Wuxia Ransomware

Заплаха от злонамерен софтуер, проследявана като Wuxia Ransomware, е идентифицирана от изследователи на infosec. Анализът на основния код на заплахата го свърза със семейството на VoidCrypt Ransomware. Жертвите на Wuxia няма да могат да получат достъп до почти всички файлове, съхранявани на компрометираното устройство. Всъщност заплахата изпълнява силна рутина за криптиране, за да направи неизползваеми широк спектър от файлови типове. Целта на хакерите е след това да изнудят засегнатите потребители за пари в замяна на обещание да възстановят криптираните файлове до нормалното състояние.

Като част от процеса на криптиране, Wuxia също ще промени оригиналните имена на целевите файловезначително. Заплахата добавя идентификационния номер на жертвата, имейл адрес и ново разширение на файла. Имейл адресът, използван в имената на файловете, е „hushange_delbar@outlook.com“, докато новото разширение на файла е „.wuxia“. Накрая ще достави бележка за откуп с инструкции на жертвите. Съобщението, изискващо откуп, ще бъде пуснато в системата като текстов файл с име „Decryption-Guide.txt“ и ще се покаже в изскачащ прозорец чрез файл с име „Decryption-Guide.hta“.

Преглед на бележката за откуп

Съобщенията в изскачащия прозорец и текстовият файл са идентични. Те заявяват, че възстановяването на криптирания файл без съдействието на нападателите е невъзможно. Жертвите са инструктирани да се свържат с хакерите, като използват същия имейл като този, поставен в имената на файловете – „Hushange_delbar@outlook.com“. Като част от съобщението засегнатите потребители трябва да включват два файла. Единият трябва да бъде криптиран файл, който хакерите ще използват, за да тестват способността си да отключват данните, докато другият носи важен ключ.

Според бележката, ключовият файл трябва да бъде в папката C:/ProgramData и трябва да бъде наречен или „KEY-SE-24r6t523“ или „RSAKEY.KEY“. След като се свържат с хакерите, жертвите ще бъдат информирани за размера на откупа, който ще трябва да платят, за да получат инструмента за декриптиране и RSA ключа за декриптиране. Втората половина на съобщението за откуп се състои от множество предупреждения, като например да не се използват инструменти на трети страни за опит за отключване на файловете или да се наемат фирми, предлагащи услуги за преговори, тъй като това може да доведе до допълнителни финансови разходи за жертвата.

Пълният текст на бележката е:

Вашите файлове са заключени
Вашите файлове са криптирани с криптографски алгоритъм
Ако имате нужда от вашите файлове и те са важни за вас, не се срамувайте, изпратете ми имейл
Изпратете тестов файл + ключовия файл във вашата система (файлът съществува в C:/ProgramData пример: KEY-SE-24r6t523 или RSAKEY.KEY), за да се уверите, че вашите файлове могат да бъдат възстановени
Направете споразумение за цена с мен и платете
Вземете инструмент за декриптиране + RSA ключ И Инструкция за процеса на декриптиране

внимание:
1- Не преименувайте и не променяйте файловете (може да загубите този файл)
2- Не се опитвайте да използвате приложения на трети страни или инструменти за възстановяване (ако искате да направите това, направете копие от Файлове и ги пробвайте и губете времето си)
3-Не преинсталирайте операционната система (Windows) Може да загубите ключовия файл и да загубите вашите файлове
4-Не се доверявайте винаги на средни хора и преговарящи (някои от тях са добри, но някои от тях се съгласяват с 4000 usd например и са поискани 10000 usd от клиента) това се случи

Вашият идентификационен номер: -
Нашият имейл: Hushange_delbar@outlook.com .'