Wuxia Ransomware
تم تعقب تهديد البرامج الضارة مثل Wuxia Ransomware بواسطة باحثو إنفوسيك. ربط تحليل الكود الأساسي للتهديده بعائلة VoidCrypt Ransomware. سيجد ضحايا Wuxia أنفسهم غير قادرين على الوصول إلى جميع الملفات المخزنة على الجهاز المخترق تقريبًا. في الواقع ، يدير التهديد روتين تشفير قويًا لجعل مجموعة واسعة من أنواع الملفات غير قابلة للاستخدام. هدف المتسللين هو ابتزاز المستخدمين المتضررين مقابل المال مقابل الوعد بإعادة الملفات المشفرة إلى وضعها الطبيعي.
كجزء من عملية التشفير ، ستقوم Wuxia أيضًا بتغيير الأسماء الأصلية للملفات المستهدفةبشكل كبير. يُلحق التهديد معرف الضحية وعنوان بريد إلكتروني وامتداد ملف جديد. عنوان البريد الإلكتروني المستخدم في أسماء الملفات هو "hushange_delbar@outlook.com ، بينما امتداد الملف الجديد هو" .wuxia. " وأخيرًا ، ستسلم مذكرة فدية مع تعليمات للضحايا. سيتم إسقاط رسالة طلب الفدية على النظام كملف نصي باسم "Decryption-Guide.txt" وتظهر في نافذة منبثقة عبر ملف يسمى "Decryption-Guide.hta".
نظرة عامة على مذكرة الفدية
الرسائل الموجودة في النافذة المنبثقة والملف النصي متطابقة. يذكرون أن استعادة الملف المشفر دون مساعدة المهاجمين أمر مستحيل. يُطلب من الضحايا الاتصال بالمخترقين باستخدام نفس البريد الإلكتروني الموجود في أسماء الملفات - "Hushange_delbar@outlook.com". كجزء من الرسالة ، يجب على المستخدمين المتأثرين تضمين ملفين. يجب أن يكون أحدهما ملفًا مشفرًا سيستخدمه المتسللون لاختبار قدرتهم على فتح البيانات بينما يحمل الآخر مفتاحًا مهمًا.
وفقًا للملاحظة ، يجب أن يكون ملف المفتاح في المجلد C: / ProgramData ويجب تسميته إما "KEY-SE-24r6t523" أو "RSAKEY.KEY." بعد الاتصال بالمخترقين ، سيتم إخبار الضحايا بمبلغ الفدية التي سيتعين عليهم دفعها للحصول على أداة فك التشفير ومفتاح فك تشفير RSA. يتكون النصف الثاني من رسالة الفدية من تحذيرات متعددة ، مثل عدم استخدام أدوات الطرف الثالث لمحاولة فتح الملفات أو الاستعانة بشركات تقدم خدمات التفاوض ، حيث قد يؤدي ذلك إلى تكاليف مالية إضافية للضحية.
النص الكامل للملاحظة هو:
تم قفل ملفاتك
تم تشفير ملفاتك باستخدام خوارزمية التشفير
إذا كنت بحاجة إلى ملفاتك وكانت مهمة بالنسبة لك ، فلا تخجل من إرسال بريد إلكتروني إلي
إرسال ملف اختبار + ملف المفتاح على نظامك (الملف موجود في C: / مثال بيانات البرنامج: KEY-SE-24r6t523 أو RSAKEY.KEY) للتأكد من إمكانية استعادة ملفاتك
عقد اتفاق على السعر معي وادفع
احصل على أداة فك التشفير + مفتاح RSA وتعليمات عملية فك التشفيرالانتباه:
1- لا تقم بإعادة تسمية أو تعديل الملفات (قد تفقد هذا الملف)
2- لا تحاول استخدام تطبيقات الطرف الثالث أو أدوات الاسترداد (إذا كنت ترغب في ذلك ، فقم بنسخ نسخة من الملفات وجربها وأهدر وقتك)
3-لا تقم بإعادة تثبيت نظام التشغيل (Windows) ، فقد تفقد مفتاح الملف وتفقد ملفاتك
4-لا تثق دائمًا في الوسطاء والمفاوضين (بعضهم جيد لكن بعضهم يتفق على 4000 دولار على سبيل المثال وسُئل 10000 دولار من العميل) حدث هذامعرف قضيتك: -
بريدنا الإلكتروني: Hushange_delbar@outlook.com .
