Ebaka lunavara

Turvauurijad on tuvastanud, et Ebaka on lunavaraoht, mille eesmärk on krüpteerida ohustatud seadmetes olevad failid ja nõuda seejärel nende dekrüpteerimise eest lunaraha. Kui Ebaka pahavara on aktiveeritud, käivitab see krüptimise kaudu failide lukustamise, muutes protsessi käigus failinimesid. Algseid nimesid täiendatakse kordumatu ohvri ID, küberkurjategijate e-posti aadressi ja laiendiga ".ebaka". Näiteks fail, mille nimi on algselt '1.png', krüpteeritakse ja see ilmub kujul '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Pärast krüpteerimisprotsessi lõppu loob Ebaka lunaraha märkmed, mis deponeeritakse töölauale ja kõikidesse lukustatud andmeid sisaldavatesse kataloogidesse. Üks lunarahatähteest esitatakse hüpikaknas ('info.hta'), teine aga tekstifailina ('info.txt'). Nimelt on uuringuanalüüs seostanud Ebaka Ransomware tuntud Phobos Ransomware perekonnaga.

Ebaka lunavara võib eduka nakatumise korral põhjustada tohutut kahju

Phobos Ransomware perekonnaga seotud ähvardavatel programmidel, nagu Ebaka Ransomware, on täiustatud krüptimisvõimalused, krüptides nii kohalikke kui ka võrgus jagatud faile. Need programmid kasutavad keerukat lähenemist, lõpetades avatud failidega seotud protsessid, et vältida nende käsitamist "kasutuses" ja seejärel krüpteerimisprotsessist vabastamist. See hoolikas strateegia tagab sihtandmetele põhjalikuma mõju.

On tähelepanuväärne, et Ebaka Ransomware operatsioonid hoiduvad kriitiliste süsteemifailide kahjustamisest, minimeerides süsteemi ebastabiilsuse riski. Lisaks püütakse sihilikult vältida topeltkrüptimist, säästes andmeid, mida muud lunavaravariandid juba mõjutavad. See protsess järgib eelmääratletud loendit, kuigi see ei hõlma kõiki olemasolevaid andmete krüptimisprogramme.

Püüdes takistada taastumist, kustutab Ebaka Ransomware Shadow Volume Copies, kõrvaldades ühe potentsiaalse meetodi krüptitud failide taastamiseks. Pahavara kasutab mitmesuguseid püsivust tagavaid tehnikaid, sealhulgas isereplikatsiooni teele %LOCALAPPDATA% ja registreerimist konkreetsete Run-võtmetega, tagades automaatse käivitamise pärast süsteemi taaskäivitamist.

Lisaks võivad Ebaka rünnakutel olla geograafilise lukustuse omadused. Need programmid koguvad geograafilise asukoha andmeid ja võivad nakkuse peatada selliste tegurite alusel nagu teatud piirkondade majanduslikud tingimused (potentsiaalselt koduks ohvritele, kes ei saa lunaraha maksta), geopoliitilised kaalutlused või muud kriteeriumid.

Lunavaranakkuste uurimise laialdase kogemuse põhjal on ilmne, et dekrüpteerimine ilma ründajate otsese kaasamiseta on haruldane. Erandid piirduvad juhtumitega, mis hõlmavad tõsiselt vigaseid lunavara-tüüpi programme, mis rõhutavad üldisi väljakutseid ja keerukust, mis on seotud andmete taastamisega sellistest keerukatest küberohtudest.

Ebaka lunavara pressib ohvreid raha eest välja

Ebaka lunarahakirja sisu, mis on esitatud tekstifailis, annab ohvritele selgesõnaliselt teada, et nende failid on krüpteeritud. Sõnum julgustab ohvreid tungivalt dekrüpteerimisprotsessi hõlbustamiseks ründajatega ühendust võtma. Lisaks pakub hüpikaknas kuvatav lunarahateatis lisateavet nakkuse kohta, täpsustades, et dekrüpteerimine sõltub lunaraha maksmisest Bitcoini krüptovaluutas. Eelkõige mõjutab lunaraha suurust väidetavalt see, kui kiiresti ohver küberkurjategijatega suhtleb.

Huvitav on see, et enne lunarahanõuete täitmist antakse ohvritele väidetavalt võimalus dekrüpteerimisprotsessi testida. Nad võivad teatud piirangutega testimiseks esitada kuni viis krüptitud faili. See omapärane säte näib pakkuvat pilguheit dekrüpteerimisprotsessile, võib-olla taktikana, et sisendada ohvrisse usalduse või kiireloomulisuse tunnet.

Küberkurjategijad hoiatavad ohvreid igasuguste katsete eest lukustatud faile muuta või kolmanda osapoole dekrüpteerimistööriistu kasutada, rõhutades andmete püsiva kadumise ohtu. Lisaks hoiatatakse ohvreid kolmandatelt isikutelt abi otsimise võimalike rahaliste tagajärgede eest, mis viitab sellele, et sellised tegevused võivad suurendada kriisilahendusprotsessi käigus tekkivat üldist rahalist kahju. See üksikasjalik juhiste ja hoiatuste kogum rõhutab lunarahanõudluse arvutatud olemust. Selle eesmärk on juhendada ohvreid protsessi käigus, hoides neid tegemast mis tahes toiminguid, mis võivad kahjustada edukat dekrüpteerimist.

Ebaka lunavara ohvritele esitatakse järgmised lunarahanõuded:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'