Ebaka Ransomware se basa en el código Phobos

Durante el examen de muestras de malware recientes, nuestro equipo de investigación encontró el ransomware Ebaka, que es miembro de la familia de ransomware Phobos. Ebaka ha sido diseñado para cifrar archivos y exige un pago a cambio de descifrarlos.

En nuestro sistema de prueba, este software malicioso alteró archivos mediante cifrado, modificando sus nombres. Los títulos originales se ampliaban con una identificación distintiva asignada a la víctima, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".ebaka". Por ejemplo, un archivo originalmente llamado "1.jpg" se transformó en "1.jpg.id[1E857D00-3323].[datadownloader@proton.me].ebaka".

Al completar este proceso, Ebaka generó notas de rescate y las colocó en el escritorio y en todos los directorios cifrados. Una nota aparecía como una ventana emergente ("info.hta"), mientras que la otra era un archivo de texto ("info.txt"). El archivo de texto transmite el mensaje de que los archivos de la víctima han sido cifrados y la insta a ponerse en contacto con los atacantes para descifrarlos.

El contenido de la nota de rescate que se muestra en la ventana emergente proporciona detalles adicionales sobre la infección, especificando que el descifrado requiere el pago de un rescate en criptomoneda Bitcoin. Supuestamente, el importe del pago depende de la rapidez con la que la víctima establezca contacto con los ciberdelincuentes.

Antes de cumplir con las demandas de rescate, la víctima tiene la opción de probar el descifrado enviando a los atacantes hasta cinco archivos cifrados, sujeto a ciertas limitaciones. El mensaje también advierte contra la modificación de los archivos bloqueados o el uso de herramientas de descifrado de terceros, ya que tales acciones pueden provocar una pérdida permanente de datos. Además, se advierte a la víctima que buscar ayuda de terceros podría aumentar las pérdidas financieras.

Nota de rescate de Ebaka en su totalidad

El texto completo de la nota de rescate de Ebaka dice lo siguiente:

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Descifrado gratuito como garantía
Antes de pagar, puede enviarnos hasta 5 archivos para descifrarlos de forma gratuita. El tamaño total de los archivos debe ser inferior a 4 Mb (no archivados) y los archivos no deben contener información valiosa. (bases de datos, copias de seguridad, hojas de Excel grandes, etc.)

Cómo obtener Bitcoins
La forma más sencilla de comprar bitcoins es el sitio LocalBitcoins. Tienes que registrarte, hacer clic en 'Comprar bitcoins' y seleccionar el vendedor por método de pago y precio.
hxxps://localbitcoins.com/buy_bitcoins
También puedes encontrar otros lugares para comprar Bitcoins y una guía para principiantes aquí:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

¡Atención!
No cambie el nombre de los archivos cifrados.
No intente descifrar sus datos utilizando software de terceros, ya que puede provocar una pérdida permanente de datos.
El descifrado de sus archivos con la ayuda de terceros puede provocar un aumento del precio (ellos añaden su tarifa a la nuestra) o puede convertirse en víctima de una estafa.

¿Cómo puede el ransomware infectar su computadora?

El ransomware puede infectar su computadora a través de varios medios y los atacantes a menudo usan tácticas de ingeniería social para engañar a los usuarios para que descarguen o ejecuten código malicioso. A continuación se muestran algunos métodos comunes mediante los cuales el ransomware puede infectar una computadora:

Correos electrónicos de phishing:
Archivos adjuntos de correo electrónico: los ciberdelincuentes suelen enviar correos electrónicos de phishing con archivos adjuntos maliciosos, como documentos de Word o archivos PDF infectados. Cuando el usuario abre el archivo adjunto, se ejecuta el ransomware.
Enlaces maliciosos: los correos electrónicos de phishing pueden contener enlaces a sitios web falsos que albergan ransomware. Al hacer clic en estos enlaces se puede activar la descarga e instalación del ransomware en su computadora.

Páginas web maliciosas:
Visitar sitios web comprometidos o maliciosos puede exponer su computadora a descargas no autorizadas, donde el malware, incluido el ransomware, se descarga y ejecuta automáticamente sin su conocimiento.

Publicidad maliciosa:
Los ciberdelincuentes pueden comprometer redes legítimas de publicidad en línea y colocar anuncios maliciosos (publicidad maliciosa) en sitios web. Hacer clic en estos anuncios puede provocar la descarga de ransomware.

Kits de explotación:
Los kits de explotación son conjuntos de herramientas maliciosos que aprovechan las vulnerabilidades del software o de los navegadores. Si su sistema no está actualizado con los últimos parches de seguridad, un kit de explotación puede aprovechar estas vulnerabilidades para entregar ransomware.

Ataques de protocolo de escritorio remoto (RDP):
Los atacantes pueden intentar obtener acceso no autorizado a su computadora explotando contraseñas débiles o predeterminadas en el Protocolo de escritorio remoto. Una vez dentro, pueden implementar ransomware.