Ebaka ransomware

Los investigadores de seguridad han identificado a Ebaka como una amenaza de ransomware, diseñada con el propósito explícito de cifrar archivos en dispositivos comprometidos y posteriormente exigir pagos de rescate por su descifrado. Una vez que se activa el malware Ebaka, inicia un proceso de bloqueo de archivos mediante cifrado, alterando los nombres de los archivos en el proceso. Los nombres originales se amplían con una identificación única de la víctima, la dirección de correo electrónico de los ciberdelincuentes y una extensión '.ebaka'. Por ejemplo, un archivo inicialmente llamado '1.png' se cifrará y emergerá como '1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka.'

Una vez completado el proceso de cifrado, Ebaka genera notas de rescate que se depositan en el escritorio y en todos los directorios que contienen datos bloqueados. Una de las notas de rescate se presenta en una ventana emergente ('info.hta'), mientras que otra toma la forma de un archivo de texto ('info.txt'). En particular, el análisis de la investigación ha vinculado Ebaka Ransomware con la conocida familia Phobos Ransomware .

El ransomware Ebaka podría causar un daño tremendo tras una infección exitosa

Los programas amenazantes afiliados a la familia Phobos Ransomware, como Ebaka Ransomware, exhiben capacidades de cifrado avanzadas, cifrando archivos locales y compartidos en red. Estos programas adoptan un enfoque sofisticado al finalizar los procesos asociados con los archivos abiertos para evitar que se consideren "en uso" y posteriormente queden exentos del proceso de cifrado. Esta meticulosa estrategia garantiza un impacto más completo en los datos específicos.

Es de destacar que las operaciones de Ebaka Ransomware se abstienen de comprometer archivos críticos del sistema, minimizando el riesgo de inestabilidad del sistema. Además, se hace un esfuerzo deliberado para evitar el doble cifrado, preservando los datos ya afectados por otras variantes de ransomware. Este proceso se ciñe a una lista predefinida, aunque no abarca todos los programas de cifrado de datos existentes.

En un intento por obstaculizar la recuperación, Ebaka Ransomware elimina las instantáneas de volumen, eliminando un método potencial para restaurar archivos cifrados. El malware emplea varias técnicas para garantizar la persistencia, incluida la autorreplicación en la ruta %LOCALAPPDATA% y el registro con claves de ejecución específicas, lo que garantiza el inicio automático después de reiniciar el sistema.

Además, los ataques de Ebaka pueden presentar características de bloqueo geográfico. Estos programas recopilan datos de geolocalización y pueden interrumpir la infección en función de factores como las condiciones económicas de determinadas regiones (que potencialmente albergan víctimas que no pueden pagar rescates), consideraciones geopolíticas u otros criterios.

A partir de una amplia experiencia en la investigación de infecciones de ransomware, resulta evidente que el descifrado sin la participación directa de los atacantes es algo poco común. Las excepciones se limitan a casos que involucran programas de tipo ransomware gravemente defectuosos, lo que enfatiza los desafíos generales y la complejidad asociados con la recuperación de datos de amenazas cibernéticas tan sofisticadas.

El ransomware Ebaka extorsiona a las víctimas por dinero

El contenido de la nota de rescate de Ebaka, presentada en un archivo de texto, comunica explícitamente a las víctimas que sus archivos han sido cifrados. El mensaje insta encarecidamente a las víctimas a iniciar contacto con los atacantes para facilitar el proceso de descifrado. Además, la nota de rescate que se muestra en una ventana emergente proporciona más detalles sobre la infección, especificando que el descifrado depende del pago de un rescate en criptomoneda Bitcoin. En particular, el monto del rescate supuestamente depende de la rapidez con la que la víctima establece comunicación con los ciberdelincuentes.

Curiosamente, antes de cumplir con las demandas de rescate, las víctimas supuestamente tienen la opción de probar el proceso de descifrado. Pueden enviar hasta cinco archivos cifrados para realizar pruebas, sujeto a ciertas limitaciones. Esta peculiar disposición parece ofrecer una idea del proceso de descifrado, posiblemente como una táctica para infundir un sentido de confianza o urgencia en la víctima.

Los ciberdelincuentes advierten a las víctimas contra cualquier intento de modificar los archivos bloqueados o utilizar herramientas de descifrado de terceros, enfatizando el riesgo de pérdida permanente de datos. Además, se alerta a las víctimas sobre las posibles consecuencias financieras de buscar asistencia de terceros, lo que sugiere que tales acciones pueden aumentar la pérdida financiera general incurrida durante el proceso de resolución. Este conjunto detallado de instrucciones y advertencias subraya la naturaleza calculada de la demanda de rescate. Su objetivo es guiar a las víctimas a lo largo del proceso y, al mismo tiempo, disuadirlas de realizar cualquier acción que pueda comprometer el potencial de un descifrado exitoso.

A las víctimas de Ebaka Ransomware se les presentan las siguientes demandas de rescate:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

The text files generated by Ebaka Ransomware contain the following message:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'