Wuxia Ransomware
Výzkumníci společnosti Infosec identifikovali malwarovou hrozbu sledovanou jako Wuxia Ransomware. Analýza základního kódu hrozby ji připojila k rodině VoidCrypt Ransomware. Oběti Wuxia zjistí, že nemají přístup k téměř všem souborům uloženým na napadeném zařízení. Hrozba skutečně spouští silnou šifrovací rutinu, která činí širokou škálu typů souborů nepoužitelnými. Cílem hackerů je pak vymáhat od postižených uživatelů peníze výměnou za slib obnovení zašifrovaných souborů do normálu.
V rámci svého šifrovacího procesu Wuxia také změní původní názvy cílových souborůvýrazně. Hrozba připojí ID oběti, e-mailovou adresu a novou příponu souboru. E-mailová adresa použitá v názvech souborů je „hushange_delbar@outlook.com“, zatímco nová přípona souboru je „.wuxia“. Nakonec obětem doručí výkupné s pokyny. Zpráva požadující výkupné bude vhozena do systému jako textový soubor s názvem „Decryption-Guide.txt“ a zobrazena ve vyskakovacím okně prostřednictvím souboru s názvem „Decryption-Guide.hta“.
Přehled Ransom Note
Zprávy ve vyskakovacím okně a textový soubor jsou totožné. Uvádějí, že obnovení zašifrovaného souboru bez asistence útočníků je nemožné. Oběti jsou instruovány, aby kontaktovaly hackery pomocí stejného e-mailu, který je uveden v názvech souborů – 'Hushange_delbar@outlook.com.' Jako součást zprávy musí dotčení uživatelé zahrnout dva soubory. Jedním by měl být zašifrovaný soubor, který hackeři použijí k testování schopnosti odemknout data, zatímco druhý nese důležitý klíč.
Podle poznámky by měl být soubor klíče ve složce C:/ProgramData a měl by se jmenovat buď 'KEY-SE-24r6t523' nebo 'RSAKEY.KEY.' Po kontaktování hackerů bude obětem sdělena částka výkupného, kterou budou muset zaplatit, aby obdrželi dešifrovací nástroj a dešifrovací klíč RSA. Druhá polovina zprávy o výkupném se skládá z několika varování, jako je nepoužívání nástrojů třetích stran ke snaze odemknout soubory nebo najímání firem nabízejících vyjednávací služby, protože by to mohlo mít za následek dodatečné finanční náklady pro oběť.
Celé znění poznámky je:
' Vaše soubory jsou uzamčeny
Vaše soubory byly zašifrovány pomocí kryptografického algoritmu
Pokud potřebujete své soubory a jsou pro vás důležité, nestyďte se a pošlete mi e-mail
Odešlete testovací soubor + soubor klíče do vašeho systému (soubor existuje v C:/ProgramData příklad: KEY-SE-24r6t523 nebo RSAKEY.KEY), abyste se ujistili, že vaše soubory lze obnovit
Domluvte se se mnou na ceně a zaplaťte
Získejte dešifrovací nástroj + klíč RSA A instrukce pro proces dešifrováníPozornost:
1- Nepřejmenovávejte ani neupravujte soubory (můžete o tento soubor přijít)
2- Nepokoušejte se používat aplikace nebo nástroje pro obnovu třetích stran (pokud to chcete udělat, udělejte si kopii ze souborů a vyzkoušejte je a ztrácejte čas)
3-Nepřeinstalujte operační systém (Windows) Můžete ztratit klíč File a uvolnit své soubory
4-Nevždy důvěřujte středním mužům a vyjednavačům (někteří z nich jsou dobří, ale někteří z nich se například dohodnou na 4000 usd a požádáni o 10000 usd od klienta) Stalo se toID vašeho případu: -
Náš e-mail: Hushange_delbar@outlook.com .'
