Exx-Ransomware
Die Exx Ransomware ist eine neue Bedrohung, die auf anfällige Computer abzielt. Die Bedrohung kann eine Vielzahl von Dateitypen betreffen und sicherstellen, dass sie dem infizierten Gerät den größtmöglichen Schaden zufügt. Opfer der Exx-Ransomware werden daran gehindert, auf ihre persönlichen oder arbeitsbezogenen Dateien zuzugreifen oder diese zu verwenden. Die Zieldateien werden mit einem starken kryptografischen Algorithmus verschlüsselt und an ihren ursprünglichen Namen wird „.exx“ angehängt. Nach Abschluss des Verschlüsselungsprozesses fährt die Exx Ransomware mit der Zustellung ihrer Lösegeldforderung fort.
Die von den Cyberkriminellen hinterlassenen Anweisungen werden in mehreren Formen abgelegt, um sicherzustellen, dass die Opfer der Malware sie so schnell wie möglich sehen. Die Exx Ransomware ersetzt zuerst das Standard-Desktop-Hintergrundbild durch ein neues Bild namens „HELP_RESTORE_FILES.bmp“. Die Lösegeldforderung wird auch in Textdateien namens 'HELP_RESTORE_FILES.txt' platziert. Schließlich wird auf dem Desktop-Bildschirm ein Popup-Fenster erstellt.
Die verschiedenen Notizen variieren ein wenig, enthalten aber im Wesentlichen die gleiche Nachricht – die Dateien auf dem System wurden mit dem Verschlüsselungsalgorithmus RSA-2048 verschlüsselt und der Entschlüsselungsschlüssel wird auf einem Remote-Server gespeichert. Um die Daten wiederherzustellen, müssen sich Benutzer an Cyberkriminelle wenden und ihre Anforderungen erfüllen. Die Exx Ransomware bietet öffentliche Links zu einer dedizierten Website und einen direkten Link, der nur über den TOR-Browser zugänglich ist. Darüber hinaus zeigt das Popup-Fenster einen Countdown-Timer an, der gemäß der Meldung die Zeit anzeigt, zu der der Entschlüsselungsschlüssel auf dem Server gespeichert wird. Nachdem der Timer Null erreicht hat, wird der Schlüssel angeblich gelöscht, was die Wiederherstellung der gesperrten Dateien praktisch unmöglich macht.
Der vollständige Text der Popup-Notiz lautet:
' Alle Ihre wichtigen Dateien wurden verschlüsselt!
Ihre persönlichen Dateien (einschließlich derjenigen auf den Netzwerklaufwerken, USB usw.) wurden verschlüsselt:
Fotos, Videos, Dokumente usw. Klicken Sie auf die Schaltfläche "Dateien anzeigen", um eine vollständige Liste der verschlüsselten Dateien anzuzeigen.
und Sie können dies persönlich überprüfen.
Die Verschlüsselung wurde mit einem eindeutigen stärksten öffentlichen RSA-2048-Schlüssel durchgeführt, der für diesen Computer generiert wurde.
Um Dateien zu entschlüsseln, müssen Sie den privaten Schlüssel erwerben.
Die einzige Kopie des privaten Schlüssels, mit der Sie Ihre Dateien entschlüsseln können, befindet sich auf einem geheimen TOR
Server im Internet; der Server entfernt den Schlüssel nach einer in diesem Fenster angegebenen Zeit.
Sobald dies geschehen ist, wird niemand mehr in der Lage sein, Ihre Dateien wiederherzustellen…
Um Dateien zu entschlüsseln, drücken Sie die Taste , um Ihre persönliche Seite zu öffnen und folgen Sie den Anweisungen.
[Schaltfläche Dateientschlüsselung]
Im Falle einer Fehlfunktion des "Datei-Entschlüsselungs-Buttons" verwenden Sie eines der öffentlichen Tore:
hxxp://iq3ahijcfeont3xx.sm4i8smr3f43.com oder
hxxps://iq3ahijcfeont3xx.tor2web.blutmagie.de
Verwenden Sie Ihre Bitcoin-Adresse, um die Site aufzurufen: 15Wgt4Fpgg6Mxai1BJ3yUJrznL9w79FJpm
[Klicken, um die Bitcoin-Adresse in die Zwischenablage zu kopieren]
Wenn sich sowohl die Tasten- als auch die Reservetore nicht öffnen, gehen Sie bitte wie folgt vor:
Sie müssen den TOR-Browser installieren www.torproject.org/projects/torbrowser.html.en
Führen Sie nach der Installation den Browser aus und beenden Sie die Adresse iq3ahijcfeont3xx.onion
Folgen Sie den Anweisungen auf der Website. Wir erinnern Sie daran, dass je früher Sie dies tun,
desto mehr Chancen bestehen, die Dateien wiederherzustellen.
Es gibt keine andere Möglichkeit, Ihre Dateien wiederherzustellen, außer die Zahlung durchzuführen.
Jeder Versuch, diese Software zu entfernen oder zu beschädigen, führt zu sofortigen
Eliminierung des privaten Schlüssels durch den Server.
[Dateien anzeigen] [Entschlüsselungsschlüssel eingeben]
Die Meldung im Hintergrundbild und in der Textdatei ist identisch und lautet:
Alle Ihre Dokumente, Fotos, Datenbanken und anderen wichtigen Dateien wurden verschlüsselt
mit dem stärksten Verschlüsselungs-RSA-2048-Schlüssel, der für diesen Computer generiert wurde.
Der private Entschlüsselungsschlüssel wird auf einem geheimen Internetserver gespeichert und niemand kann
entschlüsseln Sie Ihre Dateien, bis Sie bezahlen und den privaten Schlüssel erhalten.
Wenn Sie das rote Hauptfenster des Verschlüsselers sehen, überprüfen Sie es und befolgen Sie die Anweisungen.
Andernfalls scheinen Sie oder Ihr Antivirenprogramm das Verschlüsselungsprogramm gelöscht zu haben.
Jetzt haben Sie die letzte Chance, Ihre Dateien zu entschlüsseln.
Öffnen Sie in Ihrem Browser einen der Links:
hxxp://iq3ahijcfeont3xx.fenaow48fn42.com
hxxp://iq3ahijcfeont3xx.sm4i8smr3f43.com
hxxps://iq3ahijcfeont3xx.tor2web.blutmagie.de
Sie sind öffentliche Tore zum geheimen Server.
Kopieren Sie die folgende Bitcoin-Adresse und fügen Sie sie in das Eingabeformular auf dem Server ein. Vermeiden Sie Druckfehler.
15Wgt4Fpgg6Mxai1BJ3yUJrznL9w79FJpm
Folgen Sie den Anweisungen auf dem Server.
Wenn Sie Probleme mit Gates haben, verwenden Sie die Direktverbindung:
- Laden Sie den Tor-Browser von hxxp://torproject.org herunter
- Öffnen Sie im Tor-Browser die Datei hxxp://iq3ahijcfeont3xx.onion/
Beachten Sie, dass dieser Server nur über den Tor-Browser verfügbar ist.
Versuchen Sie es in 1 Stunde erneut, wenn die Site nicht erreichbar ist.
Kopieren Sie die folgende Bitcoin-Adresse und fügen Sie sie in das Eingabeformular auf dem Server ein. Vermeiden Sie Druckfehler.
15Wgt4Fpgg6Mxai1BJ3yUJrznL9w79FJpm
Folgen Sie den Anweisungen auf dem Server. '
