Το Ebaka Ransomware βασίζεται στον κώδικα Phobos

Κατά την εξέταση πρόσφατων δειγμάτων κακόβουλου λογισμικού, η ερευνητική μας ομάδα συνάντησε το ransomware Ebaka, το οποίο είναι μέλος της οικογένειας ransomware Phobos. Το Ebaka έχει σχεδιαστεί για να κρυπτογραφεί αρχεία και απαιτεί πληρωμή με αντάλλαγμα την αποκρυπτογράφηση τους.

Στο δοκιμαστικό μας σύστημα, αυτό το κακόβουλο λογισμικό άλλαξε τα αρχεία μέσω κρυπτογράφησης, τροποποιώντας τα ονόματα των αρχείων τους. Οι αρχικοί τίτλοι επεκτάθηκαν με μια διακριτική ταυτότητα που εκχωρήθηκε στο θύμα, τη διεύθυνση ηλεκτρονικού ταχυδρομείου των εγκληματιών στον κυβερνοχώρο και μια επέκταση ".ebaka". Για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν "1.jpg" μετατράπηκε σε "1.jpg.id[1E857D00-3323].[datadownloader@proton.me].ebaka".

Με την ολοκλήρωση αυτής της διαδικασίας, ο Ebaka δημιούργησε σημειώσεις λύτρων και τις τοποθέτησε στην επιφάνεια εργασίας και σε όλους τους κρυπτογραφημένους καταλόγους. Η μία σημείωση εμφανίστηκε ως αναδυόμενο παράθυρο ("info.hta"), ενώ η άλλη ήταν ένα αρχείο κειμένου ("info.txt"). Το αρχείο κειμένου μεταφέρει το μήνυμα ότι τα αρχεία του θύματος έχουν κρυπτογραφηθεί και το προτρέπει να επικοινωνήσει με τους εισβολείς για αποκρυπτογράφηση.

Τα περιεχόμενα του σημειώματος λύτρων που εμφανίζεται στο αναδυόμενο παράθυρο παρέχουν πρόσθετες λεπτομέρειες σχετικά με τη μόλυνση, διευκρινίζοντας ότι η αποκρυπτογράφηση απαιτεί την πληρωμή λύτρων σε κρυπτονόμισμα Bitcoin. Σύμφωνα με τους ισχυρισμούς, το ποσό πληρωμής εξαρτάται από το πόσο γρήγορα το θύμα έρχεται σε επαφή με τους εγκληματίες του κυβερνοχώρου.

Πριν συμμορφωθεί με τις απαιτήσεις για λύτρα, το θύμα έχει την επιλογή να δοκιμάσει την αποκρυπτογράφηση στέλνοντας στους εισβολείς έως και πέντε κρυπτογραφημένα αρχεία, με την επιφύλαξη ορισμένων περιορισμών. Το μήνυμα προειδοποιεί επίσης για την τροποποίηση των κλειδωμένων αρχείων ή τη χρήση εργαλείων αποκρυπτογράφησης τρίτων, καθώς τέτοιες ενέργειες μπορεί να οδηγήσουν σε μόνιμη απώλεια δεδομένων. Επιπλέον, το θύμα προειδοποιείται ότι η αναζήτηση βοήθειας από τρίτους θα μπορούσε να κλιμακώσει τις οικονομικές απώλειες.

Ολόκληρο το σημείωμα Ebaka Ransom

Το πλήρες κείμενο του σημειώματος για τα λύτρα Ebaka έχει ως εξής:

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Δωρεάν αποκρυπτογράφηση ως εγγύηση
Πριν πληρώσετε μπορείτε να μας στείλετε έως και 5 αρχεία για δωρεάν αποκρυπτογράφηση. Το συνολικό μέγεθος των αρχείων πρέπει να είναι μικρότερο από 4 Mb (μη αρχειοθετημένο) και τα αρχεία δεν πρέπει να περιέχουν πολύτιμες πληροφορίες. (βάσεις δεδομένων, αντίγραφα ασφαλείας, μεγάλα φύλλα excel κ.λπ.)

