Exotic Ransomware - Hoe te verwijderen

De Exotic (of Exotic Squad) ransomware, geschreven in Visual Basic, is een nieuw Trojaans virus dat gedetecteerd werd op 12 oktober 2016. Deze nieuwe ransomware dreiging, werd ontworpen door de hacker EvilTwin/Exotic Squad, en versleuteld je dat met het populaire asymmetrische codering algoritme en vraagt dan om een losgeld. De Exotic ransomware werd gedetecteerd onder de volgende namen: Ransom_EXOTIC.A, Trojan.Win32.Generic.pak!cobra, Trojan.win32.skeeyah.a!rfn, Win32.Trojan.Gen.Eyb, Win32/Trojan.Ransom.685, Win32:Malware-gen. Aangezien deze ransomware zich richt op de uitvoeringsbestanden onder de data bestanden, kan het programma’s uitschakelen. Momenteel bevindt het Exotic virus zich nog in het ontwikkelingsstadium.

Hoe wordt de Exotic Ransomware Infectie Verspreid?

Aangezien de Exotic cryptomalware een Trojaanse infectie is, wordt het verdeeld via geïnfecteerde bestanden, die zo vermomd zijn dat gebruikers ze willen openen, en zodoende wordt de payload van het virus gedownload op het systeem. Bestanden, die geïnfecteerd zijn met het Exotic virus worden aangehecht aan e-mails, die willekeurig verzonden worden. Deze e-mails worden geclassificeerd als spam. Als je dus een vreemde e-mail opmerkt in je spam map, is dit een duidelijk teken dat er een ransomware aangehecht is. In het geval van de Exotic ransomware, zijn het meestal DOCX en PDF bestanden die gecompromitteerd zijn en toegevoegd worden als spam e-mail bijlagen. Of deze e-mails of hun bijlagen bevatten logo’s van bestaande, gereputeerde bedrijven of wettelijke instanties om hen overtuigender te maken.

Hoe werkt de Exotic Ransomware?

Zoals we reeds onthulden, gebruikt het Exotic bestand versleutelende virus een AES-128 code om je bestanden te versleutelen. De bestanden van de volgende mappen worden versleuteld:

%UserProfile%Bureaublad

%UserProfile%MijnMuziek

%UserProfile%Persoonlijk

%UserProfile%MijnVideo’s

%UserProfile%Contacten

%UserProfile%Downloads

%UserProfile%MijnFoto’s

/vmware-host/

%UserProfile%

De bestanden met de volgende extensies vormen het doelwit van deze crypto malware:

.txt, .exe, .text, .cur, .contact, .ani, .xls, .com, .url, .ppt, .src, .cmd, .tgz, .fon, .pl, .load, .CompositeFont, .png, .exe, .mp3, .mkv, .veg, .mp4, .lnk, .zip, .rar, .7z, .jpg, .sln, .crdownload, .msi, .vb, .vbs, .vbt, .config, .resx, .vbproj, .json, .jpeg, .scss, .css, .html, .hta, .ttc, .ttf, .eot, .camproj, .m4r, .001, .002, .003, .004, .005, .006, .007, .008, .009, .au, .aex, .8be, .8bf, .8bi, .abr, .adf, .apk, .ai, .asd, .bin, .bat, .gif, .3dm, .3g2, .exe, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .anv, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .contact, .cr2, .crt, .crw, .cs, .csv, .d11, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .iso, .idml, .iff, .ini, .sik, .indb, .indd, .indl, .indt, .iconx, .jar, .jnt, .jnt, .java, .key, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mpa, .mpeg, .mpg, .mnv, .msg, .nef, .nnv, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .plc, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wrria, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .x11, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx

