Ebaka勒索软件
安全研究人员已将 Ebaka 识别为勒索软件威胁,其设计的明确目的是对受感染设备上的文件进行加密,然后要求为其解密支付赎金。一旦 Ebaka 恶意软件被激活,它就会通过加密启动文件锁定过程,并在此过程中更改文件名。原始名称使用唯一的受害者 ID、网络犯罪分子的电子邮件地址和“.ebaka”扩展名进行扩展。例如,最初名为“1.png”的文件将经过加密并显示为“1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka”。
加密过程完成后,Ebaka 会生成勒索字条,这些字条会存放在桌面上以及包含锁定数据的所有目录中。其中一份勒索字条显示在弹出窗口中(“info.hta”),而另一条勒索字条则采用文本文件的形式(“info.txt”)。值得注意的是,研究分析将 Ebaka 勒索软件与著名的Phobos 勒索软件家族联系起来。
Ebaka 勒索软件成功感染后可能造成巨大损失
属于 Phobos 勒索软件系列的威胁程序(例如 Ebaka 勒索软件)具有先进的加密功能,可对本地和网络共享文件进行加密。这些程序采用复杂的方法,通过终止与打开的文件相关的进程来防止它们被视为“正在使用”并随后免除加密过程。这种缜密的策略确保了对目标数据产生更全面的影响。
值得注意的是,Ebaka 勒索软件操作不会损害关键系统文件,从而最大限度地降低系统不稳定的风险。此外,我们还刻意避免双重加密,从而保护已经受到其他勒索软件变体影响的数据。此过程遵循预定义的列表,尽管它不包含所有现有的数据加密程序。
为了阻止恢复,Ebaka 勒索软件删除了卷影副本,从而消除了恢复加密文件的一种潜在方法。该恶意软件采用各种持久性确保技术,包括自我复制到%LOCALAPPDATA%路径以及使用特定运行键注册,确保系统重启后自动启动。
此外,Ebaka 攻击可能表现出地理锁定特征。这些程序收集地理位置数据,并可能根据某些地区的经济状况(可能是无法支付赎金的受害者的家园)、地缘政治考虑或其他标准等因素来停止感染。
根据研究勒索软件感染的丰富经验,很明显,在没有攻击者直接参与的情况下解密的情况很少见。例外仅限于涉及存在严重缺陷的勒索软件类型程序的情况,强调了从此类复杂的网络威胁中恢复数据所面临的总体挑战和复杂性。
Ebaka 勒索软件勒索受害者金钱
Ebaka 的勒索信内容以文本文件形式呈现,明确向受害者传达了他们的文件已被加密的信息。该消息强烈鼓励受害者与攻击者联系以促进解密过程。此外,弹出窗口中显示的赎金说明提供了有关感染的更多详细信息,指定解密取决于以比特币加密货币支付赎金。值得注意的是,据称赎金金额受到受害者与网络犯罪分子建立联系的速度的影响。
有趣的是,据称在遵守赎金要求之前,受害者可以选择测试解密过程。他们最多可以提交五个加密文件进行测试,但受到某些限制。这一特殊的规定似乎让我们得以一睹解密过程,可能是为了向受害者灌输信任感或紧迫感的一种策略。
网络犯罪分子警告受害者不要尝试修改锁定的文件或使用第三方解密工具,并强调永久数据丢失的风险。此外,受害者还应注意向第三方寻求援助可能造成的财务后果,这表明此类行为可能会增加解决过程中产生的总体财务损失。这套详细的说明和警告强调了赎金要求的计算性质。它的目的是指导受害者完成整个过程,同时劝阻他们采取任何可能损害成功解密潜力的行动。
Ebaka 勒索软件的受害者会收到以下赎金要求:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files generated by Ebaka Ransomware contain the following message:
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'
