Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Ransomware Phần mềm tống tiền Ebaka

Phần mềm tống tiền Ebaka

Đến năm Mezo năm Ransomware
Dịch sang:
Tiếng Việt Nam

Các nhà nghiên cứu bảo mật đã xác định Ebaka là một mối đe dọa ransomware, được thiết kế với mục đích rõ ràng là mã hóa các tập tin trên các thiết bị bị xâm nhập và sau đó yêu cầu thanh toán tiền chuộc cho việc giải mã chúng. Khi phần mềm độc hại Ebaka được kích hoạt, nó sẽ bắt đầu quá trình khóa tệp thông qua mã hóa, thay đổi tên tệp trong quy trình. Tên ban đầu được mở rộng bằng ID nạn nhân duy nhất, địa chỉ email của tội phạm mạng và phần mở rộng '.ebaka'. Ví dụ: một tệp có tên ban đầu là '1.png' sẽ trải qua quá trình mã hóa và xuất hiện dưới dạng '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Sau khi hoàn tất quá trình mã hóa, Ebaka tạo các ghi chú đòi tiền chuộc được gửi vào màn hình nền và trong tất cả các thư mục chứa dữ liệu bị khóa. Một trong những ghi chú đòi tiền chuộc được hiển thị trong cửa sổ bật lên ('info.hta'), trong khi một ghi chú khác có dạng tệp văn bản ('info.txt'). Đáng chú ý, phân tích nghiên cứu đã liên kết Ebaka Ransomware với họ Phobos Ransomware nổi tiếng.

Ransomware Ebaka có thể gây ra thiệt hại to lớn khi lây nhiễm thành công

Các chương trình đe dọa liên kết với dòng Phobos Ransomware, chẳng hạn như Ebaka Ransomware, thể hiện khả năng mã hóa nâng cao, mã hóa cả tệp cục bộ và tệp chia sẻ trên mạng. Các chương trình này thực hiện một cách tiếp cận phức tạp bằng cách chấm dứt các quy trình liên quan đến các tệp đã mở để ngăn chúng bị coi là "đang sử dụng" và sau đó được miễn khỏi quy trình mã hóa. Chiến lược tỉ mỉ này đảm bảo tác động toàn diện hơn đến dữ liệu được nhắm mục tiêu.

Điều đáng chú ý là các hoạt động của Ebaka Ransomware không xâm phạm các tệp hệ thống quan trọng, giảm thiểu nguy cơ mất ổn định hệ thống. Ngoài ra, chúng tôi nỗ lực có chủ ý để tránh mã hóa kép, tiết kiệm dữ liệu đã bị ảnh hưởng bởi các biến thể phần mềm tống tiền khác. Quá trình này tuân theo một danh sách được xác định trước, mặc dù nó không bao gồm tất cả các chương trình mã hóa dữ liệu hiện có.

Trong nỗ lực cản trở quá trình phục hồi, Ebaka Ransomware xóa Bản sao khối lượng bóng tối, loại bỏ một phương pháp tiềm năng để khôi phục các tệp được mã hóa. Phần mềm độc hại sử dụng nhiều kỹ thuật đảm bảo tính bền vững khác nhau, bao gồm tự sao chép vào đường dẫn %LOCALAPPDATA% và đăng ký bằng các phím Run cụ thể, đảm bảo tự động khởi chạy sau khi khởi động lại hệ thống.

Hơn nữa, các cuộc tấn công Ebaka có thể thể hiện các đặc điểm khóa địa lý. Các chương trình này thu thập dữ liệu vị trí địa lý và có thể ngừng lây nhiễm dựa trên các yếu tố như điều kiện kinh tế ở một số khu vực nhất định (có khả năng là nơi nạn nhân không thể trả tiền chuộc), các cân nhắc về địa chính trị hoặc các tiêu chí khác.

Rút kinh nghiệm từ kinh nghiệm sâu rộng trong việc nghiên cứu lây nhiễm ransomware, có thể thấy rõ rằng việc giải mã mà không có sự tham gia trực tiếp của kẻ tấn công là một điều hiếm khi xảy ra. Các trường hợp ngoại lệ được giới hạn ở các trường hợp liên quan đến các chương trình loại ransomware có sai sót nghiêm trọng, nhấn mạnh những thách thức và sự phức tạp tổng thể liên quan đến việc khôi phục dữ liệu từ các mối đe dọa mạng tinh vi như vậy.

Ransomware Ebaka tống tiền nạn nhân để lấy tiền

Nội dung thông báo đòi tiền chuộc của Ebaka, được trình bày dưới dạng một tệp văn bản, thông báo rõ ràng cho nạn nhân rằng các tệp của họ đã được mã hóa. Thông báo đặc biệt khuyến khích nạn nhân bắt đầu liên hệ với những kẻ tấn công để tạo điều kiện thuận lợi cho quá trình giải mã. Ngoài ra, thông báo đòi tiền chuộc được hiển thị trong cửa sổ bật lên cung cấp thêm thông tin chi tiết về sự lây nhiễm, chỉ rõ rằng việc giải mã phụ thuộc vào việc thanh toán tiền chuộc bằng tiền điện tử Bitcoin. Đáng chú ý, số tiền chuộc được cho là bị ảnh hưởng chủ yếu bởi mức độ nhanh chóng của nạn nhân thiết lập liên lạc với tội phạm mạng.

Điều thú vị là trước khi tuân thủ các yêu cầu về tiền chuộc, nạn nhân được cho là được cung cấp tùy chọn để kiểm tra quá trình giải mã. Họ có thể gửi tối đa năm tệp được mã hóa để thử nghiệm, với một số hạn chế nhất định. Điều khoản đặc biệt này dường như cung cấp một cái nhìn thoáng qua về quá trình giải mã, có thể là một chiến thuật để truyền cho nạn nhân cảm giác tin cậy hoặc cấp bách.

Tội phạm mạng cảnh báo nạn nhân không nên sửa đổi các tệp bị khóa hoặc sử dụng các công cụ giải mã của bên thứ ba, nhấn mạnh đến nguy cơ mất dữ liệu vĩnh viễn. Ngoài ra, nạn nhân được cảnh báo về những hậu quả tài chính tiềm ẩn khi tìm kiếm sự hỗ trợ từ bên thứ ba, cho thấy rằng những hành động đó có thể làm tăng tổn thất tài chính chung phát sinh trong quá trình giải quyết. Bộ hướng dẫn và cảnh báo chi tiết này nhấn mạnh tính chất được tính toán của yêu cầu tiền chuộc. Nó nhằm mục đích hướng dẫn nạn nhân trong suốt quá trình đồng thời ngăn cản họ thực hiện bất kỳ hành động nào có thể ảnh hưởng đến khả năng giải mã thành công.

Nạn nhân của Ebaka Ransomware được yêu cầu tiền chuộc sau:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
30,969
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...