Deze bestanden worden voorzien van de bijkomende extensie .exotic. Daarnaast, worden ook hun namen verandert in een reeks van willekeurige tekens. Bijvoorbeeld, als je een Book.pdf bestand had, wordt dit hernoemd in cdfv!/.pdf.exotic. Als alle bestanden met de bovenstaande extensies versleuteld zijn en dus onleesbaar, toont de Exotic codering Trojaan de losgeld brief onder de vorm van een Puzzel, waarop de letters van de tekst verschijnen alsof ze getypt worden en zodoende een realtime indruk geven:

Voordat de losgeld brief getoond wordt, krijgt het slachtoffer een pop-up te zien met de volgende tekst:

Windows werd geïnfecteerd door het EXOTIC Virus! / Probeer me te Doden of te Verwijderen en ik vermoord je PC! / Nog een prettige dag =)

Daarnaast, kan je ook nog het volgend bericht te zien krijgen met op de achtergrond een afbeelding van Adolf Hitler en de Nazi vlag:

Er worden je 72 uur of 3 dagen gegund om het losgeld over te maken. Het losgeld bedraagt 50 USD, wat omgezet dient te worden in BitCoins en aan het BitCoin adres in de rechterbovenhoek van de losgeld brief dient overgemaakt te worden . De hacker, die de Exotic ransomware ontwierp, stelt dat elke 5 uur een niet nader genoemd aantal van de gegijzelde bestanden zal worden verwijdert . Er bevind zich ook een aftelklok in de linkerbovenhoek van het bericht. Hoewel de som, die de cybercriminelen vragen, relatief klein is, kan je nooit weten of zijn honger niet aanzwelt van zodra je de betaling uitvoerde.

Wat moet je doen als je computer geïnfecteerd werd met de Exotic Ransomware?

Kopieer de geïnfecteerde schijf en herstart je PC in Veilige Modus. Het eerste wat je moet doen, is opdat je voorbeelden van geïnfecteerde bestanden hebt om te gebruiken bij een toekomstige legitieme decoder. Het laatste moet je doen om te voorkomen dat de ransomware in staat is om de antivirus toepassing te beletten zijn taak uit te voeren, welke het verwijderen van deze kwaadaardige malware is. Gebruik de Spyhunter of Hitman automatische anti-malware tools om de Exotic codering malware te verwijderen. Hieronder kan je de handmatige verwijderingsinstructies vinden. We aarzelen echter om aan te raden deze te gebruiken, omdat het handmatig verwijderen van ransomware infecties en veel ingewikkeldere taak is fan het handmatig verwijderen van andere soorten van malware.

Hoe toegang tot je data krijgen?

Zoals je al wel begrepen hebt, is er momenteel geen legitieme en gratis decoder beschikbaar. Je eerste optie is dus je back-up te gebruiken. Je kan ook proberen om de systeemherstel functie te gebruiken en de Shadow Volume Copies nakijken. Beter zou zijn mocht je beschikken over een niet aangetaste verwijderbare schijf of andere externe opslagmedia. Als geen van de vorige opties beschikbaar is, probeer dan professionele data recovery software zoals Recuva, PhotoRec, R-Studio, recovery software by Kaspersky Lab, etc. Als geen van de suggesties hulpvol is, laat dan een bericht achter in de commentaar sectie op het einde van de pagina en we zullen proberen een oplossing te vinden.

Hoe Exotic Ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt

voor Windows 7 / Vista/ XP

• Start → Afsluiten → Herstarten → OK.
• Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
• Kies Veilige Modus met Opdracht Prompt.

voor Windows 8 / 10

• Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten.
• Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
• Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.

Systeembestanden en instellingen herstellen.

• Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
• Geef dan rstrui.exe in en druk opnieuw op Enter.
• Klik op “Volgende” in het venster dat verscheen.
• Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Exotic Squad Ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.
• Om het Systeemherstel te starten klik je op “Ja”.

2. Complete verwijdering van Exotic Ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals  Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Exotic Squad Ransomware.

3. Herstel door Exotic Ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Exotic Squad Ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.