Ebaka ランサムウェア
セキュリティ研究者らは、Ebaka がランサムウェアの脅威であると特定しました。これは、侵害されたデバイス上のファイルを暗号化し、その後、復号化のために身代金の支払いを要求するという明確な目的を持って設計されています。 Ebaka マルウェアがアクティブになると、暗号化によるファイル ロック プロセスが開始され、そのプロセスでファイル名が変更されます。元の名前は、一意の被害者 ID、サイバー犯罪者の電子メール アドレス、および「.ebaka」拡張子で拡張されます。たとえば、最初に「1.png」という名前が付けられたファイルは暗号化され、「1.png.id[1E858D00-3423].[datadownloader@proton.me].ebaka」として現れます。
暗号化プロセスの完了後、Ebaka は身代金メモを生成し、デスクトップおよびロックされたデータを含むすべてのディレクトリ内に置かれます。身代金メモの 1 つはポップアップ ウィンドウ (「info.hta」) に表示され、もう 1 つはテキスト ファイル (「info.txt」) の形式で表示されます。特に、調査分析により、Ebaka ランサムウェアはよく知られたPhobos ランサムウェアファミリに関連付けられています。
Ebaka ランサムウェアは感染すると甚大な被害を引き起こす可能性がある
Ebaka Ransomware など、Phobos Ransomware ファミリに関連する脅威プログラムは、高度な暗号化機能を備えており、ローカル ファイルとネットワーク共有ファイルの両方を暗号化します。これらのプログラムは、開かれたファイルが「使用中」とみなされ、その後暗号化プロセスから除外されるのを防ぐために、開かれたファイルに関連付けられたプロセスを終了するという高度なアプローチを採用しています。この綿密な戦略により、対象となるデータに対するより包括的な影響が保証されます。
Ebaka ランサムウェアの操作が重要なシステム ファイルの侵害を回避し、システムが不安定になるリスクを最小限に抑えていることは注目に値します。さらに、二重暗号化を回避するための意図的な取り組みが行われ、すでに他のランサムウェア亜種の影響を受けているデータは保護されます。このプロセスは事前定義されたリストに従いますが、既存のデータ暗号化プログラムをすべて網羅するわけではありません。
回復を妨げようとして、Ebaka Ransomware はシャドウ ボリューム コピーを削除し、暗号化されたファイルを復元する 1 つの潜在的な方法を排除します。このマルウェアは、%LOCALAPPDATA% パスへの自己複製や特定の Run キーへの登録など、さまざまな永続性を確保する技術を採用しており、システムの再起動後の自動開始を保証します。
さらに、Ebaka 攻撃はジオロック特性を示す場合があります。これらのプログラムは地理位置情報データを収集し、特定の地域の経済状況 (身代金を支払えない被害者がいる可能性がある)、地政学的な考慮事項、またはその他の基準などの要因に基づいて感染を中止する場合があります。
ランサムウェア感染の研究における広範な経験から、攻撃者が直接関与せずに復号化できることはまれであることが明らかです。例外は、重大な欠陥のあるランサムウェア タイプのプログラムが関与する場合に限定されており、このような高度なサイバー脅威からデータを回復することに関連する全体的な課題と複雑さが強調されています。
Ebaka ランサムウェアが被害者に金銭を強要
Ebaka の身代金メモの内容はテキスト ファイルで示されており、ファイルが暗号化されていることを被害者に明示的に伝えています。このメッセージは、被害者に対し、復号化プロセスを促進するために攻撃者との接触を開始するよう強く勧めています。さらに、ポップアップ ウィンドウに表示される身代金メモには、感染に関する詳細が記載されており、復号化にはビットコイン暗号通貨での身代金の支払いが条件であることが明記されています。特に、身代金の額は、被害者がサイバー犯罪者との通信をいかに迅速に確立するかによって影響を受けると言われています。
興味深いことに、身代金の要求に応じる前に、被害者には復号プロセスをテストするオプションが提供されていると言われています。特定の制限に従って、テスト用に最大 5 つの暗号化ファイルを送信できます。この独特の規定は、おそらく被害者に信頼感や緊迫感を植え付けるための戦術として、復号プロセスを垣間見ることができるようです。
サイバー犯罪者は、ロックされたファイルを変更したり、サードパーティの復号ツールを使用したりする試みに対して被害者に警告し、永久的なデータ損失のリスクを強調しています。さらに、被害者は、第三者に支援を求めることで経済的影響が生じる可能性があることを認識しており、そのような行為が解決プロセス中に発生する全体的な経済的損失を増大させる可能性があることを示唆しています。この一連の詳細な指示と警告は、身代金要求の計算された性質を強調しています。これは、被害者が復号成功の可能性を損なう可能性のある行動を取らないようにしながら、プロセスをガイドすることを目的としています。
Ebaka ランサムウェアの被害者には、次のような身代金の要求が提示されます。
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail datadownloader@proton.me
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:datadownloader@tutanota.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The text files generated by Ebaka Ransomware contain the following message:
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: datadownloader@proton.me.
If we don't answer in 24h., send e-mail to this address: datadownloader@tutanota.com'
