Ebaka-Ransomware

Sicherheitsforscher haben Ebaka als Ransomware-Bedrohung identifiziert, die explizit mit dem Ziel entwickelt wurde, Dateien auf kompromittierten Geräten zu verschlüsseln und anschließend Lösegeldzahlungen für deren Entschlüsselung zu verlangen. Sobald die Ebaka-Malware aktiviert ist, leitet sie durch Verschlüsselung einen Dateisperrvorgang ein und verändert dabei die Dateinamen. Die Originalnamen werden um eine eindeutige Opfer-ID, die E-Mail-Adresse der Cyberkriminellen und die Erweiterung „.ebaka“ erweitert. Beispielsweise wird eine Datei mit dem ursprünglichen Namen „1.png“ verschlüsselt und als „1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka angezeigt.“

Nach Abschluss des Verschlüsselungsprozesses generiert Ebaka Lösegeldscheine, die auf dem Desktop und in allen Verzeichnissen mit gesperrten Daten abgelegt werden. Einer der Erpresserbriefe wird in einem Popup-Fenster („info.hta“) angezeigt, während ein anderer in Form einer Textdatei vorliegt („info.txt“). Insbesondere wurde durch Forschungsanalysen die Ebaka-Ransomware mit der bekannten Phobos-Ransomware- Familie in Verbindung gebracht.

Die Ebaka-Ransomware könnte bei erfolgreicher Infektion enormen Schaden anrichten

Bedrohliche Programme der Phobos-Ransomware-Familie, wie etwa die Ebaka-Ransomware, verfügen über erweiterte Verschlüsselungsfunktionen und verschlüsseln sowohl lokale als auch im Netzwerk freigegebene Dateien. Diese Programme verfolgen einen ausgefeilten Ansatz, indem sie Prozesse im Zusammenhang mit geöffneten Dateien beenden, um zu verhindern, dass diese als „in Verwendung“ gelten und anschließend vom Verschlüsselungsprozess ausgenommen werden. Diese sorgfältige Strategie gewährleistet eine umfassendere Wirkung auf gezielte Daten.

Bemerkenswert ist, dass die Ransomware-Operationen von thEbaka darauf verzichten, kritische Systemdateien zu kompromittieren, wodurch das Risiko einer Systeminstabilität minimiert wird. Darüber hinaus wird bewusst darauf geachtet, eine doppelte Verschlüsselung zu vermeiden und so Daten zu schonen, die bereits von anderen Ransomware-Varianten betroffen sind. Dieser Prozess folgt einer vordefinierten Liste, umfasst jedoch nicht alle vorhandenen Datenverschlüsselungsprogramme.

Um die Wiederherstellung zu behindern, löscht Ebaka Ransomware Schattenkopien und eliminiert so eine mögliche Methode zur Wiederherstellung verschlüsselter Dateien. Die Malware verwendet verschiedene Techniken zur Sicherstellung der Persistenz, einschließlich der Selbstreplikation auf den %LOCALAPPDATA%-Pfad und der Registrierung mit bestimmten Ausführungsschlüsseln, um eine automatische Initiierung nach Systemneustarts sicherzustellen.

Darüber hinaus können Ebaka-Angriffe Geoblocking-Eigenschaften aufweisen. Diese Programme sammeln Geolokalisierungsdaten und können die Infektion aufgrund von Faktoren wie der wirtschaftlichen Lage in bestimmten Regionen (möglicherweise Heimat von Opfern, die kein Lösegeld zahlen können), geopolitischen Erwägungen oder anderen Kriterien unterbinden.

Aufgrund der umfangreichen Erfahrung bei der Erforschung von Ransomware-Infektionen wird deutlich, dass eine Entschlüsselung ohne direkte Beteiligung von Angreifern selten vorkommt. Ausnahmen beschränken sich auf Fälle mit schwerwiegend fehlerhaften Programmen vom Typ Ransomware, was die allgemeinen Herausforderungen und die Komplexität hervorhebt, die mit der Wiederherstellung von Daten nach solch raffinierten Cyber-Bedrohungen verbunden sind.

Die Ebaka-Ransomware erpresst Opfer gegen Geld

Der Inhalt von Ebakas Lösegeldforderung, präsentiert in einer Textdatei, teilt den Opfern ausdrücklich mit, dass ihre Dateien verschlüsselt wurden. Die Nachricht fordert die Opfer dringend dazu auf, Kontakt mit den Angreifern aufzunehmen, um den Entschlüsselungsprozess zu erleichtern. Darüber hinaus enthält der in einem Popup-Fenster angezeigte Lösegeldschein weitere Details zur Infektion und gibt an, dass die Entschlüsselung von der Zahlung eines Lösegelds in der Kryptowährung Bitcoin abhängig ist. Insbesondere wird die Höhe des Lösegelds angeblich davon beeinflusst, wie schnell das Opfer die Kommunikation mit den Cyberkriminellen aufbaut.

Interessanterweise wird den Opfern angeblich die Möglichkeit geboten, den Entschlüsselungsprozess zu testen, bevor sie den Lösegeldforderungen nachkommen. Sie können bis zu fünf verschlüsselte Dateien zum Testen einreichen, vorbehaltlich bestimmter Einschränkungen. Diese eigenartige Bestimmung scheint einen Einblick in den Entschlüsselungsprozess zu gewähren, möglicherweise als Taktik, um dem Opfer ein Gefühl von Vertrauen oder Dringlichkeit zu vermitteln.

Die Cyberkriminellen warnen die Opfer vor jedem Versuch, die gesperrten Dateien zu ändern oder Entschlüsselungstools von Drittanbietern zu verwenden, und betonen das Risiko eines dauerhaften Datenverlusts. Darüber hinaus werden Opfer auf die potenziellen finanziellen Konsequenzen aufmerksam gemacht, die sich aus der Inanspruchnahme Dritter ergeben, was darauf hindeutet, dass solche Maßnahmen den gesamten finanziellen Verlust erhöhen können, der während des Lösungsprozesses entsteht. Diese detaillierten Anweisungen und Warnungen unterstreichen den kalkulierten Charakter der Lösegeldforderung. Ziel ist es, Opfer durch den Prozess zu führen und sie gleichzeitig davon abzuhalten, Maßnahmen zu ergreifen, die das Potenzial für eine erfolgreiche Entschlüsselung gefährden könnten.

Opfer der Ebaka-Ransomware werden mit folgenden Lösegeldforderungen konfrontiert:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'