De Ebaka-ransomware is gebaseerd op Phobos-code

Tijdens het onderzoek van recente malwaremonsters kwam ons onderzoeksteam de Ebaka-ransomware tegen, die lid is van de Phobos-ransomwarefamilie. Ebaka is ontworpen om bestanden te versleutelen en eist betaling in ruil voor de ontsleuteling ervan.

Op ons testsysteem veranderde deze kwaadaardige software bestanden door middel van encryptie, waardoor hun bestandsnamen werden gewijzigd. De oorspronkelijke titels werden uitgebreid met een onderscheidende ID toegewezen aan het slachtoffer, het e-mailadres van de cybercriminelen en een ".ebaka" -extensie. Een bestand dat oorspronkelijk "1.jpg" heette, werd bijvoorbeeld omgezet in "1.jpg.id[1E857D00-3323].[datadownloader@proton.me].ebaka".

Na voltooiing van dit proces genereerde Ebaka losgeldbriefjes en plaatste deze op het bureaublad en in alle gecodeerde mappen. Eén notitie verscheen als een pop-upvenster ("info.hta"), terwijl de andere een tekstbestand was ("info.txt"). Het tekstbestand brengt de boodschap over dat de bestanden van het slachtoffer zijn gecodeerd en spoort hen aan contact op te nemen met de aanvallers voor decodering.

De inhoud van de losgeldbrief die in het pop-upvenster wordt weergegeven, geeft aanvullende details over de infectie, waarbij wordt gespecificeerd dat voor decodering de betaling van een losgeld in Bitcoin-cryptocurrency vereist is. Naar verluidt hangt het uit te betalen bedrag af van hoe snel het slachtoffer contact legt met de cybercriminelen.

Voordat het slachtoffer aan de losgeldeisen voldoet, heeft het de mogelijkheid om de decodering te testen door de aanvallers maximaal vijf gecodeerde bestanden te sturen, met inachtneming van bepaalde beperkingen. Het bericht waarschuwt ook tegen het wijzigen van de vergrendelde bestanden of het gebruik van decoderingstools van derden, omdat dergelijke acties kunnen resulteren in permanent gegevensverlies. Bovendien wordt het slachtoffer gewaarschuwd dat het zoeken naar hulp van derden de financiële verliezen kan doen escaleren.

Ebaka losgeldbrief volledig

De volledige tekst van het losgeldbriefje van Ebaka luidt als volgt:

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Gratis decodering als garantie
Voordat u betaalt, kunt u ons maximaal 5 bestanden gratis laten decoderen. De totale grootte van de bestanden moet kleiner zijn dan 4 MB (niet gearchiveerd) en bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel-sheets, etc.)

Hoe Bitcoins te verkrijgen
De eenvoudigste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, op 'Bitcoins kopen' klikken en de verkoper selecteren op betaalmethode en prijs.
hxxps://localbitcoins.com/buy_bitcoins
Hier kunt u ook andere plaatsen vinden om Bitcoins en een beginnershandleiding te kopen:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Aandacht!
Hernoem versleutelde bestanden niet.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot hogere kosten (zij voegen hun kosten toe aan die van ons) of u kunt het slachtoffer worden van oplichting.

Hoe kan ransomware uw computer infecteren?

Ransomware kan uw computer op verschillende manieren infecteren, en aanvallers gebruiken vaak social engineering-tactieken om gebruikers te misleiden zodat ze kwaadaardige code downloaden of uitvoeren. Hier volgen enkele veelgebruikte methoden waarmee ransomware een computer kan infecteren:

Phishing-e-mails:
E-mailbijlagen: Cybercriminelen sturen vaak phishing-e-mails met kwaadaardige bijlagen, zoals geïnfecteerde Word-documenten of PDF-bestanden. Wanneer de gebruiker de bijlage opent, wordt de ransomware uitgevoerd.
Schadelijke links: Phishing-e-mails kunnen links bevatten naar nepwebsites die ransomware hosten. Als u op deze links klikt, kan het downloaden en installeren van de ransomware op uw computer worden geactiveerd.

Kwaadwillige websites:
Als u gecompromitteerde of kwaadaardige websites bezoekt, kan uw computer worden blootgesteld aan drive-by downloads, waarbij malware, waaronder ransomware, automatisch wordt gedownload en uitgevoerd zonder dat u het weet.

Malvertising:
Cybercriminelen kunnen legitieme online advertentienetwerken compromitteren en kwaadaardige advertenties (malvertisements) op websites plaatsen. Als u op deze advertenties klikt, kan dit leiden tot het downloaden van ransomware.

Exploitkits:
Exploitkits zijn kwaadaardige toolkits die misbruik maken van kwetsbaarheden in software of browsers. Als uw systeem niet up-to-date is met de nieuwste beveiligingspatches, kan een exploitkit deze kwetsbaarheden misbruiken om ransomware te verspreiden.

Remote Desktop Protocol (RDP)-aanvallen:
Aanvallers kunnen proberen ongeautoriseerde toegang tot uw computer te krijgen door zwakke of standaardwachtwoorden op Remote Desktop Protocol te misbruiken. Eenmaal binnen kunnen ze ransomware inzetten.