Программа-вымогатель Ebaka основана на коде Фобоса

Во время изучения последних образцов вредоносного ПО наша исследовательская группа наткнулась на программу-вымогатель Ebaka, которая является членом семейства программ-вымогателей Phobos. Ebaka была разработана для шифрования файлов и требует оплаты в обмен на их расшифровку.

В нашей тестовой системе это вредоносное ПО изменяло файлы посредством шифрования, изменяя их имена. Первоначальные названия были дополнены отличительным идентификатором, присвоенным жертве, адресом электронной почты киберпреступников и расширением «.ebaka». Например, файл с первоначальным названием «1.jpg» был преобразован в «1.jpg.id[1E857D00-3323].[datadownloader@proton.me].ebaka».

После завершения этого процесса Эбака создал записки с требованием выкупа и разместил их на рабочем столе и во всех зашифрованных каталогах. Одна заметка отображалась в виде всплывающего окна («info.hta»), а другая представляла собой текстовый файл («info.txt»). Текстовый файл передает сообщение о том, что файлы жертвы зашифрованы, и призывает их связаться с злоумышленниками для расшифровки.

Содержимое записки о выкупе, отображаемое во всплывающем окне, предоставляет дополнительную информацию о заражении, указывая, что для расшифровки требуется выплата выкупа в криптовалюте Биткойн. Якобы размер выплаты зависит от того, насколько быстро жертва установит контакт с киберпреступниками.

Прежде чем выполнить требования о выкупе, жертва имеет возможность протестировать расшифровку, отправив злоумышленникам до пяти зашифрованных файлов с учетом определенных ограничений. Сообщение также предостерегает от изменения заблокированных файлов или использования сторонних инструментов расшифровки, поскольку такие действия могут привести к безвозвратной потере данных. Кроме того, жертву предупреждают, что обращение за помощью к третьим лицам может привести к увеличению финансовых потерь.

Записка о выкупе Эбаки полностью

Полный текст записки о выкупе Эбаки выглядит следующим образом:

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Бесплатная расшифровка в качестве гарантии
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов должен быть не более 4Мб (не в архиве), файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)

Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вам необходимо зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенничества.

Как программы-вымогатели могут заразить ваш компьютер?

Программы-вымогатели могут заразить ваш компьютер различными способами, и злоумышленники часто используют тактику социальной инженерии, чтобы обманом заставить пользователей загрузить или выполнить вредоносный код. Вот некоторые распространенные методы, с помощью которых программы-вымогатели могут заразить компьютер:

Фишинговые письма:
Вложения электронной почты. Киберпреступники часто отправляют фишинговые электронные письма с вредоносными вложениями, такими как зараженные документы Word или PDF-файлы. Когда пользователь открывает вложение, запускается программа-вымогатель.
Вредоносные ссылки. Фишинговые электронные письма могут содержать ссылки на поддельные веб-сайты, на которых размещены программы-вымогатели. Нажатие на эти ссылки может вызвать загрузку и установку программы-вымогателя на ваш компьютер.

Вредоносные веб-сайты:
Посещение взломанных или вредоносных веб-сайтов может привести к тому, что ваш компьютер станет объектом попутных загрузок, при которых вредоносное ПО, включая программы-вымогатели, автоматически загружается и запускается без вашего ведома.

Вредоносная реклама:
Киберпреступники могут поставить под угрозу законные сети онлайн-рекламы и разместить на веб-сайтах вредоносную рекламу (неправильную рекламу). Нажатие на эти объявления может привести к загрузке программы-вымогателя.

Наборы эксплойтов:
Наборы эксплойтов — это вредоносные наборы инструментов, которые используют уязвимости в программном обеспечении или браузерах. Если в вашей системе не установлены последние обновления безопасности, набор эксплойтов может использовать эти уязвимости для доставки программы-вымогателя.

Атаки по протоколу удаленного рабочего стола (RDP):
Злоумышленники могут попытаться получить несанкционированный доступ к вашему компьютеру, используя слабые пароли или пароли по умолчанию в протоколе удаленного рабочего стола. Оказавшись внутри, они могут внедрить программу-вымогатель.