Exx Ransomware
De Exx Ransomware is een nieuwe bedreiging die zich richt op kwetsbare computers. De dreiging kan een breed scala aan bestandstypen aantasten en ervoor zorgen dat het de maximaal mogelijke schade aan het geïnfecteerde apparaat veroorzaakt. Slachtoffers van de Exx Ransomware krijgen geen toegang tot of gebruik van hun persoonlijke of werkgerelateerde bestanden. De doelbestanden worden versleuteld met een sterk cryptografisch algoritme en er wordt '.exx' aan hun oorspronkelijke naam toegevoegd. Nadat het coderingsproces is voltooid, gaat de Exx Ransomware verder met het afleveren van de losgeldbrief.
De instructies die door de cybercriminelen zijn achtergelaten, worden in meerdere vormen neergezet, zodat de slachtoffers van de malware ze zo snel mogelijk zien. De Exx Ransomware zal eerst de standaard bureaubladachtergrond vervangen door een nieuwe afbeelding met de naam 'HELP_RESTORE_FILES.bmp'. Het losgeldbriefje zal ook in tekstbestanden met de naam 'HELP_RESTORE_FILES.txt' worden geplaatst. Ten slotte wordt een pop-upvenster gemaakt op het bureaubladscherm.
De verschillende notities variëren een beetje, maar bevatten in wezen hetzelfde bericht - de bestanden op het systeem zijn gecodeerd met het RSA-2048-coderingsalgoritme en de decoderingssleutel is opgeslagen op een externe server. Om de gegevens te herstellen, moeten gebruikers contact opnemen met cybercriminelen en aan hun eisen voldoen. De Exx Ransomware biedt openbare links naar een speciale website en een directe link die alleen toegankelijk is via de TOR-browser. Verder toont het pop-upvenster een afteltimer die volgens het bericht de tijd aangeeft dat de decoderingssleutel op de server wordt opgeslagen. Nadat de timer nul heeft bereikt, wordt de sleutel zogenaamd verwijderd, waardoor het herstellen van de vergrendelde bestanden vrijwel onmogelijk is.
De volledige tekst van de pop-upnotitie is:
' Al uw belangrijke bestanden zijn versleuteld!
Uw persoonlijke bestanden (inclusief die op de netwerkschijven, USB, enz.) zijn versleuteld:
foto's, video's, documenten, enz. Klik op de knop "Bestanden weergeven" om een volledige lijst met versleutelde bestanden te bekijken,
en u kunt dit persoonlijk verifiëren.
De codering is uitgevoerd met een unieke, sterkste openbare RSA-2048-sleutel die voor deze computer is gegenereerd.
Om bestanden te decoderen, moet u de privésleutel verkrijgen.
Het enige exemplaar van de privésleutel waarmee u uw bestanden kunt ontsleutelen, bevindt zich op een geheime TOR
server op internet; de server zal de sleutel verwijderen na een in dit venster gespecificeerde tijdsperiode.
Zodra dit is gebeurd, zal niemand ooit uw bestanden kunnen herstellen...
Om bestanden te decoderen, drukt u op de knop om uw persoonlijke pagina te openen en volgt u de instructies.
[Knop voor bestandsdecodering]
gebruik in het geval van een storing "Bestandsdecoderingsknop" een van de openbare poorten:
hxxp://iq3ahijcfeont3xx.sm4i8smr3f43.com of
hxxps://iq3ahijcfeont3xx.tor2web.blutmagie.de
Gebruik uw Bitcoin-adres om de site te openen: 15Wgt4Fpgg6Mxai1BJ3yUJrznL9w79FJpm
[Klik om het Bitcoin-adres naar het klembord te kopiëren]
als zowel de knop als de reservepoort niet openen, volg dan deze stappen:
U moet de TOR-browser www.torproject.org/projects/torbrowser.html.en . installeren
Voer na de installatie de browser uit en voer het adres iq3ahijcfeont3xx.onion in
Volg de instructies op de website. We herinneren u eraan dat hoe eerder u dit doet,
hoe meer kansen er zijn om de bestanden te herstellen.
Er is geen andere manier om uw bestanden te herstellen, behalve door de betaling te doen.
Elke poging om deze software te verwijderen of te beschadigen, resulteert in onmiddellijke
verwijdering van de privésleutel door de server.
[Toon bestanden] [Enter Decrypt Key]
Het bericht in de achtergrondafbeelding en het tekstbestand is identiek en er staat:
Al uw documenten, foto's, databases en andere belangrijke bestanden zijn versleuteld
met sterkste encryptie RSA-2048-sleutel, gegenereerd voor deze computer.
Privé-decoderingssleutel wordt opgeslagen op een geheime internetserver en niemand kan
decodeer uw bestanden totdat u betaalt en de privésleutel verkrijgt.
Als u het rode hoofdvenster van de versleutelaar ziet, onderzoek het dan en volg de instructies.
Anders lijkt het erop dat u of uw antivirus het encryptorprogramma heeft verwijderd.
Nu heb je de laatste kans om je bestanden te decoderen.
Open in uw browser een van de links:
hxxp://iq3ahijcfeont3xx.fenaow48fn42.com
hxxp://iq3ahijcfeont3xx.sm4i8smr3f43.com
hxxps://iq3ahijcfeont3xx.tor2web.blutmagie.de
Het zijn openbare poorten naar de geheime server.
Kopieer en plak het volgende Bitcoin-adres in het invoerformulier op de server. Vermijd drukfouten.
15Wgt4Fpgg6Mxai1BJ3yUJrznL9w79FJpm
Volg de instructies op de server.
Als je problemen hebt met poorten, gebruik dan directe verbinding:
- Tor Browser downloaden van hxxp://torproject.org
- Open in de Tor-browser de hxxp://iq3ahijcfeont3xx.onion/
Merk op dat deze server alleen beschikbaar is via Tor Browser.
Probeer het over 1 uur opnieuw als de site niet bereikbaar is.
Kopieer en plak het volgende Bitcoin-adres in het invoerformulier op de server. Vermijd drukfouten.
15Wgt4Fpgg6Mxai1BJ3yUJrznL9w79FJpm
Volg de instructies op de server. '
