Exotic

Exotic Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 50 долларов США в биткоинах, чтобы вернуть файлы. На уплату выкупа даётся 72 часа по таймеру. Когда таймер достигнет 0, ПК будет выключен, а жёсткий диск согласно тексту о выкупе будет отформатирован. Название дано самим вымогателем-разработчиком, скрывающимся под никами EvilTwin и Exotic Squad. 

К зашифрованным файлам добавляется расширение .exotic. 

Активность этого криптовымогателя пришлась на середину октября 2016 г. 

Записками с требованием выкупа выступают два диалоговых окна. В первой и второй версиях в чёрном окне были разные фотографии Гитлера, в третьей обошлось без него. 

Первое окно Exotic Ransomware

Второе окно Exotic Ransomware

Окно 2-й версий Exotic Ransomware

Окно 3-й версий Exotic Ransomware

Содержание первого окна 1-й версии:
Windows is infected, by the EXOTIC Virus!
Try to kill or delete me i will kill your PC!
Have a nice day =) 

Перевод на русский язык:
Windows заражена экзотическим вирусом!
Захотите убить или удалить меня, я убью твой ПК!
Хорошего дня =)


После закрытия первого окна "Crypto" появляется следующее окно с заголовком "You got fucked by EXOTIC SQUAD!"

Содержание следующего окна 1-й версии:
ALL YOUR FILES HAVE BEEN ENCRYPTED
Hello, all your Computer files have been encrypted. But, don’t worry! I haven’t deleted them all. So you have 72 hours to pay 50 USD in BitCoins to my BitCoin Address to get your files back! We will format your hard-drive when you restart the Computer! The Timer starts now! Don’t fuck with EXOTIC Squad! 

Перевод на русский язык:
Все ваши файлы были зашифрованы
Привет, все ваши компьютерные файлы были зашифрованы. Но, не волнуйтесь! Я не удалил их все. Так у вас есть 72 часа, чтобы заплатить 50 долларов США в биткоинах на мой Bitcoin-адрес, чтобы получить файлы обратно! Мы отформатируем жесткий диск при перезагрузке компьютера! Таймер начал отсчёт! Не злите команду EXOTIC!

Exotic Ransomware также скачает изображение для экрана блокировки из ***mitteoderso.de/image.png и сохраняет его в папке %Temp%. 

Большинство вымогательских инфекций нацелены только на файлы данных и не затрагивают исполняемые файлы. Exotic шифрует файлы в директории %UserProfile%, в том числе исполняемые файлы, что делает программы непригодными для дальнейшего использования. Названия файлов переименовываются случайным образом. 

Список файловых расширений, подвергающихся шифрованию:
 .001, .002, .003, .004, .005, .006, .007, .008, .009, .3dm, .3g2, .3gp, .7z, .8be, .8bf, .8bi, .aaf, .abr, .accdb, .act, .adf, .aep, .aepx, .aex, .ai, .ai, .aif, .ani, .apk, .arw, .as, .as3, .asd, .asf, .asp, .asx, .au, .avi, .bat, .bay, .bin, .bmp, .camproj, .cdr, .cer, .class, .cmd, .com, .CompositeFo, .config, .contact, .cpp, .cr2, .crdownload, .crt, .crw, .cs, .css, .csv, .cur, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eot, .eps, .erf, .exe, .fla, .flv, .fon, .gif, .hta, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .ini, .ink, .inx, .iso, .jar, .java, .jnt, .jpeg, .jpg, .json, .kdc, .key, .lib, .load, .m3u, .m3u8, .m4r, .m4u, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .msi, .nef, .nrw, .nt, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .pl, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .resx, .rtf, .rw2, .rwl, .scss, .sdf, .settings, .sik, .sldm, .sldx, .sln, .sql, .sr2, .src, .srf, .srw, .svg, .swf, .text, .tgz, .tif, .ttc, .ttf, .txt, .url, .vb, .vbproj, .vbs, .vbt, .vcf, .veg, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (228 расширений, без дублей). 

Пока этот шифровальщик находится в разработке, т.к. по всему видно, что у разработчика пока мало опыта в создании и распространении шифровальщиков. Но за несколько дней он успел выпустить три версии, отличающиеся в мелких деталях. 

Если выйдет доработанная версии, то в принципе будет распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Exotic Ransomware завершает в системе работу следующих процессов: taskmgr, cmd, procexp, procexp64, regedit, CCleaner64, msconfig

Также шифровальщик делает копию себя и сохраняет в директорию: %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe

Примечательно, что раз все файлы в директории %UserProfile% шифруются, то и этот файл будет зашифрован, а после перезагрузки ПК он уже не будет активным. 

Файлы, связанные с Exotic Ransomware:
Crypto.exe
Module.exe
EXOTIS Virus 2.0.exe
EXOTIS Virus 3.0.exe
и др.


Сетевые подключения:
mitteoderso.de/image.png
exotic-squad.de
162.210.102.210:443

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twittter
Video review
ID Ransomware + Writeup on BC

 Thanks: 
 MalwareHunterTeam, CyberSecurity GrujaRS
 Michael Gillespie, Lawrence Abrams

© Amigo-A (Andrew Ivanov): All blog articles.