Автор вымогательского ПО Exotic ищет друзей среди ИБ-экспертов

Основным и, пожалуй, единственным предназначением вымогательских программ является принести своим создателям как можно больше денег. Тем не менее, для некоторых вирусописателей создание вредоносного ПО является способом творческого самовыражения. К таковым в частности относится разработчик из Германии EvilTwin, также известный как Exotic Squad.

EvilTwin является автором нового вымогателя Exotic, шифрующего файлы на компьютере жертвы с помощью алгоритма AES-128 и требующего $50 (в биткойнах) за их восстановление. Вредонос очень легко узнать, поскольку в уведомлении с требованием выкупа используется изображение Адольфа Гитлера. Всего за два дня были выпущены целых три версии Exotic (в двух последних версиях изображение Гитлера отсутствует).

Исследователь MalwareHunterTeam обнаружил версию Exotic 1.0 12 октября текущего года. По своему обыкновению он рассказал о новой угрозе другим исследователям через Twitter. Один из аналитиков представил видео , демонстрирующее Exotic в действии. EvilTwin был несказанно польщен, что его «творение» оценили исследователи. Он связался с автором видео, поблагодарил его за оказанное внимание и даже предложил стать друзьями в Skype.

Данный шаг вызвал у исследователей большое удивление. Вирусописатели, как правило, всеми силами стараются скрыть свою личность, в особенности от ИБ-экспертов, которые могут свести к нулю все их старания заработать на вымогательском ПО. В течение двух дней исследователи обнаружили также версии Exotic 2.0 и 3.0, однако они мало чем отличались друг от друга.

Работая над вымогателем, EvilTwin очень старался впечатлить исследователей безопасности. Тем не менее, по данным MalwareHunterTeam, вредонос ничем особо не примечателен и пока еще находится на стадии разработки.

Единственная отличительная черта Exotic на самом деле является ошибкой, заставившей исследователей сначала подумать, будто вредонос замедляет работу компьютера, сканируя его на наличие недавно добавленных файлов. В итоге оказалось, что программа просто шифровала одни и те же папки несколько раз. По данным экспертов, подобная ошибка типична для неопытных разработчиков, ранее не имевших дела с вымогательским ПО.