Шифровальщик Exotic версии 1.0 был впервые замечен исследователем MalwareHunterTeam 12 октября 2016 года. Тогда специалист предложил другим ИБ-экспертам в Twitter провести совместный анализ, что является вполне нормальной практикой. Один из участников коллективного мозгового штурма, известный под ником GrujaRS, записал видео, на котором продемонстрировал работу малвари.
В целом, Exotic оказался ничем непримечательным образчиком вымогательского ПО. Известно, что малварь шифрует файлы в определенных директориях, с применением алгоритма AES-128, в процессе изменяет их расширение на .exotic, а затем требует у жертвы весьма скромный по нынешним меркам выкуп, всего $50. В данном случае более интересно другое. Некто, известный только под псевдонимами EvilTwin и Exotic Squad, связался с GrujaRS и представился разработчиком малвари. Вирусописатель поблагодарил специалиста за проделанную работу и записанное видео, и даже предложил «подружиться» в Skype, если исследователь хочет получить эксклюзивные подробности из первых рук.
@BleepinComputer Message correspondence between the author EvilTwin Exotic #Ransomware and me! pic.twitter.com/1TJrf0LCEW
— CyberSecurity (@GrujaRS) October 15, 2016
Пока удивленные ИБ-специалисты обсуждали эту странную наглость, в сети появились новые версии Exotic: 2.0 и 3.0, соответственно. По сравнению с первой версией, вредонос подвергся минимальным изменениям. Так, если Exotic 1.0 использовал изображение Гитлера, которое выводилось на фоне вымогательского послания (автор явно вдохновлялся вымогателем Hitler), то последующие версии выполнены в более минималистическом стиле и скорее вдохновлены шифровальщиком Jigsaw.
Специалисты Bleeping Computer, тоже принявшие участие в изучении малвари, обнаружили в Exotic баг. Поначалу эксперты предположили, что вымогатель осуществляет постоянный мониторинг всего происходящего в системе и следит за появлением новых файлов, чем сильно загружает зараженную машину. Однако вскоре стало ясно, что дело вовсе не в этом. Исследователи приводят простой пример: сначала шифровальщик поражает директорию %Desktop%, а затем шифрует все остальное. Последней зашифрованной директорией оказывается %UserProfile%, которая также содержит и Desktop. В итоге Exotic шифрует %UserProfile% повторно, и атакует Desktop дважды.
