Nwgen Ransomware
Kiberbűnözők egy csoportja az Nwgen Ransomware névre keresztelt erős kártevő fenyegetéssel veszi célba a vállalati szervezeteket. A támadók beszivárognak áldozataik számítógépeibe, bevetik a fenyegető rakományt, és hagyják, hogy az szinte az összes ott tárolt fájlt titkosítsa. A fenyegetés teljes mértékben elérhetetlenné teheti az összes dokumentumot, adatbázist, archívumot és még sok mást.
Az érintett fájlok áttekintése során kiderült, hogy mindegyiket úgy jelöltük meg, hogy az eredeti nevükhöz '.nwgen'-t fűztünk új kiterjesztésként. Miután befejezte az összes megfelelő fájl titkosítását, az Nwgen létrehoz egy szöveges fájlt a rendszer asztalán. Ennek a fájlnak a neve "How To Restore Your Files.txt", és tartalmaz egy váltságdíjat tartalmazó feljegyzést a hackerek utasításaival.
A Ransom Note részletei
A megjegyzés szerint az Nwgen az AES-256-CRT kriptográfiai algoritmus és a ChaCha8 titkosítás kombinációját használja. Azt is kijelenti, hogy az áldozatoknak 150 000 dollárt kell fizetniük, hogy megkapják a visszafejtő szoftvert a támadóktól. Az összeget a jegyzetben található kriptopénztárca címre kell küldeni. Ezenkívül a hackerek kijelentik, hogy csak a Monero kriptovalutával végrehajtott fizetéseket ismernék el.
Hogy további nyomást gyakoroljanak a kompromittált szervezetre, hogy fizessen be, a kriberbűnözők azt is állítják, hogy hatalmas mennyiségű érzékeny adatot (200 GB) szereztek be a fertőzött rendszerekről. Most azzal fenyegetőznek, hogy elkezdik kiszivárogtatni az információkat a nyilvánosság felérészben, miközben megpróbál megfelelő vevőt találni. Ennek elkerülése érdekében az áldozatoknak a ransomware támadást követő 12 órán belül kommunikációt kell kezdeményezniük. Ezt megtehetik a „yourd34d@ctemplar.com” e-mail címre vagy a „@redeyeg0d” Telegram-fiókkal.
Az Nwgen Ransomware követeléseinek teljes szövege a következő:
Valószínűleg azon tűnődsz, miért kapsz tőlem üzenetet.
Tegnap * megsértették.Valószínűleg nem tud róla, de az elmúlt néhány napban kiszűrtük az összes olyan adatát, amely a kezünkbe került.
Több mint 200 GB adatot vettünk át ( dba / páciens felhasználói adatai / netshares / vdi szerverek ).Mi történt a fájljaiddal?
Behatoltak a hálózatába.
Minden fájlját AES-256-CTR és ChaCha8 Cipher segítségével titkosították.
FIGYELEM:
Ne próbálja megfejteni a fájljait, az árnyékmásolatokat eltávolították,
A helyreállítási módszerek bizonyos fájlok helyreállításának ellehetetlenüléséhez vezethetnek.Kizárólag dekódoló szoftverünk van az Ön helyzetéhez,
dekódoló szoftver nem érhető el a nyilvánosság számára.Fizessen 150 000 (USD) XMR-ben (Monero) erre a címre: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUaHNv1uSY1Fxo
Hogyan vásárolhat XMR-t?hxxps://bisq.network/ XMR megvásárlásához a fiat használatával.
Alternatív megoldásként használjon kriptovaluta tőzsdét XMR vásárlásához:
hxxps://www.kraken.com/
Használja ezt az útmutatót: hxxps://www.getmonero.org/
A megadott összeg pénztárcánkba történő elküldését követően biztosítjuk Önnek
a visszafejtő kulcsokkal a fájlok zárolásának feloldásához.Ha nem válaszol (24 órás határidő, most kezdődik), vagy nem kapunk választ Öntől
elkezdjük megjeleníteni az adatokat potenciális vásárlóinknak, és egy részleges adatot kiszivárogtatunk,
Minden ügyfelét (ügyfelet/munkaadót) tájékoztatjuk és igazoljuk, hogy adatait feltörték.
és tegyen közzé mindent nyilvánosan több helyen és üzletben, hogy minél több vásárló érdeklődjön az adatok megvásárlása iránt
valamint ezen adatok elérhetőségének jelentését a megfelelő hírplatformoknak.Kapcsolatba lépni:
távirat: @redeyeg0d
email: yourd34d@ctemplar.com