Oprogramowanie ransomware Ebaka

Badacze bezpieczeństwa zidentyfikowali Ebakę jako zagrożenie oprogramowaniem ransomware, którego wyraźnym celem jest szyfrowanie plików na zaatakowanych urządzeniach, a następnie żądanie zapłaty okupu za ich odszyfrowanie. Po aktywowaniu złośliwego oprogramowania Ebaka inicjuje proces blokowania plików poprzez szyfrowanie, zmieniając przy tym nazwy plików. Oryginalne nazwy są rozszerzone o unikalny identyfikator ofiary, adres e-mail cyberprzestępców i rozszerzenie „.ebaka”. Na przykład plik o początkowej nazwie „1.png” zostanie zaszyfrowany i pojawi się jako „1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka”.

Po zakończeniu procesu szyfrowania Ebaka generuje notatki z żądaniem okupu, które są deponowane na pulpicie oraz we wszystkich katalogach zawierających zablokowane dane. Jedna z notatek o okupie prezentowana jest w wyskakującym oknie („info.hta”), a druga ma postać pliku tekstowego („info.txt”). Warto zauważyć, że analiza badań powiązała oprogramowanie Ebaka Ransomware ze znaną rodziną Phobos Ransomware .

Oprogramowanie ransomware Ebaka może wyrządzić ogromne szkody w przypadku pomyślnej infekcji

Groźne programy powiązane z rodziną Phobos Ransomware, takie jak Ebaka Ransomware, wykazują zaawansowane możliwości szyfrowania, szyfrując zarówno pliki lokalne, jak i udostępniane w sieci. Programy te stosują wyrafinowane podejście, kończąc procesy powiązane z otwartymi plikami, aby zapobiec uznaniu ich za „w użyciu”, a następnie wyłączeniu z procesu szyfrowania. Ta skrupulatna strategia zapewnia bardziej kompleksowy wpływ na docelowe dane.

Warto zauważyć, że działanie oprogramowania thEbaka Ransomware powstrzymuje się od naruszania krytycznych plików systemowych, minimalizując ryzyko niestabilności systemu. Ponadto celowo podejmuje się wysiłki, aby uniknąć podwójnego szyfrowania, oszczędzając dane, na które już wpływają inne warianty oprogramowania ransomware. Proces ten opiera się na z góry określonej liście, chociaż nie obejmuje wszystkich istniejących programów szyfrujących dane.

Próbując utrudnić odzyskiwanie, Ebaka Ransomware usuwa kopie woluminów w tle, eliminując jedną potencjalną metodę przywracania zaszyfrowanych plików. Szkodnik wykorzystuje różne techniki zapewniające trwałość, w tym samoreplikację do ścieżki %LOCALAPPDATA% i rejestrację przy użyciu określonych kluczy Uruchom, zapewniając automatyczną inicjację po ponownym uruchomieniu systemu.

Co więcej, ataki Ebaka mogą wykazywać cechy blokowania geograficznego. Programy te gromadzą dane geolokalizacyjne i mogą przerwać infekcję na podstawie takich czynników, jak warunki ekonomiczne w niektórych regionach (potencjalnie zamieszkiwane przez ofiary niezdolne do zapłaty okupu), względy geopolityczne lub inne kryteria.

Czerpiąc z szerokiego doświadczenia w badaniu infekcji ransomware, staje się oczywiste, że odszyfrowanie bez bezpośredniego udziału atakujących jest zjawiskiem rzadkim. Wyjątki ograniczają się do przypadków obejmujących poważnie wadliwe programy typu ransomware, co podkreśla ogólne wyzwania i złożoność związane z odzyskiwaniem danych z tak wyrafinowanych zagrożeń cybernetycznych.

Oprogramowanie ransomware Ebaka wyłudza od ofiar pieniądze

Treść żądania okupu od Ebaki, przedstawiona w pliku tekstowym, wyraźnie komunikuje ofiarom, że ich pliki zostały zaszyfrowane. Wiadomość zdecydowanie zachęca ofiary do nawiązania kontaktu z atakującymi, aby ułatwić proces odszyfrowania. Dodatkowo informacja o okupie wyświetlana w wyskakującym oknie zawiera dalsze szczegóły dotyczące infekcji, precyzując, że odszyfrowanie jest uzależnione od zapłacenia okupu w kryptowalutie Bitcoin. Warto zauważyć, że na kwotę okupu rzekomo wpływa to, jak szybko ofiara nawiązuje komunikację z cyberprzestępcami.

Co ciekawe, przed spełnieniem żądania okupu ofiary rzekomo mają możliwość przetestowania procesu deszyfrowania. Mogą przesłać do testów maksymalnie pięć zaszyfrowanych plików, z zastrzeżeniem pewnych ograniczeń. Wydaje się, że to osobliwe postanowienie pozwala na wgląd w proces deszyfrowania, być może jako taktyka mająca na celu zaszczepienie ofierze poczucia zaufania lub pilności.

Cyberprzestępcy ostrzegają ofiary przed wszelkimi próbami modyfikowania zablokowanych plików lub korzystania z narzędzi deszyfrujących stron trzecich, podkreślając ryzyko trwałej utraty danych. Ponadto ofiary są ostrzegane o potencjalnych konsekwencjach finansowych szukania pomocy u osób trzecich, co sugeruje, że takie działania mogą zwiększyć ogólne straty finansowe poniesione w trakcie procesu restrukturyzacji i uporządkowanej likwidacji. Ten szczegółowy zestaw instrukcji i ostrzeżeń podkreśla wyrachowany charakter żądania okupu. Ma na celu poprowadzenie ofiar przez cały proces, jednocześnie zniechęcając je do podejmowania jakichkolwiek działań, które mogłyby zagrozić możliwościom skutecznego odszyfrowania.

Ofiary oprogramowania ransomware Ebaka otrzymują następujące żądania okupu:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'