Ebaka ransomware

I ricercatori di sicurezza hanno identificato Ebaka come una minaccia ransomware, progettata con lo scopo esplicito di crittografare i file su dispositivi compromessi e successivamente richiedere pagamenti di riscatto per la loro decrittazione. Una volta attivato, il malware Ebaka avvia un processo di blocco dei file tramite crittografia, alterando i nomi dei file nel processo. Ai nomi originali vengono aggiunti un ID univoco della vittima, l'indirizzo e-mail dei criminali informatici e l'estensione ".ebaka". Ad esempio, un file inizialmente denominato "1.png" verrà sottoposto a crittografia e risulterà come "1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka."

Dopo il completamento del processo di crittografia, Ebaka genera richieste di riscatto che vengono depositate sul desktop e in tutte le directory contenenti dati bloccati. Una delle richieste di riscatto viene presentata in una finestra pop-up ('info.hta'), mentre un'altra assume la forma di un file di testo ('info.txt'). In particolare, l’analisi della ricerca ha collegato Ebaka Ransomware alla nota famiglia Phobos Ransomware .

Il ransomware Ebaka potrebbe causare danni enormi in caso di infezione riuscita

I programmi minacciosi affiliati alla famiglia Phobos Ransomware, come Ebaka Ransomware, presentano funzionalità di crittografia avanzate, crittografando sia i file locali che quelli condivisi in rete. Questi programmi adottano un approccio sofisticato terminando i processi associati ai file aperti per evitare che vengano considerati "in uso" e successivamente esentati dal processo di crittografia. Questa meticolosa strategia garantisce un impatto più completo sui dati target.

È interessante notare che le operazioni di Ebaka Ransomware si astengono dal compromettere i file di sistema critici, riducendo al minimo il rischio di instabilità del sistema. Inoltre, viene fatto uno sforzo deliberato per evitare la doppia crittografia, risparmiando i dati già colpiti da altre varianti di ransomware. Questo processo aderisce a un elenco predefinito, sebbene non comprenda tutti i programmi di crittografia dei dati esistenti.

Nel tentativo di ostacolare il ripristino, Ebaka Ransomware elimina le copie shadow del volume, eliminando un potenziale metodo per ripristinare i file crittografati. Il malware impiega varie tecniche che garantiscono la persistenza, inclusa l'auto-replica nel percorso %LOCALAPPDATA% e la registrazione con chiavi di esecuzione specifiche, garantendo l'avvio automatico dopo il riavvio del sistema.

Inoltre, gli attacchi Ebaka possono presentare caratteristiche di geo-blocco. Questi programmi raccolgono dati di geolocalizzazione e possono interrompere l’infezione in base a fattori quali le condizioni economiche di alcune regioni (potenzialmente sede di vittime non in grado di pagare i riscatti), considerazioni geopolitiche o altri criteri.

Basandosi sulla vasta esperienza nella ricerca sulle infezioni ransomware, diventa evidente che la decrittazione senza il coinvolgimento diretto degli aggressori è un evento raro. Le eccezioni sono limitate ai casi che coinvolgono programmi di tipo ransomware gravemente difettosi, sottolineando le sfide generali e la complessità associate al recupero dei dati da minacce informatiche così sofisticate.

Il ransomware Ebaka estorce denaro alle vittime

Il contenuto della richiesta di riscatto di Ebaka, presentato in un file di testo, comunica esplicitamente alle vittime che i loro file sono stati crittografati. Il messaggio incoraggia fortemente le vittime ad avviare un contatto con gli aggressori per facilitare il processo di decrittazione. Inoltre, la richiesta di riscatto visualizzata in una finestra pop-up fornisce ulteriori dettagli sull'infezione, specificando che la decrittazione è subordinata al pagamento di un riscatto in criptovaluta Bitcoin. In particolare, l’importo del riscatto è presumibilmente influenzato dalla rapidità con cui la vittima stabilisce una comunicazione con i criminali informatici.

È interessante notare che, prima di soddisfare le richieste di riscatto, alle vittime viene presumibilmente fornita la possibilità di testare il processo di decrittazione. Possono inviare fino a cinque file crittografati per il test, soggetti a determinate limitazioni. Questa disposizione peculiare sembra offrire uno scorcio del processo di decrittazione, forse come tattica per instillare un senso di fiducia o urgenza nella vittima.

I criminali informatici mettono in guardia le vittime da qualsiasi tentativo di modificare i file bloccati o di utilizzare strumenti di decrittazione di terze parti, sottolineando il rischio di perdita permanente dei dati. Inoltre, le vittime vengono avvisate delle potenziali conseguenze finanziarie derivanti dalla richiesta di assistenza a terzi, suggerendo che tali azioni potrebbero aumentare la perdita finanziaria complessiva subita durante il processo di risoluzione. Questa serie dettagliata di istruzioni e avvertimenti sottolinea la natura calcolata della richiesta di riscatto. Ha lo scopo di guidare le vittime attraverso il processo dissuadendole dall'intraprendere qualsiasi azione che potrebbe compromettere il potenziale di successo della decrittazione.

Alle vittime del ransomware Ebaka vengono presentate le seguenti richieste di riscatto:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'