Exotic Squad Ransomware

O Exotic Squad Ransomware é um Trojan de criptografia escrito na linguagem de programação Visual Basic. O Exotic Squad Ransomware é uma ameaça que é implantada para os usuários através de emails de spam carregados com arquivos DOCX e PDF corrompidos. A campanha de distribuição do Exotic Squad Ransomware pode incluir logotipos e imagens promocionais de serviços conhecidos como PayPal e Amazon para parecer benigno e atrair usuários a baixar um arquivo anexado.

O Exotic Squad Ransomware Exige que os Usuários o Executem

Ainda assim, o principal executável do Exotic Squad Ransomware não pode ser executado se o usuário optar por evitar a abertura do arquivo corrompido. Se você suspeita de um arquivo que recebeu por e-mail - digitalize-o com o seu produto AV e faça o upload de uma amostra para a plataforma VirusTotal do Google como medida de segurança. O Exotic Squad Ransomware tem como alvo usuários que executam o sistema operacional Windows e não precisa de privilégios elevados para operar, o que impede que os usuários percebam sua atividade. Os aplicativos AV são conhecidos por detectar o Exotic Squad Ransomware sob nomes como:

• Ransom_EXOTIC.A
• Trojan.Win32.Generic.pak! Cobra
• Trojan.win32.skeeyah.a! Rfn
• Win32.Trojan.Gen.Eyb
• Win32 / Trojan.Ransom.685
• Win32: Malware-gen

Pesquisadores de malware relatam que o executável do Exotic Squad Ransomware não inclui um certificado digital válido e informações do editor. O mecanismo de criptografia do Exotic Squad Ransomware não é exótico e funciona da mesma maneira que o usado para o NCrypt Ransomware. O Exotic Squad Ransomware está programado para usar o algoritmo de criptografia AES-256 para bloquear os arquivos armazenados em suas unidades. Os pesquisadores observam que o Exotic Squad Ransomware pode bloquear a maioria dos recipientes de dados usados para armazenar imagens, texto, vídeos, planilhas, áudio e bancos de dados. O Exotic Squad Ransomware é conhecido por atingir as seguintes extensões:

.txt, .exe, .text, .cur, .contact, .ani, .xls, .com, .url, .ppt, .src, .cmd, .tgz, .fon, .pl, .load, .CompositeFont .png, .exe, .mp3, .mkv, .veg, .mp4, .lnk, .zip, .rar, .7z, .jpg, .sln, .crdownload, .msi, .vb, .vbs,. vbt, .config, .resx, .vbproj, .json, .jpeg, .scss, .css, .html, .hta, .ttc, .ttf, .eot, .camproj, .m4r, .001, .002, .003, .004, .005, .006, .007, .008, .009, .au, .ex, .8be, .8bf, .8bi .abr, .adf, .apk, .ai, .asd, .bin, .bat, .gif, .3dm, .3g2, .exe, .3gp, .aaf, .accdb, .aep .aepx .aet, .ai, .aif, .anv, .as, .as3,. asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .contact, .cr2, .crt, .crw, .cs, .csv, .d11, .db, .dbf .dcr .der .dng .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .iso, .idml, .iff, .ini, .sik, .indb, .indd, .indl, .indt, .iconx, .jar, .jnt, .jnt, .java, .key , .kdc, .m3u .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mpa, .mpeg, .mpg .mnv, .msg, .nef, .nnv, .odb, .odc, .odm, .odp, .ods, .odt, .o rf, .p12, .p7b, .plc, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd .pot .pot .potm .potx .ppam, .ppj, .pps,. ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw .svg, .swf, .tif, .vcf, .vob, .wav, .wb2,. wrria, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .x11, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx.

O Exotic Squad Ransomware Usa um Aplicativo HTA e o Serviço de Mensagens do Windows para Notificar o Usuário sobre uma Criptografia Bem-Sucedida

O mesmo comportamento foi introduzido com o Black Feather Ransomware, que aproveitava os serviços internos do Windows para entregar a nota de resgate. Os relatórios revelam que os usuários infectados pelo Exotic Squad Ransomware recebem uma caixa de diálogo que diz:

'O Windows está infectado pelo vírus EXOTIC!
Tente matar ou excluir-me eu mato seu PC!
Tenha um bom dia =) '

A notificação é seguida por uma janela carregada com uma foto de Adolf Hitler e o título 'Você foi fodida pelo EXOTIC SQUAD'. No entanto, não há evidências para dar suporte à conexão com o Hitler Ransomware. Quando a imagem desaparece, uma mensagem de texto aparece e diz:

'TODOS OS SEUS ARQUIVOS FORAM CRIPTADOS
Olá, todos os seus arquivos de computador foram criptografados. Mas não se preocupe! Eu não os apaguei todos. Então você tem 72 horas para pagar 50 USD em BitCoins no meu endereço BitCoin para recuperar seus arquivos! A cada 5 horas, os arquivos serão excluídos. Após 72 horas, tudo o que resta será excluído! Formataremos seu disco rígido quando você reiniciar o computador! O temporizador começa agora! Não brinque com o esquadrão EXOTIC!
TEMPO DEFINITIVO: [72 horas]
Envie 50 BitCoins no valor de USD aqui: [34 caracteres aleatórios] '

50 USD pode não parecer muito, mas você deve levar em consideração que os fabricantes do Exotic Squad Ransomware não são obrigados a enviar uma chave de descriptografia. Os desenvolvedores de malware de criptografia podem instalar um Trojan backdoor no seu PC, como vimos com o Pokemon GO Ransomware. Os usuários de computador devem considerar o uso de backups limpos para restaurar seus dados em vez de pagar o resgate. Lembre-se de que você precisará limpar seu sistema operacional Windows com um conjunto anti-malware respeitável antes de continuar a restaurar seus dados.