Ebaka Ransomware

Varnostni raziskovalci so Ebako identificirali kot grožnjo z izsiljevalsko programsko opremo, zasnovano z izrecnim namenom šifriranja datotek na ogroženih napravah in naknadnega zahtevanja odkupnine za njihovo dešifriranje. Ko je zlonamerna programska oprema Ebaka aktivirana, sproži postopek zaklepanja datotek s šifriranjem in pri tem spremeni imena datotek. Prvotna imena so razširjena z edinstvenim ID-jem žrtve, e-poštnim naslovom kibernetskih kriminalcev in končnico '.ebaka'. Na primer, datoteka s prvotnim imenom '1.png' bo podvržena šifriranju in prikazana kot '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Po zaključku postopka šifriranja Ebaka ustvari obvestila o odkupnini, ki se odložijo na namizje in v vse imenike, ki vsebujejo zaklenjene podatke. Eno od obvestil o odkupnini je predstavljeno v pojavnem oknu ('info.hta'), medtem ko je drugo v obliki besedilne datoteke ('info.txt'). Analiza raziskave je povezala izsiljevalsko programsko opremo Ebaka z dobro znano družino izsiljevalskih programov Phobos .

Izsiljevalska programska oprema Ebaka bi lahko povzročila ogromno škodo ob uspešni okužbi

Nevarni programi, povezani z družino izsiljevalskih programov Phobos, kot je izsiljevalska programska oprema Ebaka, imajo napredne zmožnosti šifriranja, ki šifrirajo lokalne in omrežne datoteke v skupni rabi. Ti programi uporabljajo prefinjen pristop tako, da prekinejo procese, povezane z odprtimi datotekami, da preprečijo, da bi bile obravnavane kot "v uporabi" in posledično izvzete iz postopka šifriranja. Ta natančna strategija zagotavlja celovitejši učinek na ciljne podatke.

Omeniti velja, da operacije izsiljevalske programske opreme thEbaka ne ogrožajo kritičnih sistemskih datotek, kar zmanjšuje tveganje nestabilnosti sistema. Poleg tega se namenoma poskuša izogniti dvojnemu šifriranju, pri čemer se prihranijo podatki, na katere so že vplivale druge različice izsiljevalske programske opreme. Ta postopek se drži vnaprej določenega seznama, vendar ne zajema vseh obstoječih programov za šifriranje podatkov.

Da bi ovirala obnovitev, izsiljevalska programska oprema Ebaka izbriše kopije senčnih nosilcev in s tem odpravi eno možno metodo obnovitve šifriranih datotek. Zlonamerna programska oprema uporablja različne tehnike za zagotavljanje vztrajnosti, vključno s samopodvajanjem na pot %LOCALAPPDATA% in registracijo s posebnimi ključi Run, ki zagotavljajo samodejni zagon po ponovnem zagonu sistema.

Poleg tega lahko napadi Ebaka kažejo lastnosti geozaklepanja. Ti programi zbirajo podatke o geolokaciji in lahko prekinejo okužbo na podlagi dejavnikov, kot so gospodarske razmere v določenih regijah (morda so tam žrtve, ki ne morejo plačati odkupnine), geopolitični vidiki ali druga merila.

Na podlagi bogatih izkušenj pri raziskovanju okužb z izsiljevalsko programsko opremo postane očitno, da je dešifriranje brez neposredne vpletenosti napadalcev redek pojav. Izjeme so omejene na primere, ki vključujejo resno pomanjkljive programe tipa izsiljevalske programske opreme, s poudarkom na splošnih izzivih in zapletenosti, povezanih z obnavljanjem podatkov zaradi tako sofisticiranih kibernetskih groženj.

Izsiljevalska programska oprema Ebaka žrtve izsiljuje za denar

Vsebina Ebakinega sporočila o odkupnini, predstavljena v besedilni datoteki, žrtvam izrecno sporoča, da so njihove datoteke šifrirane. Sporočilo močno spodbuja žrtve, naj vzpostavijo stik z napadalci, da bi olajšali postopek dešifriranja. Poleg tega obvestilo o odkupnini, prikazano v pojavnem oknu, vsebuje dodatne podrobnosti o okužbi in navaja, da je dešifriranje odvisno od plačila odkupnine v kriptovaluti Bitcoin. Predvsem na znesek odkupnine naj bi vplivalo, kako hitro žrtev vzpostavi komunikacijo s kibernetskimi kriminalci.

Zanimivo je, da naj bi bile žrtve pred izpolnitvijo zahtev po odkupnini zagotovljene možnost, da preizkusijo postopek dešifriranja. Za testiranje lahko oddajo do pet šifriranih datotek, ob upoštevanju določenih omejitev. Zdi se, da ta nenavadna določba ponuja vpogled v proces dešifriranja, morda kot taktiko, da žrtvi vlije občutek zaupanja ali nujnosti.

Kibernetski kriminalci žrtve svarijo pred kakršnimi koli poskusi spreminjanja zaklenjenih datotek ali uporabe orodij za dešifriranje tretjih oseb, pri čemer poudarjajo tveganje trajne izgube podatkov. Poleg tega so žrtve opozorjene na morebitne finančne posledice iskanja pomoči pri tretjih osebah, kar nakazuje, da lahko takšna dejanja povečajo skupno finančno izgubo, nastalo med postopkom reševanja. Ta natančen nabor navodil in opozoril poudarja preračunano naravo zahteve po odkupnini. Njegov namen je voditi žrtve skozi postopek, hkrati pa jih odvrniti od kakršnih koli dejanj, ki bi lahko ogrozila možnost uspešnega dešifriranja.

Žrtvam izsiljevalske programske opreme Ebaka so predstavljene naslednje zahteve po odkupnini:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'