Nwgen Ransomware
Група от киберпрестъпници е насочена към корпоративни организации с мощна заплаха за злонамерен софтуер, наречена Nwgen Ransomware. Нападателите проникват в компютрите на своите жертви, разгръщат заплашителния полезен товар и го оставят да криптира почти всички файлове, съхранявани там. Заплахата може да направи всички документи, бази данни, архиви и други напълно недостъпни.
Разглеждането на засегнатите файлове разкри, че всеки от тях е маркиран чрез добавяне на ".nwgen" към оригиналните им имена като ново разширение. След като приключи с криптирането на всички подходящи файлове, Nwgen ще продължи да създаде текстов файл на работния плот на системата. Този файл се казва „Как да възстановите вашите файлове.txt“ и съдържа бележка за откуп с инструкции от хакерите.
Подробности за бележката за откуп
Според бележката Nwgen използва комбинация от криптографския алгоритъм AES-256-CRT и шифра ChaCha8. В него се посочва също, че за да получат софтуера за декриптиране от нападателите, се очаква жертвите да платят сумата от 150 000 долара. Средствата трябва да бъдат изпратени на адреса на крипто портфейла, който се намира в бележката. Освен това хакерите заявяват, че ще разпознават само плащания, извършени с помощта на криптовалутата Monero.
За да окажат допълнителен натиск върху компрометираната организация да плати, криберпрестъпниците също твърдят, че са получили огромни количества чувствителни данни (200 GB) от заразените системи. Сега те заплашват, че ще започнат да изтичат информацията до общественосттачастично, докато се опитва да намери подходящ купувач. За да се избегне този резултат, се очаква жертвите да започнат комуникация в рамките на 12 часа след атаката на ransomware. Те могат да направят това, като изпратят съобщения до имейла „yourd34d@ctemplar.com“ или „@redeyeg0d“ в акаунта в Telegram.
Пълният текст на исканията на Nwgen Ransomware е:
Вероятно се чудите защо получавате съобщение от мен.
Вчера, * беше нарушено.Вероятно не сте наясно, но през последните няколко дни ексфилтрирахме всички ваши данни, до които можехме да се докопаме.
Взехме над 200 GB данни ( dba / потребителски данни на пациента / netshares / vdi сървъри ).Какво се случи с вашите файлове?
Вашата мрежа беше проникната.
Всичките ви файлове бяха криптирани с помощта на AES-256-CTR с ChaCha8 Cipher.
ВНИМАНИЕ:
Не се опитвайте да дешифрирате вашите файлове, сенчестите копия бяха премахнати,
методите за възстановяване могат да доведат до невъзможност за възстановяване на определени файлове.Ние разполагаме изключително със софтуер за декриптиране за вашата ситуация,
не е достъпен публично софтуер за декриптиране.Платете 150 000 (USD) в XMR (Monero) на този адрес: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUaNv1uFx
Как купувате XMR?hxxps://bisq.network/, за да купите XMR с помощта на фиат.
Като алтернатива използвайте обмен на криптовалута, за да закупите XMR:
hxxps://www.kraken.com/
Използвайте това ръководство: hxxps://www.getmonero.org/
След изпращане на посочената сума в нашия портфейл ние ще Ви предоставим
с ключовете за декриптиране, за да отключите вашите файлове.Ако не отговорите (24-часов краен срок, започващ сега) или не получим отговор от вас
ще започнем да показваме данните на нашите потенциални купувачи и ще изтичаме частично,
Всички ваши клиенти (клиенти/работодатели) ще бъдат информирани и ще получат доказателство, че техните данни са били компрометирани
и публикувайте всичко публично на множество места и търговски обекти, за да привлечете повече клиенти да се интересуват от закупуването на данните
както и докладване за наличието на тези данни на съответните новинарски платформи.контакт:
телеграма: @redeyeg0d
имейл: yourd34d@ctemplar.com '
