Ebaka勒索軟體
安全研究人員已將 Ebaka 識別為勒索軟體威脅,其設計的明確目的是對受感染設備上的文件進行加密,然後要求為其解密支付贖金。一旦 Ebaka 惡意軟體被激活,它就會透過加密啟動檔案鎖定過程,並在此過程中更改檔案名稱。原始名稱使用唯一的受害者 ID、網路犯罪分子的電子郵件地址和“.ebaka”擴展名進行擴展。例如,最初名為「1.png」的檔案將經過加密並顯示為「1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka」。
加密過程完成後,Ebaka 會產生勒索字條,這些字條會存放在桌面上以及包含鎖定資料的所有目錄中。其中一份勒索字條顯示在彈出視窗中(「info.hta」),而另一則勒索字條則採用文字檔案的形式(「info.txt」)。值得注意的是,研究分析將 Ebaka 勒索軟體與著名的Phobos 勒索軟體家族聯繫起來。
Ebaka 勒索軟體成功感染後可能造成巨大損失
屬於 Phobos 勒索軟體系列的威脅程式(例如 Ebaka 勒索軟體)具有先進的加密功能,可對本機和網路共用檔案進行加密。這些程序採用複雜的方法,透過終止與開啟的檔案相關的進程來防止它們被視為「正在使用」並隨後免除加密過程。這種縝密的策略確保了對目標數據產生更全面的影響。
值得注意的是,Ebaka 勒索軟體操作不會損害關鍵系統文件,從而最大限度地降低系統不穩定的風險。此外,我們也刻意避免雙重加密,從而保護已經受到其他勒索軟體變體影響的資料。此過程遵循預先定義的列表,儘管它不包含所有現有的資料加密程序。
為了阻止恢復,Ebaka 勒索軟體刪除了卷影副本,從而消除了恢復加密檔案的一種潛在方法。該惡意軟體採用各種持久性確保技術,包括自我複製到%LOCALAPPDATA%路徑以及使用特定運行鍵註冊,確保系統重新啟動後自動啟動。
此外,Ebaka 攻擊可能表現出地理鎖定特徵。這些程序收集地理位置數據,並可能根據某些地區的經濟狀況(可能是無法支付贖金的受害者的家園)、地緣政治考慮或其他標準等因素來停止感染。
根據研究勒索軟體感染的豐富經驗,很明顯,在沒有攻擊者直接參與的情況下解密的情況很少見。例外僅限於涉及存在嚴重缺陷的勒索軟體類型程式的情況,強調了從此類複雜的網路威脅中恢復資料所面臨的整體挑戰和複雜性。
Ebaka 勒索軟體勒索受害者金錢
Ebaka 的勒索信內容以文字文件形式呈現,明確向受害者傳達了他們的文件已加密的訊息。該訊息強烈鼓勵受害者與攻擊者聯繫以促進解密過程。此外,彈出視窗中顯示的贖金說明提供了有關感染的更多詳細信息,指定解密取決於以比特幣加密貨幣支付贖金。值得注意的是,據稱贖金金額受到受害者與網路犯罪分子建立聯繫的速度的影響。
有趣的是,據稱在遵守贖金要求之前,受害者可以選擇測試解密過程。他們最多可以提交五個加密檔案進行測試,但受到某些限制。這項特殊的規定似乎讓我們得以一窺解密過程,可能是一種向受害者灌輸信任感或緊迫感的策略。
網路犯罪分子警告受害者不要嘗試修改鎖定的檔案或使用第三方解密工具,並強調永久資料遺失的風險。此外,受害者還應注意向第三方尋求援助可能造成的財務後果,這表明此類行為可能會增加解決過程中產生的整體財務損失。這套詳細的說明和警告強調了贖金要求的計算性質。它的目的是指導受害者完成整個過程,同時勸阻他們採取任何可能損害成功解密潛力的行動。
Ebaka 勒索軟體的受害者會收到以下贖金要求:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files generated by Ebaka Ransomware contain the following message:
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'
