Ransomware Ebaka

Les chercheurs en sécurité ont identifié Ebaka comme une menace de ransomware, conçue dans le but explicite de crypter des fichiers sur des appareils compromis et d'exiger ensuite le paiement d'une rançon pour leur décryptage. Une fois le malware Ebaka activé, il lance un processus de verrouillage des fichiers par cryptage, modifiant ainsi les noms de fichiers. Les noms d'origine sont complétés par un identifiant de victime unique, l'adresse e-mail des cybercriminels et une extension « .ebaka ». Par exemple, un fichier initialement nommé « 1.png » sera crypté et apparaîtra sous le nom « 1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.

Une fois le processus de cryptage terminé, Ebaka génère des notes de rançon qui sont déposées sur le bureau et dans tous les répertoires contenant des données verrouillées. L'une des notes de rançon est présentée dans une fenêtre contextuelle (« info.hta »), tandis qu'une autre prend la forme d'un fichier texte (« info.txt »). Notamment, l’analyse de la recherche a établi un lien entre Ebaka Ransomware et la célèbre famille Phobos Ransomware .

Le ransomware Ebaka pourrait causer d’énormes dégâts en cas d’infection réussie

Les programmes menaçants affiliés à la famille Phobos Ransomware, tels que Ebaka Ransomware, présentent des capacités de cryptage avancées, chiffrant à la fois les fichiers locaux et partagés sur le réseau. Ces programmes adoptent une approche sophistiquée en mettant fin aux processus associés aux fichiers ouverts pour éviter qu'ils ne soient considérés comme « en cours d'utilisation » et par la suite exemptés du processus de cryptage. Cette stratégie méticuleuse garantit un impact plus complet sur les données ciblées.

Il est à noter que les opérations d'Ebaka Ransomware s'abstiennent de compromettre les fichiers système critiques, minimisant ainsi le risque d'instabilité du système. De plus, un effort délibéré est fait pour éviter le double cryptage, épargnant ainsi les données déjà affectées par d’autres variantes de ransomware. Ce processus adhère à une liste prédéfinie, même s'il n'englobe pas tous les programmes de cryptage de données existants.

Pour tenter d'entraver la récupération, Ebaka Ransomware supprime les clichés instantanés de volumes, éliminant ainsi une méthode potentielle de restauration de fichiers cryptés. Le malware utilise diverses techniques garantissant la persistance, notamment l'auto-réplication vers le chemin %LOCALAPPDATA% et l'enregistrement avec des clés d'exécution spécifiques, garantissant une initiation automatique après le redémarrage du système.

De plus, les attaques Ebaka peuvent présenter des caractéristiques de géoverrouillage. Ces programmes collectent des données de géolocalisation et peuvent interrompre l'infection en fonction de facteurs tels que les conditions économiques de certaines régions (qui abritent potentiellement des victimes incapables de payer des rançons), des considérations géopolitiques ou d'autres critères.

Fort d’une vaste expérience dans la recherche sur les infections par ransomware, il devient évident que le décryptage sans l’implication directe des attaquants est un phénomène rare. Les exceptions se limitent aux cas impliquant des programmes de type ransomware gravement défectueux, soulignant les défis généraux et la complexité associés à la récupération de données contre des cybermenaces aussi sophistiquées.

Le ransomware Ebaka extorque de l’argent aux victimes

Le contenu de la demande de rançon d'Ebaka, présenté dans un fichier texte, indique explicitement aux victimes que leurs fichiers ont été cryptés. Le message encourage fortement les victimes à prendre contact avec les attaquants pour faciliter le processus de décryptage. De plus, la demande de rançon affichée dans une fenêtre contextuelle fournit plus de détails sur l'infection, précisant que le décryptage dépend du paiement d'une rançon en crypto-monnaie Bitcoin. Notamment, le montant de la rançon serait influencé par la rapidité avec laquelle la victime établit la communication avec les cybercriminels.

Il est intéressant de noter qu’avant de se conformer aux demandes de rançon, les victimes auraient la possibilité de tester le processus de décryptage. Ils peuvent soumettre jusqu'à cinq fichiers cryptés pour tests, sous réserve de certaines limitations. Cette disposition particulière semble offrir un aperçu du processus de décryptage, peut-être comme une tactique visant à inculquer un sentiment de confiance ou d'urgence chez la victime.

Les cybercriminels mettent en garde leurs victimes contre toute tentative de modification des fichiers verrouillés ou d'utilisation d'outils de décryptage tiers, soulignant le risque de perte permanente de données. De plus, les victimes sont alertées des conséquences financières potentielles liées à la demande d’aide auprès de tiers, ce qui suggère que de telles actions peuvent augmenter la perte financière globale subie au cours du processus de résolution. Cet ensemble détaillé d’instructions et d’avertissements souligne la nature calculée de la demande de rançon. Il vise à guider les victimes tout au long du processus tout en les dissuadant de prendre des mesures susceptibles de compromettre le potentiel de réussite du décryptage.

Les victimes du Ebaka Ransomware se voient présenter les demandes de rançon suivantes :

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'