Nwgen Ransomware

En gruppe cyberkriminelle er rettet mod virksomhedsorganisationer med en potent malwaretrussel ved navn Nwgen Ransomware. Angriberne infiltrerer deres ofres computere, implementerer den truende nyttelast og lader den kryptere næsten alle de filer, der er gemt der. Truslen kan gøre alle dokumenter, databaser, arkiver og mere utilgængelige fuldstændigt.

Ved at se på de berørte filer, afslørede det, at hver enkelt er blevet markeret ved at tilføje '.nwgen' til deres oprindelige navne som en ny udvidelse. Efter at have afsluttet kryptering af alle passende filer, fortsætter Nwgen med at oprette en tekstfil på systemets skrivebord. Denne fil hedder 'How To Restore Your Files.txt', og den indeholder en løsesum med instruktioner fra hackerne.

Ransom Notes detaljer

Ifølge notatet bruger Nwgen en kombination af AES-256-CRT kryptografisk algoritme og ChaCha8 Cipher. Det står også, at for at modtage dekrypteringssoftwaren fra angriberne, forventes ofrene at betale summen af $150.000. Midlerne skal sendes til crypto-wallet-adressen, som findes i notatet. Ydermere oplyser hackerne, at de kun vil anerkende betalinger foretaget ved hjælp af Monero kryptovaluta.

For at lægge yderligere pres på den kompromitterede organisation til at betale op, hævder kryberkriminelle også at have fået enorme mængder følsomme data (200 GB) fra de inficerede systemer. Nu truer de med at begynde at lække oplysningerne til offentlighedendels, mens man forsøger at finde en passende køber. For at undgå dette resultat forventes ofre at påbegynde kommunikation inden for 12 timer efter ransomware-angrebet. De kan gøre det ved at sende en besked til 'yourd34d@ctemplar.com'-e-mailen eller '@redeyeg0d' Telegram-kontoen.

Den fulde tekst af Nwgen Ransomwares krav er:

' Du undrer dig sikkert over, hvorfor du modtager en besked fra mig.
I går blev * brudt.

Du er sikkert ikke klar over det, men i løbet af de sidste par dage har vi eksfiltreret alle dine data, som vi kunne få fat i.
Vi overtog 200 GB i data (dba's / patientens brugerdata / netshares / vdi-servere).

Hvad skete der med dine filer?

Dit netværk er blevet trængt ind.

Alle dine filer blev krypteret ved hjælp af AES-256-CTR med ChaCha8 Cipher.

ADVARSEL:

Forsøg ikke at dekryptere dine filer, skyggekopier blev fjernet,
gendannelsesmetoder kan føre til umuligheden af gendannelse af visse filer.

Vi har udelukkende dekrypteringssoftware til din situation,
ingen dekrypteringssoftware er tilgængelig i offentligheden.

Betal 150.000 (USD) i XMR (Monero) til denne adresse: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUa1SY1uCxovNy3SY1uFoWW
Hvordan køber du XMR?

hxxps://bisq.network/ for at købe XMR ved hjælp af fiat.

Alternativt kan du bruge en Cryptocurrency-børs til at købe XMR:

hxxps://www.kraken.com/

Brug denne guide: hxxps://www.getmonero.org/

Efter at have sendt det angivne beløb til vores pung, vil vi give dig
med dekrypteringsnøglerne for at låse dine filer op.

Hvis du ikke svarer (24 timers deadline, starter nu), eller vi ikke modtager et svar fra dig

vi vil begynde at vise dataene til vores potentielle købere og lække en delvis,

Alle dine kunder (kunder / arbejdsgivere) vil blive informeret og givet bevis for, at deres data er blevet kompromitteret
og offentliggør alt på en offentlig måde flere steder og forretninger for at få flere kunder interesseret i at købe dataene
og rapporterer også tilgængeligheden af disse data til de relevante nyhedsplatforme.

Kontakt:
telegram: @redeyeg0d
e-mail: yourd34d@ctemplar.com '