Ebaka Ransomware

Säkerhetsforskare har identifierat Ebaka som ett ransomware-hot, designat med det uttryckliga syftet att kryptera filer på komprometterade enheter och därefter kräva lösensumma för deras dekryptering. När skadlig programvara Ebaka har aktiverats, initierar den en fillåsningsprocess genom kryptering, vilket ändrar filnamn i processen. De ursprungliga namnen utökas med ett unikt offer-ID, e-postadressen till cyberbrottslingarna och en .ebaka-tillägg. Till exempel kommer en fil som ursprungligen heter '1.png' att genomgå kryptering och visas som '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Efter slutförandet av krypteringsprocessen genererar Ebaka lösensedlar som deponeras på skrivbordet och i alla kataloger som innehåller låsta data. En av lösensedlarna presenteras i ett popup-fönster ('info.hta'), medan en annan har formen av en textfil ('info.txt'). Speciellt har forskningsanalys kopplat Ebaka Ransomware till den välkända Phobos Ransomware- familjen.

Ebaka Ransomware kan orsaka enorm skada vid framgångsrik infektion

Hotande program som är anslutna till Phobos Ransomware-familjen, såsom Ebaka Ransomware, uppvisar avancerade krypteringsmöjligheter som krypterar både lokala och nätverksdelade filer. Dessa program tar ett sofistikerat tillvägagångssätt genom att avsluta processer som är associerade med öppnade filer för att förhindra att de anses "använda" och därefter undantas från krypteringsprocessen. Denna noggranna strategi säkerställer en mer omfattande inverkan på riktad data.

Det är anmärkningsvärt att Ebaka Ransomware-operationer avstår från att äventyra kritiska systemfiler, vilket minimerar risken för systeminstabilitet. Dessutom görs en medveten ansträngning för att undvika dubbel kryptering, vilket sparar data som redan påverkats av andra ransomware-varianter. Denna process följer en fördefinierad lista, även om den inte omfattar alla befintliga datakrypteringsprogram.

I ett försök att hindra återställning tar Ebaka Ransomware bort Shadow Volume Copies, vilket eliminerar en potentiell metod för att återställa krypterade filer. Skadlig programvara använder olika beständighetssäkra tekniker, inklusive självreplikering till %LOCALAPPDATA%-sökvägen och registrering med specifika Run-nycklar, vilket säkerställer automatisk initiering efter omstart av systemet.

Dessutom kan Ebaka-attacker uppvisa geo-låsningsegenskaper. Dessa program samlar in geolokaliseringsdata och kan avbryta infektion baserat på faktorer som ekonomiska förhållanden i vissa regioner (potentiellt hem för offer som inte kan betala lösen), geopolitiska överväganden eller andra kriterier.

Med hjälp av lång erfarenhet av att undersöka ransomware-infektioner, blir det uppenbart att dekryptering utan direkt inblandning av angripare är en sällsynt företeelse. Undantag är begränsade till fall som involverar allvarligt felaktiga program av ransomware-typ, vilket betonar de övergripande utmaningarna och komplexiteten som är förknippade med att återställa data från sådana sofistikerade cyberhot.

Ebaka Ransomware pressar offer på pengar

Innehållet i Ebakas lösennota, som presenteras i en textfil, kommunicerar uttryckligen till offren att deras filer har krypterats. Meddelandet uppmuntrar starkt offren att ta kontakt med angriparna för att underlätta dekrypteringsprocessen. Dessutom ger lösensumman som visas i ett popup-fönster ytterligare information om infektionen, och specificerar att dekryptering är beroende av betalningen av en lösen i Bitcoin kryptovaluta. Noterbart är att lösensumman påstås påverkas av hur snabbt offret etablerar kommunikation med cyberbrottslingar.

Intressant nog, innan de uppfyller kraven på lösen, påstås offren ha möjlighet att testa dekrypteringsprocessen. De kan skicka in upp till fem krypterade filer för testning, med vissa begränsningar. Denna speciella bestämmelse verkar ge en glimt av dekrypteringsprocessen, möjligen som en taktik för att ingjuta en känsla av tillit eller brådska hos offret.

De cyberbrottslingar varnar offren för alla försök att modifiera de låsta filerna eller använda tredjeparts dekrypteringsverktyg, och betonar risken för permanent dataförlust. Dessutom uppmärksammas offren på de potentiella ekonomiska konsekvenserna av att söka hjälp från tredje part, vilket tyder på att sådana åtgärder kan öka den totala ekonomiska förlusten som uppstår under lösningsprocessen. Denna detaljerade uppsättning instruktioner och varningar understryker lösensummans beräknade karaktär. Det syftar till att vägleda offer genom processen samtidigt som de avråder dem från att vidta åtgärder som kan äventyra potentialen för framgångsrik dekryptering.

Offer för Ebaka Ransomware presenteras med följande krav på lösen:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'