Πώς να αποκτήσετε Bitcoins
Ο ευκολότερος τρόπος για να αγοράσετε bitcoin είναι ο ιστότοπος LocalBitcoins. Πρέπει να εγγραφείτε, να κάνετε κλικ στο «Αγοράστε bitcoins» και να επιλέξετε τον πωλητή κατά τρόπο πληρωμής και τιμή.
hxxps://localbitcoins.com/buy_bitcoins
Επίσης, μπορείτε να βρείτε άλλα μέρη για να αγοράσετε Bitcoins και οδηγό για αρχάριους εδώ:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Προσοχή!
Μην μετονομάζετε κρυπτογραφημένα αρχεία.
Μην προσπαθήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων.
Η αποκρυπτογράφηση των αρχείων σας με τη βοήθεια τρίτων μπορεί να προκαλέσει αυξημένη τιμή (προσθέτουν την αμοιβή τους στο δικό μας) ή να γίνετε θύμα απάτης.

Πώς μπορεί το Ransomware να μολύνει τον υπολογιστή σας;

Το Ransomware μπορεί να μολύνει τον υπολογιστή σας με διάφορα μέσα και οι εισβολείς χρησιμοποιούν συχνά τακτικές κοινωνικής μηχανικής για να εξαπατήσουν τους χρήστες να κατεβάσουν ή να εκτελέσουν κακόβουλο κώδικα. Ακολουθούν ορισμένες κοινές μέθοδοι με τις οποίες το ransomware μπορεί να μολύνει έναν υπολογιστή:

Email ηλεκτρονικού ψαρέματος:
Συνημμένα email: Οι εγκληματίες του κυβερνοχώρου συχνά στέλνουν μηνύματα ηλεκτρονικού ψαρέματος με κακόβουλα συνημμένα, όπως μολυσμένα έγγραφα Word ή αρχεία PDF. Όταν ο χρήστης ανοίγει το συνημμένο, το ransomware εκτελείται.
Κακόβουλοι σύνδεσμοι: Τα μηνύματα ηλεκτρονικού ψαρέματος ενδέχεται να περιέχουν συνδέσμους προς ψεύτικους ιστότοπους που φιλοξενούν ransomware. Κάνοντας κλικ σε αυτούς τους συνδέσμους μπορεί να ενεργοποιηθεί η λήψη και η εγκατάσταση του ransomware στον υπολογιστή σας.

Κακόβουλοι ιστότοποι:
Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστοτόπους μπορεί να εκθέσει τον υπολογιστή σας σε λήψεις οδηγών, όπου το κακόβουλο λογισμικό, συμπεριλαμβανομένου του ransomware, γίνεται αυτόματα λήψη και εκτέλεση χωρίς να το γνωρίζετε.

Κακή διαφήμιση:
Οι εγκληματίες του κυβερνοχώρου ενδέχεται να θέτουν σε κίνδυνο τα νόμιμα διαδικτυακά διαφημιστικά δίκτυα και να τοποθετούν κακόβουλες διαφημίσεις (κακόδιαφημίσεις) σε ιστότοπους. Κάνοντας κλικ σε αυτές τις διαφημίσεις μπορεί να οδηγήσει στη λήψη ransomware.

Κιτ εκμετάλλευσης:
Τα κιτ εκμετάλλευσης είναι κακόβουλα κιτ εργαλείων που εκμεταλλεύονται ευπάθειες σε λογισμικό ή προγράμματα περιήγησης. Εάν το σύστημά σας δεν είναι ενημερωμένο με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας, ένα κιτ εκμετάλλευσης μπορεί να εκμεταλλευτεί αυτά τα τρωτά σημεία για την παροχή ransomware.

Επιθέσεις Remote Desktop Protocol (RDP):
Οι εισβολείς ενδέχεται να επιχειρήσουν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στον υπολογιστή σας εκμεταλλευόμενοι αδύναμους ή προεπιλεγμένους κωδικούς πρόσβασης στο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας. Μόλις μπουν μέσα, μπορούν να αναπτύξουν ransomware.