Ebaka-ransomware

Beveiligingsonderzoekers hebben Ebaka geïdentificeerd als een ransomware-bedreiging, ontworpen met het expliciete doel om bestanden op aangetaste apparaten te versleutelen en vervolgens losgeld te eisen voor de ontsleuteling ervan. Zodra de Ebaka-malware is geactiveerd, initieert deze een bestandsvergrendelingsproces door middel van encryptie, waarbij de bestandsnamen worden gewijzigd. De originele namen zijn uitgebreid met een unieke slachtoffer-ID, het e-mailadres van de cybercriminelen en een '.ebaka'-extensie. Een bestand dat aanvankelijk '1.png' heette, wordt bijvoorbeeld gecodeerd en verschijnt als '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Na voltooiing van het coderingsproces genereert Ebaka losgeldbriefjes die op het bureaublad en in alle mappen met vergrendelde gegevens worden geplaatst. Eén van de losgeldbriefjes wordt weergegeven in een pop-upvenster ('info.hta'), terwijl een andere de vorm heeft van een tekstbestand ('info.txt'). Onderzoeksanalyse heeft met name de Ebaka Ransomware gekoppeld aan de bekende Phobos Ransomware- familie.

De Ebaka Ransomware kan enorme schade veroorzaken bij een succesvolle infectie

Bedreigende programma's die zijn aangesloten bij de Phobos Ransomware-familie, zoals de Ebaka Ransomware, beschikken over geavanceerde encryptiemogelijkheden, waarbij zowel lokale als op het netwerk gedeelde bestanden worden gecodeerd. Deze programma's hanteren een geavanceerde aanpak door processen te beëindigen die verband houden met geopende bestanden om te voorkomen dat deze als "in gebruik" worden beschouwd en vervolgens worden vrijgesteld van het coderingsproces. Deze nauwgezette strategie zorgt voor een uitgebreidere impact op gerichte gegevens.

Het is opmerkelijk dat de activiteiten van de Ebaka Ransomware ervoor zorgen dat kritieke systeembestanden niet in gevaar worden gebracht, waardoor het risico op systeeminstabiliteit wordt geminimaliseerd. Bovendien wordt er doelbewust geprobeerd dubbele encryptie te voorkomen, waardoor gegevens die al door andere ransomwarevarianten zijn getroffen, worden gespaard. Dit proces volgt een vooraf gedefinieerde lijst, hoewel het niet alle bestaande gegevensversleutelingsprogramma's omvat.

In een poging het herstel te belemmeren, verwijdert Ebaka Ransomware de schaduwvolumekopieën, waardoor een mogelijke methode voor het herstellen van gecodeerde bestanden wordt geëlimineerd. De malware maakt gebruik van verschillende persistentie-verzekerende technieken, waaronder zelfreplicatie naar het %LOCALAPPDATA% pad en registratie met specifieke Run-sleutels, waardoor automatische initiatie wordt gegarandeerd na het opnieuw opstarten van het systeem.

Bovendien kunnen Ebaka-aanvallen geolocking-kenmerken vertonen. Deze programma's verzamelen geolocatiegegevens en kunnen de infectie stopzetten op basis van factoren zoals de economische omstandigheden in bepaalde regio's (mogelijk de thuisbasis van slachtoffers die geen losgeld kunnen betalen), geopolitieke overwegingen of andere criteria.

Op basis van uitgebreide ervaring met onderzoek naar ransomware-infecties wordt het duidelijk dat decodering zonder de directe betrokkenheid van aanvallers zelden voorkomt. Uitzonderingen zijn beperkt tot gevallen waarbij sprake is van ernstig gebrekkige programma's van het ransomware-type, wat de algemene uitdagingen en complexiteit benadrukt die gepaard gaan met het herstellen van gegevens uit dergelijke geavanceerde cyberbedreigingen.

De Ebaka-ransomware perst slachtoffers af voor geld

De inhoud van Ebaka's losgeldbrief, gepresenteerd in een tekstbestand, communiceert expliciet naar de slachtoffers dat hun bestanden zijn gecodeerd. Het bericht moedigt slachtoffers sterk aan om contact op te nemen met de aanvallers om het decoderingsproces te vergemakkelijken. Bovendien geeft de losgeldbrief die in een pop-upvenster wordt weergegeven verdere details over de infectie, waarbij wordt gespecificeerd dat decodering afhankelijk is van de betaling van een losgeld in Bitcoin-cryptocurrency. Het losgeldbedrag wordt met name beïnvloed door de snelheid waarmee het slachtoffer communiceert met de cybercriminelen.

Interessant is dat slachtoffers, voordat ze aan de losgeldeisen voldoen, de mogelijkheid krijgen om het decoderingsproces te testen. Ze kunnen maximaal vijf gecodeerde bestanden ter test indienen, met inachtneming van bepaalde beperkingen. Deze eigenaardige bepaling lijkt een glimp te bieden van het decoderingsproces, mogelijk als een tactiek om het slachtoffer een gevoel van vertrouwen of urgentie te geven.

De cybercriminelen waarschuwen slachtoffers voor elke poging om de vergrendelde bestanden te wijzigen of decoderingstools van derden te gebruiken, waarbij ze het risico van permanent gegevensverlies benadrukken. Bovendien worden slachtoffers gewaarschuwd voor de mogelijke financiële gevolgen van het zoeken naar hulp van derden, wat erop wijst dat dergelijke acties het totale financiële verlies tijdens het afwikkelingsproces kunnen vergroten. Deze gedetailleerde reeks instructies en waarschuwingen onderstreept de berekende aard van de vraag naar losgeld. Het is bedoeld om slachtoffers door het proces te leiden en hen ervan te weerhouden acties te ondernemen die het potentieel voor succesvolle decodering in gevaar kunnen brengen.

Slachtoffers van de Ebaka Ransomware krijgen de volgende losgeldeisen:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'