Ebaka 勒索软件基于 Phobos 代码

在检查最近的恶意软件样本时，我们的研究团队发现了 Ebaka 勒索软件，它是 Phobos 勒索软件家族的成员。 Ebaka 旨在加密文件并要求付费以换取解密。

在我们的测试系统上，该恶意软件通过加密更改文件，修改其文件名。原始标题被扩展为分配给受害者的独特 ID、网络犯罪分子的电子邮件地址和“.ebaka”扩展名。例如，最初名为“1.jpg”的文件被转换为“1.jpg.id[1E857D00-3323].[datadownloader@proton.me].ebaka”。

完成此过程后，Ebaka 生成了勒索信并将其放置在桌面和所有加密目录中。一个注释显示为弹出窗口（“info.hta”），而另一个注释则显示为文本文件（“info.txt”）。该文本文件传达了受害者的文件已被加密的消息，并敦促他们联系攻击者进行解密。

弹出窗口中显示的勒索字条内容提供了有关感染的更多详细信息，指定解密需要以比特币加密货币支付赎金。据称，付款金额取决于受害者与网络犯罪分子建立联系的速度。

在满足赎金要求之前，受害者可以选择通过向攻击者发送最多五个加密文件来测试解密，但受到某些限制。该消息还警告不要修改锁定的文件或使用第三方解密工具，因为此类操作可能会导致永久数据丢失。此外，受害者还被警告，向第三方寻求援助可能会加剧经济损失。

埃巴卡勒索信全文

Ebaka勒索信全文如下：

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

免费解密为保障
付款前您可以向我们发送最多 5 个文件以免费解密。文件总大小必须小于 4Mb（非存档），并且文件不应包含有价值的信息。 （数据库、备份、大型 Excel 工作表等）

如何获得比特币
购买比特币最简单的方法是 LocalBitcoins 网站。您必须注册，点击“购买比特币”，然后按付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在这里找到其他购买比特币的地方和初学者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

注意力！
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致永久数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们将其费用添加到我们的费用中），或者您可能成为诈骗的受害者。

勒索软件如何感染您的计算机？

勒索软件可以通过各种方式感染您的计算机，攻击者经常使用社会工程策略来诱骗用户下载或执行恶意代码。以下是勒索软件感染计算机的一些常见方法：

网络钓鱼电子邮件：
电子邮件附件：网络犯罪分子经常发送带有恶意附件的网络钓鱼电子邮件，例如受感染的 Word 文档或 PDF 文件。当用户打开附件时，勒索软件就会被执行。
恶意链接：网络钓鱼电子邮件可能包含指向托管勒索软件的虚假网站的链接。单击这些链接可以触发勒索软件在您的计算机上的下载和安装。

恶意网站：
访问受感染或恶意网站可能会使您的计算机遭受偷渡式下载，其中包括勒索软件在内的恶意软件会在您不知情的情况下自动下载并执行。

恶意广告：
网络犯罪分子可能会破坏合法的在线广告网络，并在网站上放置恶意广告（恶意广告）。点击这些广告可能会导致勒索软件的下载。

漏洞利用套件：
漏洞利用工具包是利用软件或浏览器中的漏洞的恶意工具包。如果您的系统未安装最新的安全补丁，漏洞利用工具包可以利用这些漏洞来传播勒索软件。

远程桌面协议 (RDP) 攻击：
攻击者可能会尝试利用远程桌面协议上的弱密码或默认密码来未经授权地访问您的计算机。一旦进入，他们就可以部署勒索软件。