Wuxia Ransomware

Infosec-tutkijat ovat tunnistaneet haittaohjelmauhan, jota jäljitetään nimellä Wuxia Ransomware. Uhan taustalla olevan koodin analyysi on yhdistänyt sen VoidCrypt Ransomware -perheeseen. Wuxian uhrit eivät voi käyttää lähes kaikkia vaarantuneelle laitteelle tallennettuja tiedostoja. Itse asiassa uhka käyttää vahvaa salausrutiinia, joka tekee useista tiedostotyypeistä käyttökelvottomia. Hakkereiden tavoitteena on sitten kiristää käyttäjiltä rahaa vastineeksi siitä, että he lupaavat palauttaa salatut tiedostot normaaliksi.

Osana salausprosessiaan Wuxia muuttaa myös kohdetiedostojen alkuperäiset nimetmerkittävästi. Uhka liittää mukaan uhrin tunnuksen, sähköpostiosoitteen ja uuden tiedostotunnisteen. Tiedostojen nimissä käytetty sähköpostiosoite on hushange_delbar@outlook.com, kun taas uusi tiedostopääte on .wuxia. Lopuksi se toimittaa uhreille lunnaat, joissa on ohjeet. Lunnaita vaativa viesti pudotetaan järjestelmään tekstitiedostona nimeltä "Decryption-Guide.txt" ja näytetään ponnahdusikkunassa "Decryption-Guide.hta" -tiedoston kautta.

Ransom Note:n yleiskatsaus

Viestit ponnahdusikkunassa ja tekstitiedosto ovat identtisiä. He toteavat, että salatun tiedoston palauttaminen ilman hyökkääjien apua on mahdotonta. Uhreja neuvotaan ottamaan yhteyttä hakkereihin käyttämällä samaa sähköpostiosoitetta, joka on tiedoston nimissä - Hushange_delbar@outlook.com. Asianomaisten käyttäjien on sisällytettävä viestiin kaksi tiedostoa. Yhden pitäisi olla salattu tiedosto, jota hakkerit testaavat kykynsä avata tiedot, kun taas toisella on tärkeä avain.

Huomautuksen mukaan avaintiedoston tulee olla C:/ProgramData-kansiossa ja sen nimen tulee olla joko 'KEY-SE-24r6t523' tai 'RSAKEY.KEY'. Otettuaan yhteyttä hakkereihin uhreille kerrotaan lunnaiden määrä, joka heidän on maksettava saadakseen salauksenpurkutyökalun ja RSA-salauksenpurkuavaimen. Lunnasviestin toinen puoli koostuu useista varoituksista, kuten siitä, ettei tiedostojen lukituksen avaamiseen yritetä käyttää kolmannen osapuolen työkaluja tai palkata neuvottelupalveluita tarjoavia yrityksiä, koska se voi aiheuttaa lisäkustannuksia uhrille.

Muistiinpanon koko teksti on:

' Tiedostosi on lukittu
Tiedostosi on salattu salausalgoritmilla
Jos tarvitset tiedostosi ja ne ovat sinulle tärkeitä, älä ujostele, lähetä minulle sähköpostia
Lähetä testitiedosto + järjestelmäsi avaintiedosto (tiedosto on olemassa C:/ProgramData-esimerkissä: KEY-SE-24r6t523 tai RSAKEY.KEY) varmistaaksesi, että tiedostosi voidaan palauttaa
Tee hintasopimus kanssani ja maksa
Hanki salauksenpurkutyökalu + RSA-avain JA ohjeet salauksen purkamiseen

Huomio:
1 - Älä nimeä tai muokkaa tiedostoja uudelleen (saatat menettää tiedoston)
2- Älä yritä käyttää kolmannen osapuolen sovelluksia tai palautustyökaluja (jos haluat tehdä sen, tee kopio tiedostoista ja kokeile niitä ja tuhlaa aikaasi)
3-Älä asenna käyttöjärjestelmää uudelleen (Windows) Saatat menettää avaintiedoston ja menettää tiedostosi
4-Älä aina luota keskimiehiin ja neuvottelijoihin (jotkut heistä ovat hyviä, mutta jotkut ovat samaa mieltä esimerkiksi 4000usd:sta ja asiakkaalta kysyttiin 10000usd) näin tapahtui

Tapaustunnuksesi: -
Sähköpostimme: Hushange_delbar@outlook.com .'