Nwgen Ransomware

Kiberbűnözők egy csoportja az Nwgen Ransomware névre keresztelt erős kártevő fenyegetéssel veszi célba a vállalati szervezeteket. A támadók beszivárognak áldozataik számítógépeibe, bevetik a fenyegető rakományt, és hagyják, hogy az szinte az összes ott tárolt fájlt titkosítsa. A fenyegetés teljes mértékben elérhetetlenné teheti az összes dokumentumot, adatbázist, archívumot és még sok mást.

Az érintett fájlok áttekintése során kiderült, hogy mindegyiket úgy jelöltük meg, hogy az eredeti nevükhöz '.nwgen'-t fűztünk új kiterjesztésként. Miután befejezte az összes megfelelő fájl titkosítását, az Nwgen létrehoz egy szöveges fájlt a rendszer asztalán. Ennek a fájlnak a neve "How To Restore Your Files.txt", és tartalmaz egy váltságdíjat tartalmazó feljegyzést a hackerek utasításaival.

A Ransom Note részletei

A megjegyzés szerint az Nwgen az AES-256-CRT kriptográfiai algoritmus és a ChaCha8 titkosítás kombinációját használja. Azt is kijelenti, hogy az áldozatoknak 150 000 dollárt kell fizetniük, hogy megkapják a visszafejtő szoftvert a támadóktól. Az összeget a jegyzetben található kriptopénztárca címre kell küldeni. Ezenkívül a hackerek kijelentik, hogy csak a Monero kriptovalutával végrehajtott fizetéseket ismernék el.

Hogy további nyomást gyakoroljanak a kompromittált szervezetre, hogy fizessen be, a kriberbűnözők azt is állítják, hogy hatalmas mennyiségű érzékeny adatot (200 GB) szereztek be a fertőzött rendszerekről. Most azzal fenyegetőznek, hogy elkezdik kiszivárogtatni az információkat a nyilvánosság felérészben, miközben megpróbál megfelelő vevőt találni. Ennek elkerülése érdekében az áldozatoknak a ransomware támadást követő 12 órán belül kommunikációt kell kezdeményezniük. Ezt megtehetik a „yourd34d@ctemplar.com” e-mail címre vagy a „@redeyeg0d” Telegram-fiókkal.

Az Nwgen Ransomware követeléseinek teljes szövege a következő:

Valószínűleg azon tűnődsz, miért kapsz tőlem üzenetet.
Tegnap * megsértették.

Valószínűleg nem tud róla, de az elmúlt néhány napban kiszűrtük az összes olyan adatát, amely a kezünkbe került.
Több mint 200 GB adatot vettünk át ( dba / páciens felhasználói adatai / netshares / vdi szerverek ).

Mi történt a fájljaiddal?

Behatoltak a hálózatába.

Minden fájlját AES-256-CTR és ChaCha8 Cipher segítségével titkosították.

FIGYELEM:

Ne próbálja megfejteni a fájljait, az árnyékmásolatokat eltávolították,
A helyreállítási módszerek bizonyos fájlok helyreállításának ellehetetlenüléséhez vezethetnek.

Kizárólag dekódoló szoftverünk van az Ön helyzetéhez,
dekódoló szoftver nem érhető el a nyilvánosság számára.

Fizessen 150 000 (USD) XMR-ben (Monero) erre a címre: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUaHNv1uSY1Fxo
Hogyan vásárolhat XMR-t?

hxxps://bisq.network/ XMR megvásárlásához a fiat használatával.

Alternatív megoldásként használjon kriptovaluta tőzsdét XMR vásárlásához:

hxxps://www.kraken.com/

Használja ezt az útmutatót: hxxps://www.getmonero.org/

A megadott összeg pénztárcánkba történő elküldését követően biztosítjuk Önnek
a visszafejtő kulcsokkal a fájlok zárolásának feloldásához.

Ha nem válaszol (24 órás határidő, most kezdődik), vagy nem kapunk választ Öntől

elkezdjük megjeleníteni az adatokat potenciális vásárlóinknak, és egy részleges adatot kiszivárogtatunk,

Minden ügyfelét (ügyfelet/munkaadót) tájékoztatjuk és igazoljuk, hogy adatait feltörték.
és tegyen közzé mindent nyilvánosan több helyen és üzletben, hogy minél több vásárló érdeklődjön az adatok megvásárlása iránt
valamint ezen adatok elérhetőségének jelentését a megfelelő hírplatformoknak.

Kapcsolatba lépni:
távirat: @redeyeg0d
email: yourd34d@ctemplar.com