Ransomware Ebaka opiera się na kodzie Phobos

ransomware lock files

Podczas badania ostatnich próbek złośliwego oprogramowania nasz zespół badawczy natknął się na oprogramowanie ransomware Ebaka, które należy do rodziny ransomware Phobos. Ebaka została zaprojektowana do szyfrowania plików i żąda zapłaty w zamian za ich odszyfrowanie.

W naszym systemie testowym to złośliwe oprogramowanie zmieniało pliki poprzez szyfrowanie, modyfikując ich nazwy plików. Oryginalne tytuły zostały rozszerzone o charakterystyczny identyfikator przypisany ofierze, adres e-mail cyberprzestępców oraz rozszerzenie „.ebaka”. Na przykład plik pierwotnie nazwany „1.jpg” został przekształcony w „1.jpg.id[1E857D00-3323].[datadownloader@proton.me].ebaka”.

Po zakończeniu tego procesu Ebaka wygenerował notatki z żądaniem okupu i umieścił je na pulpicie oraz we wszystkich zaszyfrowanych katalogach. Jedna notatka pojawiła się jako wyskakujące okienko („info.hta”), a druga jako plik tekstowy („info.txt”). Plik tekstowy zawiera wiadomość, że pliki ofiary zostały zaszyfrowane i nawołuje ją do skontaktowania się z atakującymi w celu ich odszyfrowania.

Treść żądania okupu pokazana w wyskakującym oknie zawiera dodatkowe szczegóły dotyczące infekcji, precyzując, że odszyfrowanie wymaga zapłaty okupu w kryptowalucie Bitcoin. Podobno kwota płatności zależy od tego, jak szybko ofiara nawiązuje kontakt z cyberprzestępcami.

Przed spełnieniem żądania okupu ofiara ma możliwość przetestowania odszyfrowania, wysyłając atakującemu do pięciu zaszyfrowanych plików, z zastrzeżeniem pewnych ograniczeń. Komunikat ostrzega również przed modyfikowaniem zablokowanych plików lub używaniem narzędzi deszyfrujących innych firm, ponieważ takie działania mogą skutkować trwałą utratą danych. Dodatkowo ofiara jest ostrzegana, że zwrócenie się o pomoc do osób trzecich może spowodować eskalację strat finansowych.

Pełna treść listu z żądaniem okupu Ebaki

Pełny tekst żądania okupu Ebaki brzmi następująco:

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Bezpłatne odszyfrowanie jako gwarancja
Przed dokonaniem płatności możesz przesłać nam do 5 plików do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 4 MB (nie zarchiwizowane), a pliki nie powinny zawierać cennych informacji. (bazy danych, kopie zapasowe, duże arkusze Excel itp.)

Jak zdobyć Bitcoiny
Najłatwiejszym sposobem zakupu bitcoinów jest strona LocalBitcoins. Musisz się zarejestrować, kliknąć „Kup bitcoiny” i wybrać sprzedawcę według metody płatności i ceny.
hxxps://localbitcoins.com/buy_bitcoins
Możesz także znaleźć inne miejsca do zakupu Bitcoinów i przewodnik dla początkujących tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać swoich danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny (doliczają one swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

W jaki sposób oprogramowanie ransomware może zainfekować Twój komputer?

Oprogramowanie ransomware może zainfekować komputer na różne sposoby, a napastnicy często stosują taktykę socjotechniki, aby nakłonić użytkowników do pobrania lub wykonania złośliwego kodu. Oto kilka typowych metod infekcji komputera przez oprogramowanie ransomware:

E-maile phishingowe:
 Załączniki do wiadomości e-mail: Cyberprzestępcy często wysyłają wiadomości e-mail typu phishing ze złośliwymi załącznikami, takimi jak zainfekowane dokumenty Word lub pliki PDF. Gdy użytkownik otworzy załącznik, oprogramowanie ransomware zostanie wykonane.
Złośliwe linki: e-maile phishingowe mogą zawierać łącza do fałszywych witryn zawierających oprogramowanie ransomware. Kliknięcie tych linków może spowodować pobranie i instalację oprogramowania ransomware na Twoim komputerze.

Złośliwe strony internetowe:
 Odwiedzanie zainfekowanych lub złośliwych witryn internetowych może narazić Twój komputer na pobieranie typu „drive-by”, podczas którego złośliwe oprogramowanie, w tym oprogramowanie ransomware, jest automatycznie pobierane i uruchamiane bez Twojej wiedzy.

Złośliwe reklamy:
 Cyberprzestępcy mogą naruszać legalne sieci reklamowe online i umieszczać złośliwe reklamy (złośliwe reklamy) na stronach internetowych. Kliknięcie tych reklam może prowadzić do pobrania oprogramowania ransomware.

Zestawy exploitów:
 Zestawy exploitów to złośliwe zestawy narzędzi wykorzystujące luki w oprogramowaniu lub przeglądarkach. Jeśli Twój system nie jest na bieżąco z najnowszymi poprawkami zabezpieczeń, zestaw exploitów może wykorzystać te luki w celu dostarczenia oprogramowania ransomware.

Ataki na protokół Remote Desktop Protocol (RDP):
 Osoby atakujące mogą próbować uzyskać nieautoryzowany dostęp do Twojego komputera, wykorzystując słabe lub domyślne hasła w protokole Remote Desktop Protocol. Po wejściu do środka mogą wdrożyć oprogramowanie ransomware.

Do Zaib
January 31, 2024
Ransomware
Polski
January 31, 2024
Ransomware

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

5 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.