Ebaka Ransomware basiert auf Phobos-Code
Bei der Untersuchung aktueller Malware-Samples stieß unser Forschungsteam auf die Ransomware Ebaka, die zur Phobos-Ransomware-Familie gehört. Ebaka wurde entwickelt, um Dateien zu verschlüsseln und verlangt für deren Entschlüsselung eine Zahlung.
Auf unserem Testsystem hat diese Schadsoftware Dateien durch Verschlüsselung verändert und deren Dateinamen geändert. Die ursprünglichen Titel wurden um eine eindeutige, dem Opfer zugewiesene ID, die E-Mail-Adresse der Cyberkriminellen und die Erweiterung „.ebaka“ erweitert. Beispielsweise wurde eine Datei mit dem ursprünglichen Namen „1.jpg“ in „1.jpg.id[1E857D00-3323].[datadownloader@proton.me].ebaka“ umgewandelt.
Nach Abschluss dieses Vorgangs erstellte Ebaka Lösegeldscheine und platzierte sie auf dem Desktop und in allen verschlüsselten Verzeichnissen. Eine Notiz erschien als Popup-Fenster („info.hta“), während die andere eine Textdatei („info.txt“) war. Die Textdatei übermittelt die Nachricht, dass die Dateien des Opfers verschlüsselt wurden, und fordert es auf, sich zur Entschlüsselung an die Angreifer zu wenden.
Der Inhalt des Lösegeldscheins, der im Popup-Fenster angezeigt wird, enthält zusätzliche Details zur Infektion und gibt an, dass für die Entschlüsselung die Zahlung eines Lösegelds in der Kryptowährung Bitcoin erforderlich ist. Angeblich hängt die Höhe der Zahlung davon ab, wie schnell das Opfer Kontakt zu den Cyberkriminellen aufnimmt.
Bevor der Lösegeldforderung nachgekommen wird, hat das Opfer die Möglichkeit, die Entschlüsselung zu testen, indem es den Angreifern unter bestimmten Einschränkungen bis zu fünf verschlüsselte Dateien sendet. Die Nachricht warnt außerdem davor, die gesperrten Dateien zu ändern oder Entschlüsselungstools von Drittanbietern zu verwenden, da solche Aktionen zu dauerhaftem Datenverlust führen können. Darüber hinaus wird das Opfer gewarnt, dass die Inanspruchnahme der Hilfe Dritter den finanziellen Schaden verschärfen könnte.
Ebaka-Lösegeldschein in voller Länge
Der vollständige Text der Ebaka-Lösegeldforderung lautet wie folgt:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Kostenlose Entschlüsselung als Garantie
Vor der Zahlung können Sie uns bis zu 5 Dateien zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 4 MB betragen (nicht archiviert) und die Dateien dürfen keine wertvollen Informationen enthalten. (Datenbanken, Backups, große Excel-Tabellen usw.)So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die Website LocalBitcoins. Sie müssen sich registrieren, auf „Bitcoins kaufen“ klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
hxxps://localbitcoins.com/buy_bitcoins
Weitere Orte zum Kauf von Bitcoins und einen Leitfaden für Anfänger finden Sie hier:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Aufmerksamkeit!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe Dritter kann zu höheren Kosten führen (sie berechnen ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden.
Wie kann Ransomware Ihren Computer infizieren?
Ransomware kann Ihren Computer auf verschiedene Weise infizieren, und Angreifer nutzen häufig Social-Engineering-Taktiken, um Benutzer zum Herunterladen oder Ausführen von Schadcode zu verleiten. Hier sind einige gängige Methoden, mit denen Ransomware einen Computer infizieren kann:
Phishing-E-Mails:
E-Mail-Anhänge: Cyberkriminelle versenden häufig Phishing-E-Mails mit bösartigen Anhängen, beispielsweise infizierten Word-Dokumenten oder PDF-Dateien. Wenn der Benutzer den Anhang öffnet, wird die Ransomware ausgeführt.
Schädliche Links: Phishing-E-Mails können Links zu gefälschten Websites enthalten, auf denen Ransomware gehostet wird. Durch Klicken auf diese Links kann der Download und die Installation der Ransomware auf Ihrem Computer ausgelöst werden.
Bösartige Webseiten:
Der Besuch kompromittierter oder bösartiger Websites kann Ihren Computer Drive-by-Downloads aussetzen, bei denen Malware, einschließlich Ransomware, ohne Ihr Wissen automatisch heruntergeladen und ausgeführt wird.
Malvertising:
Cyberkriminelle können legitime Online-Werbenetzwerke kompromittieren und bösartige Werbung (Malvertisement) auf Websites platzieren. Das Klicken auf diese Anzeigen kann zum Herunterladen von Ransomware führen.
Exploit-Kits:
Exploit-Kits sind bösartige Toolkits, die Schwachstellen in Software oder Browsern ausnutzen. Wenn Ihr System nicht über die neuesten Sicherheitspatches verfügt, kann ein Exploit-Kit diese Schwachstellen ausnutzen, um Ransomware zu verbreiten.
RDP-Angriffe (Remote Desktop Protocol):
Angreifer können versuchen, sich unbefugten Zugriff auf Ihren Computer zu verschaffen, indem sie schwache oder Standardkennwörter des Remotedesktopprotokolls ausnutzen. Sobald sie drinnen sind, können sie Ransomware einsetzen.
