Ебака Рансомваре

Истраживачи безбедности идентификовали су Ебаку као претњу рансомваре-а, дизајнирану са експлицитном сврхом да шифрује датотеке на компромитованим уређајима и после тога захтевају плаћање откупнине за њихово дешифровање. Једном када се Ебака малвер активира, он покреће процес закључавања датотека путем шифровања, мењајући имена датотека у том процесу. Оригинална имена су проширена јединственим ИД-ом жртве, адресом е-поште сајбер криминалаца и '.ебака' екстензијом. На пример, датотека првобитно названа '1.пнг' ће бити подвргнута шифровању и изаћи ће као '1.пнг.ид[1Е858Д00-3423].[датадовнлоадер@протон.ме].ебака.'

Након завршетка процеса шифровања, Ебака генерише белешке о откупнини које се депонују на радну површину и унутар свих директоријума који садрже закључане податке. Једна од белешки о откупнини је представљена у искачућем прозору ('инфо.хта'), док је друга у облику текстуалне датотеке ('инфо.ткт'). Значајно је да је истраживачка анализа повезала Ебака Рансомваре са добро познатом породицом Пхобос Рансомваре- а.

Ебака Рансомваре може проузроковати огромну штету након успешне инфекције

Претећи програми повезани са породицом Пхобос Рансомваре, као што је Ебака Рансомваре, показују напредне могућности шифровања, шифрујући и локалне и мрежне датотеке. Ови програми имају софистициран приступ тако што прекидају процесе повезане са отвореним датотекама како би спречили да се сматрају „у употреби“ и да се касније изузму из процеса шифровања. Ова педантна стратегија обезбеђује свеобухватнији утицај на циљане податке.

Важно је напоменути да се операције Ебака Рансомваре-а уздржавају од компромитовања критичних системских датотека, минимизирајући ризик од нестабилности система. Поред тога, намерно се улаже напор да се избегне двоструко шифровање, штедећи податке на које већ утичу друге варијанте рансомвера. Овај процес се придржава унапред дефинисане листе, иако не обухвата све постојеће програме за шифровање података.

У покушају да омета опоравак, Ебака Рансомваре брише Схадов Волуме Цопиес, елиминишући један потенцијални метод враћања шифрованих датотека. Злонамерни софтвер користи различите технике за обезбеђивање постојаности, укључујући саморепликацију на путању %ЛОЦАЛАППДАТА% и регистрацију са одређеним Рун кључевима, обезбеђујући аутоматско покретање након поновног покретања система.

Штавише, Ебака напади могу показати карактеристике геолокације. Ови програми прикупљају геолокацијске податке и могу прекинути инфекцију на основу фактора као што су економски услови у одређеним регионима (потенцијално дом за жртве које нису у могућности да плате откуп), геополитички разлози или други критеријуми.

На основу великог искуства у истраживању инфекција рансомвером, постаје очигледно да је дешифровање без директног учешћа нападача ретка појава. Изузеци су ограничени на случајеве који укључују програме типа рансомвера са озбиљним грешкама, наглашавајући свеукупне изазове и сложеност повезане са опоравком података од тако софистицираних сајбер претњи.

Ебака Рансомваре изнуђује жртве за новац

Садржај Ебакине поруке о откупнини, представљен у текстуалном фајлу, експлицитно саопштава жртвама да су њихови фајлови шифровани. Порука снажно подстиче жртве да започну контакт са нападачима како би се олакшао процес дешифровања. Поред тога, порука о откупнини приказана у искачућем прозору пружа додатне детаље о инфекцији, наводећи да је дешифровање условљено плаћањем откупа у криптовалути Битцоин. Посебно, на износ откупнине наводно утиче колико брзо жртва успоставља комуникацију са сајбер криминалцима.

Занимљиво је да пре него што испуне захтеве за откупнину, жртвама се наводно пружа могућност да тестирају процес дешифровања. Они могу да поднесу до пет шифрованих датотека на тестирање, уз одређена ограничења. Чини се да ова необична одредба нуди увид у процес дешифровања, вероватно као тактику да се жртви усади осећај поверења или хитности.

Сајбер криминалци упозоравају жртве на сваки покушај да се модификују закључане датотеке или користе алати за дешифровање трећих страна, наглашавајући ризик од трајног губитка података. Поред тога, жртве се упозоравају на потенцијалне финансијске последице тражења помоћи од трећих страна, што сугерише да такве радње могу повећати укупан финансијски губитак настао током процеса решавања. Овај детаљан скуп упутстава и упозорења наглашава прорачунатост захтева за откупнином. Има за циљ да води жртве кроз процес и истовремено их одврати од предузимања било каквих радњи које би могле да угрозе потенцијал за успешно дешифровање.

Жртвама Ебака Рансомваре-а се постављају следећи захтеви за откупнину:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'