Wuxia Ransomware

En malware-trussel sporet som Wuxia Ransomware er blevet identificeret af infosec-forskere. Analyse af truslens underliggende kode har forbundet den med VoidCrypt Ransomware-familien. Wuxias ofre vil opleve, at de ikke er i stand til at få adgang til næsten alle de filer, der er gemt på den kompromitterede enhed. Truslen kører faktisk en stærk krypteringsrutine for at gøre en lang række filtyper ubrugelige. Målet for hackerne er derefter at afpresse de berørte brugere for penge til gengæld for at love at gendanne de krypterede filer til normal.

Som en del af sin krypteringsproces vil Wuxia også ændre de originale navne på de målrettede filervæsentligt. Truslen tilføjer et offers ID, en e-mailadresse og en ny filtypenavn. E-mailadressen, der bruges i filnavnene, er 'hushange_delbar@outlook.com', mens den nye filtypenavn er '.wuxia.' Endelig vil den levere en løsesumseddel med instruktioner til ofrene. Den løsesum-krævende besked vil blive droppet på systemet som en tekstfil ved navn 'Decryption-Guide.txt' og vist i et pop-up vindue via en fil ved navn 'Decryption-Guide.hta.'

Ransom Notes oversigt

Meddelelserne i pop op-vinduet og tekstfilen er identiske. De siger, at det er umuligt at gendanne den krypterede fil uden hjælp fra angriberne. Ofre bliver bedt om at kontakte hackerne ved hjælp af den samme e-mail som den, der er placeret i filnavnene - 'Hushange_delbar@outlook.com.' Som en del af meddelelsen skal berørte brugere inkludere to filer. Den ene skal være en krypteret fil, som hackerne vil bruge til at teste deres evne til at låse dataene op, mens den anden har en vigtig nøgle.

Ifølge noten skal nøglefilen være i mappen C:/ProgramData og hedde enten 'KEY-SE-24r6t523' eller 'RSAKEY.KEY.' Efter at have kontaktet hackerne, vil ofrene få at vide, hvor meget løsesummen de skal betale for at modtage dekrypteringsværktøjet og RSA-dekrypteringsnøglen. Den anden halvdel af løsesum-beskeden består af flere advarsler, såsom ikke at bruge tredjepartsværktøjer til at forsøge at låse filerne op eller ansætte firmaer, der tilbyder forhandlingstjenester, da det kan resultere i yderligere økonomiske omkostninger for offeret.

Den fulde tekst af notatet er:

' Dine filer er blevet låst
Dine filer er blevet krypteret med kryptografialgoritme
Hvis du har brug for dine filer, og de er vigtige for dig, så vær ikke genert, send mig en e-mail
Send testfil + nøglefilen på dit system (fil findes i C:/ProgramData eksempel: KEY-SE-24r6t523 eller RSAKEY.KEY) for at sikre, at dine filer kan gendannes
Lav en aftale om pris med mig og betal
Få dekrypteringsværktøj + RSA-nøgle OG instruktion til dekrypteringsproces

Opmærksomhed:
1- Undlad at omdøbe eller ændre filerne (du kan miste den fil)
2- Forsøg ikke at bruge tredjepartsapps eller gendannelsesværktøjer (hvis du vil gøre det, lav en kopi fra filer og prøv dem og spild din tid)
3-Geninstaller ikke operativsystemet (Windows) Du kan miste nøglefilen og miste dine filer
4-Stol ikke altid på mellemmænd og forhandlere (nogle af dem er gode, men nogle af dem er enige om f.eks. 4000 usd og spurgte 10000 usd fra klienten) dette skete

Dit sags-id: -
Vores e-mail: Hushange_delbar@outlook.com .'