Ένα νέο ransomware με το όνομα Exotic εμφανίστηκε την προηγούμενη εβδομάδα και σε διάστημα δύο ημερών πήγε από την έκδοση 1.0 στην 3.0, διότι ο συντάκτης του, ένας Γερμανός προγραμματιστής γνωστός ως EvilTwin, ή Exotic Squad, θέλει να εντυπωσιάσει τους ερευνητές ασφάλειας με το “έργο τέχνης του”.
Πρόκειται για ένα run-of-the-mill ransomware που κλειδώνει τα αρχεία του θύματος, παρουσιάζει ένα σημείωμα με το οποίο ζητά λύτρα για να ξεκλειδώσετε τα δεδομένα σας.
Σύμφωνα με το MalwareHunterTeam, το εν λόγω κακόβουλο λογισμικό δεν είναι και το πιο προηγμένο σε σχέση με ότι έχει κυκλοφορήσει τους τελευταίους μήνες. Το Exotic δεν αποτελεί απειλή, τουλάχιστον μέχρι την στιγμή που γράφεται αυτό το άρθρο. Σύμφωνα με πολλούς ερευνητές και και με τον κατασκευαστή του, το ransomware εξακολουθεί να είναι ένα project σε εξέλιξη.
Το MalwareHunterTeam ανακάλυψε την έκδοση 1.0 του Exotic στις 12 Οκτωβρίου και άρχισε να ανταλλάσσει μέσω του Twitter, πληροφορίες με άλλους ερευνητές ασφαλείας. Και όπως συνηθίζεται καταγράφεται σε ένα βίντεο η δράση του κακόβουλου λογισμικού προς ενημέρωση των υπολοίπων. Προς έκπληξη όλων, ο συγγραφέας του ransomware ήρθε σε επαφή με τον ερευνητή και τον ευχαρίστησε για το χρόνο που χρειάστηκε για να επιδείξει το «έργο» του και να κάνει το βίντεο, και ήθελε επιπλέον να γίνει φίλος του στο Skype (!!!). Αυτή η συνομιλία εξέπληξε τους πάντες, δεδομένου ότι οι συγγραφείς των κακόβουλων λογισμικών συνήθως κάνουν ό,τι είναι δυνατόν για να αποφύγουν τους ερευνητές ασφάλειας και τα αδιάκριτα μάτια τους. Ιδιαίτερα τους ransomware αναλυτές, οι οποίοι προσπαθούν να “σπάσουν” τους αλγόριθμους κρυπτογράφησης, καταστρέφοντας τις δραστηριότητές τους.
Οι ερευνητές διαπίστωσαν την ύπαρξη των Exοtic 2.0 και 3.0 κατά τη διάρκεια των επόμενων δύο ημερών, τα οποία όμως περιείχαν ελάχιστες αλλαγές. Όσο αφορά τις τεχνικές λεπτομέρειες του ransomware, αυτό κρυπτογραφεί τα αρχεία με τον αλγόριθμο AES-128 και απαιτεί από το χρήστη να πληρώσει ως λύτρα $50 δολάρια σε Bitcoin. Μετά την κρυπτογράφηση τα αρχεία του χρήστη ονομάζονται με ένα τυχαίο όνομα και φέρουν όλα την επέκταση με “.exotic”.
Το ransomware Exοtic 1.0 είναι εύκολο να προσδιοριστεί, επειδή χρησιμοποιεί ως φόντο στο σημείωμα με τα λύτρα μια εικόνα του Χίτλερ, ίσως εμπνευσμένη από το ransomware Χίτλερ που εμφανίστηκε στις αρχές του Αυγούστου. Στις άλλες δύο εκδόσεις ο συγγραφέας άλλαξε την εικόνα και χρησιμοποίησε μια απλή οθόνη κλειδώματος εμπνευσμένη από το ransomware Jigsaw.
Δείτε παρακάτω ένα βίντεο του Σέρβου ερευνητή ασφαλείας GrujaRS που δείχνει την δραστηριότητα του Exοtic 3.0 και πως μολύνει και κλειδώνει ένα υπολογιστή.
https://www.youtube.com/watch?v=0f6yzxTI_Bc