Exx Ransomware
L'Exx Ransomware est une nouvelle menace ciblant les ordinateurs vulnérables. La menace est capable d'affecter un large éventail de types de fichiers, garantissant qu'elle cause le maximum de dommages possibles à l'appareil infecté. Les victimes d'Exx Ransomware ne pourront pas accéder ou utiliser l'un de leurs fichiers personnels ou liés au travail. Les fichiers ciblés seront cryptés avec un algorithme cryptographique puissant et '.exx' sera ajouté à leurs noms d'origine. Une fois son processus de cryptage terminé, Exx Ransomware passera à la livraison de sa note de rançon.
Les instructions laissées par les cybercriminels seront supprimées sous plusieurs formes, garantissant que les victimes du malware les voient dès que possible. Exx Ransomware remplacera d'abord le fond d'écran par défaut du bureau par une nouvelle image nommée "HELP_RESTORE_FILES.bmp". La demande de rançon sera également placée dans des fichiers texte nommés "HELP_RESTORE_FILES.txt". Enfin, une fenêtre contextuelle sera créée sur l'écran du bureau.
Les différentes notes varient un peu, mais contiennent essentiellement le même message - les fichiers du système ont été cryptés avec l'algorithme de cryptage RSA-2048 et la clé de décryptage est stockée sur un serveur distant. Pour restaurer les données, les utilisateurs devront contacter les cybercriminels et répondre à leurs demandes. Exx Ransomware fournit des liens publics vers un site Web dédié et un lien direct qui n'est accessible que via le navigateur TOR. De plus, la fenêtre contextuelle affiche un compte à rebours qui, selon le message, indique l'heure à laquelle la clé de déchiffrement sera enregistrée sur le serveur. Une fois que la minuterie atteint zéro, la clé sera soi-disant supprimée, rendant la restauration des fichiers verrouillés pratiquement impossible.
Le texte intégral de la note contextuelle est :
« Tous vos fichiers importants ont été cryptés !
Vos fichiers personnels (y compris ceux sur les disques réseau, USB, etc) ont été cryptés :
photos, vidéos, documents, etc. Cliquez sur le bouton "Afficher les fichiers" pour afficher une liste complète des fichiers cryptés,
et vous pouvez le vérifier personnellement.
Le cryptage a été effectué à l'aide d'une clé publique RSA-2048 unique et la plus puissante générée pour cet ordinateur.
Pour décrypter les fichiers, vous devez acquérir la clé privée.
La seule copie de la clé privée, qui vous permettra de décrypter vos fichiers, se trouve sur un TOR secret
serveur sur Internet; le serveur éliminera la clé après une période de temps spécifiée dans cette fenêtre.
Une fois cela fait, personne ne pourra plus jamais restaurer vos fichiers…
Afin de décrypter les fichiers, appuyez sur le bouton pour ouvrir votre page personnelle et suivez les instructions.
[Bouton de décryptage de fichier]
en cas de dysfonctionnement du "bouton de décryptage de fichier", utilisez l'une des portes publiques :
hxxp://iq3ahijcfeont3xx.sm4i8smr3f43.com ou
hxxps://iq3ahijcfeont3xx.tor2web.blutmagie.de
Utilisez votre adresse Bitcoin pour entrer sur le site : 15Wgt4Fpgg6Mxai1BJ3yUJrznL9w79FJpm
[Cliquez pour copier l'adresse Bitcoin dans le presse-papiers]
si les deux portes bouton et réserve ne s'ouvrent pas, veuillez suivre ces étapes :
Vous devez installer le navigateur TOR www.torproject.org/projects/torbrowser.html.en
Après l'installation, exécutez le navigateur et l'adresse finale iq3ahijcfeont3xx.onion
Suivez les instructions sur le site Web. Nous vous rappelons que plus tôt vous le ferez,
plus il reste de chances de récupérer les fichiers.
Il n'y a pas d'autre moyen de restaurer vos fichiers que d'effectuer le paiement.
Toute tentative de suppression ou de corruption de ce logiciel entraînera une
élimination de la clé privée par le serveur.
[Afficher les fichiers] [Entrer la clé de décryptage]
Le message dans l'image de fond d'écran et le fichier texte est identique et indique :
Tous vos documents, photos, bases de données et autres fichiers importants ont été cryptés
avec la clé de cryptage RSA-2048 la plus puissante, générée pour cet ordinateur.
La clé de déchiffrement privée est stockée sur un serveur Internet secret et personne ne peut
décryptez vos fichiers jusqu'à ce que vous payiez et obteniez la clé privée.
Si vous voyez la fenêtre rouge principale du chiffreur, examinez-la et suivez les instructions.
Sinon, il semble que vous ou votre antivirus avez supprimé le programme de cryptage.
Vous avez maintenant la dernière chance de décrypter vos fichiers.
Ouvrez dans votre navigateur l'un des liens :
hxxp://iq3ahijcfeont3xx.fenaow48fn42.com
hxxp://iq3ahijcfeont3xx.sm4i8smr3f43.com
hxxps://iq3ahijcfeont3xx.tor2web.blutmagie.de
Ce sont des portes publiques vers le serveur secret.
Copiez et collez l'adresse Bitcoin suivante dans le formulaire de saisie sur le serveur. Évitez les fautes d'impression.
15Wgt4Fpgg6Mxai1BJ3yUJrznL9w79FJpm
Suivez les instructions sur le serveur.
Si vous rencontrez des problèmes avec les portails, utilisez la connexion directe :
- Téléchargez le navigateur Tor à partir de hxxp://torproject.org
- Dans le navigateur Tor, ouvrez le fichier hxxp://iq3ahijcfeont3xx.onion/
Notez que ce serveur est disponible via le navigateur Tor uniquement.
Réessayez dans 1 heure si le site n'est pas accessible.
Copiez et collez l'adresse Bitcoin suivante dans le formulaire de saisie sur le serveur. Évitez les fautes d'impression.
15Wgt4Fpgg6Mxai1BJ3yUJrznL9w79FJpm
Suivez les instructions sur le serveur. '
