Nwgen Ransomware

Ryhmä kyberrikollisia hyökkää yritysorganisaatioihin tehokkaalla haittaohjelmauhkalla nimeltä Nwgen Ransomware. Hyökkääjät tunkeutuvat uhriensa tietokoneisiin, ottavat käyttöön uhkaavan hyötykuorman ja antavat sen salata lähes kaikki sinne tallennetut tiedostot. Uhka voi tehdä kaikki asiakirjat, tietokannat, arkistot ja muut täysin saavuttamattomiksi.

Asianomaisten tiedostojen tarkastelu paljasti, että jokainen niistä on merkitty lisäämällä '.nwgen' niiden alkuperäisiin nimiin uutena laajennuksena. Kun kaikki sopivat tiedostot on salattu, Nwgen jatkaa tekstitiedoston luomista järjestelmän työpöydälle. Tämän tiedoston nimi on "How To Restore Your Files.txt" ja se sisältää lunnaat, joissa on hakkereiden ohjeet.

Ransom Note:n tiedot

Muistiinpanon mukaan Nwgen käyttää yhdistelmää AES-256-CRT-salausalgoritmista ja ChaCha8-salausta. Siinä todetaan myös, että saadakseen salauksenpurkuohjelmiston hyökkääjiltä uhrien odotetaan maksavan 150 000 dollaria. Varat tulee lähettää muistiinpanossa olevaan kryptolompakko-osoitteeseen. Lisäksi hakkerit ilmoittavat, että he tunnistaisivat vain Monero-kryptovaluutalla suoritetut maksut.

Painottaakseen entisestään vaarantunutta organisaatiota maksamaan kriberrikolliset väittävät saaneensa valtavia määriä arkaluonteista dataa (200 Gt) tartunnan saaneista järjestelmistä. Nyt he uhkaavat alkaa vuotaa tietoa yleisölleosittain yrittäessään löytää sopivaa ostajaa. Tämän lopputuloksen välttämiseksi uhrien odotetaan aloittavan yhteydenpidon 12 tunnin kuluessa kiristysohjelmahyökkäyksestä. He voivat tehdä sen lähettämällä viestin 'yourd34d@ctemplar.com' sähköpostiin tai '@redeyeg0d' Telegram-tiliin.

Nwgen Ransomwaren vaatimusten koko teksti on:

' Ihmettelet varmaan, miksi saat minulta viestin.
Eilen, * rikottiin.

Et luultavasti ole tietoinen, mutta olemme viime päivinä suodattaneet kaikki tietosi, jotka voimme saada käsiimme.
Otimme yli 200 Gt dataa (dba:n / potilaan käyttäjätiedot / netshares / vdi-palvelimet).

Mitä tiedostoillesi tapahtui?

Verkkosi on tunkeutunut.

Kaikki tiedostosi salattiin AES-256-CTR:llä ja ChaCha8 Cipherillä.

VAROITUS:

Älä yritä purkaa tiedostojasi, varjokopiot poistettiin,
palautusmenetelmät voivat johtaa tiettyjen tiedostojen palauttamisen mahdottomuuteen.

Meillä on vain salauksenpurkuohjelmisto tilanteeseesi,
salauksen purkuohjelmistoa ei ole saatavilla julkisesti.

Maksa 150 000 (USD) XMR:ssä (Monero) tähän osoitteeseen: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUaH1uSY1FxW
Miten ostat XMR?

hxxps://bisq.network/ ostaaksesi XMR:n fiatilla.

Vaihtoehtoisesti voit ostaa XMR:n kryptovaluuttapörssistä:

hxxps://www.kraken.com/

Käytä tätä opasta: hxxps://www.getmonero.org/

Kun olet lähettänyt määritetyn summan lompakkoon, toimitamme sinulle
salauksenpurkuavaimilla avataksesi tiedostosi.

Jos et vastaa (24 tunnin määräaika, alkaen nyt), tai emme saa sinulta vastausta

alamme näyttää tietoja potentiaalisille ostajillemme ja vuotaa osittaisen

Kaikille asiakkaillesi (asiakkaallesi / työnantajallesi) tiedotetaan ja heille annetaan todiste siitä, että heidän tietonsa on vaarantunut
ja julkaise kaikki julkisesti useissa paikoissa ja myyntipisteissä saadaksesi enemmän asiakkaita kiinnostumaan datan ostamisesta
ja myös raportoida näiden tietojen saatavuudesta asianmukaisille uutisalustoille.

Ottaa yhteyttä:
sähke: @redeyeg0d
sähköposti: yourd34d@ctemplar.com