Quax0r-ransomware
Quax0r ransomware is een nieuwe variant van bestandsversleutelende malware die behoort tot de Rozbeh-familie van ransomware.
Een deel van het gedrag van Quax0r ransomware is hetzelfde als bij andere families en varianten - het versleutelt veelvoorkomende bestandstypen, waardoor ze onbruikbaar worden. Veelgebruikte bestandstypen worden beïnvloed door de codering, inclusief media-, archief- en documentbestanden.
Wat Quax0r anders doet in vergelijking met bijna elke andere vorm van ransomware, is hoe het omgaat met versleutelde bestanden. Bijna elke vorm van ransomware verandert de extensies en namen van bestanden, waarbij meestal slachtoffer-ID-strings en nieuwe extensies aan de bestanden worden toegevoegd. Met Quax0r gebeurt dit allemaal niet - de ransomware laat het versleutelde bestand er precies hetzelfde uitzien als voorheen - zonder enige wijziging in de bestandsnaam of extensie.
Quax0r laat ook zijn losgeldbrief niet in een tekstbestand vallen, maar gebruikt in plaats daarvan het opdrachtpromptvenster. De volledige tekst van het bericht is als volgt:
Alle bestanden zijn versleuteld door NominatusCrypto (Quax0r) neem contact op met de maker van dit virus op discord Nominatus#9251 voor meer informatie. Als je opnieuw opstart, is je account nutteloos! bestanden kunnen niet worden gedecodeerd zonder het losgeld te betalen aan de maker!! leef of sterf? maak nu uw keuze!
Omdat er geen bedrag wordt vermeld in de losgeldbrief en wat lijkt op een scriptkiddie die een Discord-account gebruikt voor hun criminele activiteiten, is het niet raadzaam om te onderhandelen met de auteur van de Quax0r en offline back-ups blijven de beste optie voor het herstellen van bestanden.