a do všetkých adresárov obsahujúcich uzamknuté údaje. Jedna z poznámok o výkupnom sa zobrazí vo vyskakovacom okne („info.hta“), zatiaľ čo ďalšia má formu textového súboru („info.txt“). Najmä výskumná analýza spojila Ebaka Ransomware so známou rodinou Phobos Ransomware .

Ebaka Ransomware by mohol spôsobiť obrovské škody pri úspešnej infekcii

Hrozivé programy pridružené k rodine Phobos Ransomware, ako napríklad Ebaka Ransomware, vykazujú pokročilé možnosti šifrovania, ktoré šifrujú lokálne aj sieťové súbory. Tieto programy využívajú sofistikovaný prístup k ukončeniu procesov spojených s otvorenými súbormi, aby sa zabránilo tomu, že budú považované za „používané“ a následne vyňaté z procesu šifrovania. Táto precízna stratégia zabezpečuje komplexnejší vplyv na cielené údaje.

Je pozoruhodné, že operácie thEbaka Ransomware neohrozujú dôležité systémové súbory, čím sa minimalizuje riziko nestability systému. Okrem toho sa vynakladá úmyselné úsilie, aby sa zabránilo dvojitému šifrovaniu, čím sa ušetria údaje, ktoré už boli ovplyvnené inými variantmi ransomvéru. Tento proces sa riadi vopred definovaným zoznamom, hoci nezahŕňa všetky existujúce programy na šifrovanie údajov.

V snahe zabrániť obnove Ebaka Ransomware vymaže tieňové kópie zväzku, čím eliminuje jednu z potenciálnych metód obnovy šifrovaných súborov. Malvér využíva rôzne techniky na zabezpečenie perzistencie, vrátane samoreplikácie na cestu %LOCALAPPDATA% a registrácie pomocou špecifických kľúčov Run, čím sa zabezpečí automatické spustenie po reštarte systému.

Útoky Ebaka môžu navyše vykazovať vlastnosti geo-uzamykania. Tieto programy zhromažďujú údaje o geolokácii a môžu zastaviť infekciu na základe faktorov, ako sú ekonomické podmienky v určitých regiónoch (potenciálne domovom obetí neschopných zaplatiť výkupné), geopolitické úvahy alebo iné kritériá.

Na základe rozsiahlych skúseností s výskumom ransomvérových infekcií je zrejmé, že dešifrovanie bez priameho zapojenia útočníkov je zriedkavé. Výnimky sa obmedzujú na prípady zahŕňajúce vážne chybné programy typu ransomware, pričom sa zdôrazňujú celkové výzvy a zložitosť spojené s obnovou údajov z takýchto sofistikovaných kybernetických hrozieb.

Ebaka Ransomware vydiera obete o peniaze

Obsah výkupného od spoločnosti Ebaka prezentovaný v textovom súbore výslovne oznamuje obetiam, že ich súbory boli zašifrované. Správa dôrazne vyzýva obete, aby nadviazali kontakt s útočníkmi, aby sa uľahčil proces dešifrovania. Okrem toho poznámka o výkupnom zobrazená vo vyskakovacom okne poskytuje ďalšie podrobnosti o infekcii, pričom špecifikuje, že dešifrovanie je podmienené zaplatením výkupného v kryptomene Bitcoin. Je pozoruhodné, že výška výkupného je údajne ovplyvnená tým, ako rýchlo obeť nadviaže komunikáciu s kyberzločincami.

Je zaujímavé, že pred splnením požiadaviek na výkupné majú obete údajne možnosť otestovať proces dešifrovania. Na testovanie môžu odoslať až päť zašifrovaných súborov s určitými obmedzeniami. Zdá sa, že toto zvláštne ustanovenie ponúka letmý pohľad na proces dešifrovania, možno ako taktiku na vzbudenie pocitu dôvery alebo naliehavosti v obeti.

Kyberzločinci varujú obete pred akýmkoľvek pokusom upravovať uzamknuté súbory alebo používať dešifrovacie nástroje tretích strán, pričom zdôrazňujú riziko trvalej straty údajov. Okrem toho sú obete upozorňované na možné finančné dôsledky vyhľadania pomoci od tretích strán, čo naznačuje, že takéto konanie môže zvýšiť celkovú finančnú stratu spôsobenú počas procesu riešenia problémov. Tento podrobný súbor pokynov a varovaní podčiarkuje vypočítaný charakter požiadavky na výkupné. Jeho cieľom je viesť obete celým procesom a zároveň ich odradiť od akýchkoľvek krokov, ktoré by mohli ohroziť potenciál úspešného dešifrovania.

Obete Ebaka Ransomware sú prezentované s nasledujúcimi požiadavkami na výkupné:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'