Ebaka Fidye Yazılımı

Güvenlik araştırmacıları, Ebaka'nın, ele geçirilen cihazlardaki dosyaları şifrelemek ve ardından şifrenin çözülmesi için fidye ödemesi talep etmek amacıyla tasarlanmış bir fidye yazılımı tehdidi olduğunu belirledi. Ebaka kötü amaçlı yazılımı etkinleştirildiğinde, şifreleme yoluyla bir dosya kilitleme işlemi başlatır ve bu süreçte dosya adlarını değiştirir. Orijinal adlara benzersiz bir kurban kimliği, siber suçluların e-posta adresi ve '.ebaka' uzantısı ekleniyor. Örneğin, başlangıçta '1.png' olarak adlandırılan bir dosya şifrelemeye tabi tutulacak ve '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.' olarak ortaya çıkacaktır.

Şifreleme işleminin tamamlanmasının ardından Ebaka, masaüstüne ve kilitli verileri içeren tüm dizinlere depolanan fidye notları oluşturur. Fidye notlarından biri açılır pencerede ('info.hta') sunulurken, diğeri bir metin dosyası ('info.txt') biçimini alır. Özellikle, araştırma analizleri Ebaka Fidye Yazılımı'nı tanınmış Phobos Fidye Yazılımı ailesiyle ilişkilendirmiştir.

Ebaka Fidye Yazılımı Başarılı Bulaşma Durumunda Büyük Hasara Neden Olabilir

Ebaka Ransomware gibi Phobos Ransomware ailesine bağlı tehdit programları, hem yerel hem de ağda paylaşılan dosyaları şifreleyen gelişmiş şifreleme yetenekleri sergiler. Bu programlar, açılan dosyalarla ilgili işlemleri sonlandırarak, bu dosyaların "kullanımda" kabul edilmesini ve ardından şifreleme işleminden muaf tutulmasını önleyen karmaşık bir yaklaşım benimser. Bu titiz strateji, hedeflenen veriler üzerinde daha kapsamlı bir etki sağlar.

Ebaka Ransomware operasyonlarının kritik sistem dosyalarından ödün vermekten kaçınması ve sistem kararsızlığı riskini en aza indirmesi dikkat çekicidir. Ek olarak, çift şifrelemeyi önlemek ve diğer fidye yazılımı türlerinden zaten etkilenmiş olan verileri korumak için kasıtlı bir çaba gösterilmektedir. Bu işlem, mevcut tüm veri şifreleme programlarını kapsamasa da, önceden tanımlanmış bir listeye uyar.

Kurtarmayı engellemek amacıyla Ebaka Ransomware, Gölge Birim Kopyalarını silerek şifrelenmiş dosyaları geri yüklemenin olası bir yöntemini ortadan kaldırır. Kötü amaçlı yazılım, %LOCALAPPDATA% yoluna kendi kendine kopyalama ve belirli Çalıştırma anahtarlarına kaydolma dahil olmak üzere, sistemin yeniden başlatılmasının ardından otomatik başlatmayı garantileyen çeşitli kalıcılık sağlayan teknikler kullanır.

Ayrıca Ebaka saldırıları coğrafi kilitleme özellikleri sergileyebilir. Bu programlar coğrafi konum verilerini toplar ve belirli bölgelerdeki ekonomik koşullar (potansiyel olarak fidye ödeyemeyen kurbanların evi), jeopolitik hususlar veya diğer kriterler gibi faktörlere dayalı olarak enfeksiyonu durdurabilir.

Fidye yazılımı enfeksiyonlarını araştırma konusundaki kapsamlı deneyimlerden yola çıkarak, saldırganların doğrudan müdahalesi olmadan şifre çözme işleminin nadir görülen bir olay olduğu ortaya çıkıyor. İstisnalar, ciddi derecede kusurlu fidye yazılımı türü programları içeren örneklerle sınırlıdır; bu, bu tür karmaşık siber tehditlerden veri kurtarmayla ilgili genel zorlukları ve karmaşıklığı vurgular.

Ebaka Fidye Yazılımı Mağdurlardan Para Karşılığında Şantaj Yapıyor

Ebaka'nın bir metin dosyasında sunulan fidye notunun içeriği, kurbanlara dosyalarının şifrelendiğini açıkça iletiyor. Mesaj, mağdurları şifre çözme sürecini kolaylaştırmak için saldırganlarla iletişim kurmaya güçlü bir şekilde teşvik ediyor. Ek olarak, açılır pencerede görüntülenen fidye notu, enfeksiyon hakkında daha fazla ayrıntı sağlıyor ve şifre çözmenin, Bitcoin kripto para birimi cinsinden fidye ödenmesine bağlı olduğunu belirtiyor. Özellikle fidye miktarının, kurbanın siber suçlularla ne kadar hızlı iletişim kurduğuna bağlı olduğu iddia ediliyor.

İlginçtir ki, fidye taleplerini yerine getirmeden önce mağdurlara şifre çözme sürecini test etme seçeneği sunulduğu iddia ediliyor. Belirli sınırlamalara tabi olarak test için en fazla beş şifrelenmiş dosya gönderebilirler. Bu tuhaf hüküm, muhtemelen kurbana güven veya aciliyet duygusu aşılamak için bir taktik olarak, şifre çözme sürecine bir bakış sunuyor gibi görünüyor.

Siber suçlular, kalıcı veri kaybı riskini vurgulayarak, mağdurları kilitli dosyaları değiştirme veya üçüncü taraf şifre çözme araçlarını kullanma girişimlerine karşı uyarıyor. Ek olarak mağdurlar, üçüncü taraflardan yardım istemenin olası mali sonuçları konusunda uyarılmaktadır; bu da bu tür eylemlerin çözüm süreci sırasında ortaya çıkan genel mali kaybı artırabileceği öne sürülmektedir. Bu ayrıntılı talimat ve uyarı dizisi, fidye talebinin hesaplanmış niteliğinin altını çiziyor. Kurbanlara süreç boyunca rehberlik etmeyi ve başarılı şifre çözme potansiyelini tehlikeye atabilecek herhangi bir eylemde bulunmalarını engellemeyi amaçlıyor.

Ebaka Fidye Yazılımının kurbanlarına aşağıdaki fidye talepleri sunulur:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'