Ebaka Ransomware é baseado no código Phobos

Durante o exame de amostras recentes de malware, nossa equipe de pesquisa encontrou o ransomware Ebaka, que é membro da família de ransomware Phobos. Ebaka foi projetado para criptografar arquivos e exige pagamento em troca de sua descriptografia.

Em nosso sistema de teste, esse software malicioso alterou arquivos por meio de criptografia, modificando seus nomes de arquivos. Os títulos originais foram ampliados com uma identificação distinta atribuída à vítima, o endereço de e-mail dos cibercriminosos e uma extensão “.ebaka”. Por exemplo, um arquivo originalmente denominado "1.jpg" foi transformado em "1.jpg.id[1E857D00-3323].[datadownloader@proton.me].ebaka".

Ao concluir esse processo, Ebaka gerou notas de resgate e as colocou na área de trabalho e em todos os diretórios criptografados. Uma nota apareceu como uma janela pop-up ("info.hta"), enquanto a outra era um arquivo de texto ("info.txt"). O arquivo de texto transmite a mensagem de que os arquivos da vítima foram criptografados e incentiva-os a entrar em contato com os invasores para descriptografá-los.

O conteúdo da nota de resgate mostrada na janela pop-up fornece detalhes adicionais sobre a infecção, especificando que a descriptografia requer o pagamento de um resgate na criptomoeda Bitcoin. Alegadamente, o valor do pagamento depende da rapidez com que a vítima estabelece contacto com os cibercriminosos.

Antes de cumprir as exigências de resgate, a vítima tem a opção de testar a descriptografia enviando aos invasores até cinco arquivos criptografados, sujeitos a certas limitações. A mensagem também alerta contra a modificação dos ficheiros bloqueados ou o uso de ferramentas de desencriptação de terceiros, pois tais ações podem resultar na perda permanente de dados. Além disso, a vítima é avisada de que procurar ajuda de terceiros pode agravar os prejuízos financeiros.

Nota de resgate de Ebaka completa

O texto completo da nota de resgate de Ebaka é o seguinte:

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Descriptografia gratuita como garantia
Antes de pagar você pode nos enviar até 5 arquivos para descriptografia gratuita. O tamanho total dos arquivos deve ser inferior a 4 MB (não arquivados) e os arquivos não devem conter informações valiosas. (bancos de dados, backups, planilhas grandes do Excel, etc.)

Como obter Bitcoins
A maneira mais fácil de comprar bitcoins é no site LocalBitcoins. Você deve se registrar, clicar em ‘Comprar bitcoins’ e selecionar o vendedor por forma de pagamento e preço.
hxxps://localbitcoins.com/buy_bitcoins
Além disso, você pode encontrar outros lugares para comprar Bitcoins e guia para iniciantes aqui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Atenção!
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, pois isso pode causar perda permanente de dados.
A desencriptação dos seus ficheiros com a ajuda de terceiros pode aumentar o preço (eles acrescentam a sua taxa à nossa) ou pode tornar-se vítima de uma fraude.

Como o ransomware pode infectar seu computador?

O ransomware pode infectar seu computador por vários meios, e os invasores costumam usar táticas de engenharia social para induzir os usuários a baixar ou executar código malicioso. Aqui estão alguns métodos comuns pelos quais o ransomware pode infectar um computador:

E-mails de phishing:
Anexos de e-mail: os cibercriminosos costumam enviar e-mails de phishing com anexos maliciosos, como documentos do Word ou arquivos PDF infectados. Quando o usuário abre o anexo, o ransomware é executado.
Links maliciosos: e-mails de phishing podem conter links para sites falsos que hospedam ransomware. Clicar nesses links pode acionar o download e a instalação do ransomware em seu computador.

Websites maliciosos:
Visitar sites comprometidos ou maliciosos pode expor seu computador a downloads drive-by, onde malware, incluindo ransomware, é baixado e executado automaticamente sem o seu conhecimento.

Malvertising:
Os cibercriminosos podem comprometer redes legítimas de publicidade online e colocar anúncios maliciosos (malvertisements) em websites. Clicar nesses anúncios pode levar ao download de ransomware.

Kits de exploração:
Os kits de exploração são kits de ferramentas maliciosos que aproveitam vulnerabilidades em software ou navegadores. Se o seu sistema não estiver atualizado com os patches de segurança mais recentes, um kit de exploração poderá explorar essas vulnerabilidades para entregar ransomware.

Ataques de protocolo de área de trabalho remota (RDP):
Os invasores podem tentar obter acesso não autorizado ao seu computador explorando senhas fracas ou padrão no Remote Desktop Protocol. Uma vez lá dentro, eles podem implantar ransomware.