Wing Ransomware

A Wing egy zsarolóvírusként besorolt kártékony szoftverfenyegetés, amelynek elsődleges célja a fájlok titkosítása a feltört eszközökön. Ezt követően a Wing mögött álló elkövetők váltságdíjat követelnek az érintett adatok állítólagos visszaállításáért. A rosszindulatú program a titkosított fájlokat azonosítható jelölőkkel látja el, beleértve az e-mail címet, az egyes áldozatokhoz rendelt egyedi azonosító karakterláncokat és a „.wing” kiterjesztést. Például egy eredetileg „1.pdf” nevű fájl átalakul „1.pdf.Wingransomware@test.com.Q0ZLQA5KUMLK.wing” formátumba.

A titkosítási folyamat befejezése után a rendszeren belül egy 'Readme.txt' nevű váltságdíj-jegyzet jön létre. Fontos megjegyezni, hogy a váltságdíjat kérő feljegyzés konkrét kiterjesztése és tartalma vagy címe a zsarolóprogramot szervező támadók taktikájától függően változhat.

Figyelemre méltó, hogy a Wing fejlesztői e-mailekben és hackerfórumokon közzétett bejegyzésekben aktívan keresnek partnerséget. Ez egy Ransomware-as-a-Service (RaaS) modellüzlet létrehozására tett kísérletet jelez, amely lehetővé teszi a potenciális együttműködők számára, hogy a Wing-et nem biztonságos tevékenységeikhez használják fel.

A Wing Ransomware súlyos károkat okoz a fertőzött eszközökön lévő adatokban

A jelenleg forgalomban lévő Wing Ransomware előzetes vagy tesztverziónak tűnik, amint azt a váltságdíj-jegyzete is sugallja. Ez a megjegyzés kifejezetten tájékoztatja az áldozatokat, hogy fájljaikat titkosították, hangsúlyozva, hogy csak a támadók rendelkeznek a visszafejtéshez szükséges eszközökkel, és minden jogosulatlan próbálkozás visszafordíthatatlan károkat okozhat. A bizalomépítés érdekében a zsarolóprogram korlátozott számú ingyenes visszafejtési tesztet kínál az áldozatoknak. A teljes adat-helyreállítás azonban attól függ, hogy váltságdíjat kell fizetni Bitcoin kriptovalutában.

Létfontosságú megjegyezni, hogy a biztosított váltságdíj-levél egy sablon, és nem tartalmaz információkat a támadókkal való kapcsolatfelvételhez. Amint azt korábban említettük, a feljegyzés tartalma változhat, mivel ennek a ransomware-nek bizonyos aspektusai testreszabhatók.

A Wing partnerkeresési törekvéseivel kapcsolatos anyagokban talált részletek szerint a kártevő olyan robusztus kriptográfiai algoritmusokat alkalmaz, mint az RSA-4096, AES-256 és ChaCha20 az adatok titkosítására. Figyelemre méltó, hogy mind a helyi, mind a hálózaton megosztott fájlokat célozza ez a rosszindulatú program.

A Wing stratégiai megközelítést mutat azáltal, hogy elkerüli a kritikus rendszerfájlokat, és azokat, amelyeknél valószínűleg hosszabb ideig kell titkosítani. Képes leállítani a Windows Feladatkezelőben azokat a folyamatokat, amelyek megzavarhatják a titkosítási folyamatot. Ezenkívül a Wing elrejtheti folyamatait a Feladatkezelőben, hogy elkerülje az észlelést.

A kitartás szempontjából a Wing olyan technikát alkalmaz, amely minden rendszer újraindításkor automatikusan elindítja a rendszert, biztosítva a folyamatos jelenlétét. Sőt, a zsarolóprogram kiküszöböli a Shadow Volume Copies-on keresztüli helyreállítás lehetőségét azáltal, hogy törli őket, tovább hangsúlyozva a kompromisszum súlyosságát.

Létfontosságú intézkedések adatai és eszközei zsarolóvírus-támadásokkal szembeni védelme érdekében

Ritka eset a visszafejtés a támadók közvetlen bevonása nélkül. Még ha az áldozatok úgy döntenek, hogy fizetik a váltságdíjat, nincs garancia arra, hogy megkapják a szükséges visszafejtő kulcsokat vagy szoftvereket. A kutatók határozottan óvakodnak a kiberbűnözők követeléseinek való megfeleléstől, hangsúlyozva, hogy az ilyen illegális tevékenységek támogatása még anyagi okokból sem garantálja a sikeres fájl-helyreállítást.

Az adatok zsarolóprogramok általi további titkosításának leállításához magát a rosszindulatú programot is ki kell törölni az operációs rendszerből. Sajnos a ransomware eltávolítása nem állítja vissza automatikusan a feltört fájlokat. Az egyetlen hatékony megoldás a fájlok visszakeresése egy biztonsági másolatból, feltéve, hogy egyet előzetesen létrehoztak és külön helyen tároltak.

A fájlok adattitkosító vagy károsító rosszindulatú programok és egyéb fenyegetések elleni védelmének tágabb kontextusában az ajánlott megközelítés az, hogy több különböző helyen készítsen biztonsági másolatot. Ez magában foglalja a másolatok távoli kiszolgálókon, leválasztott tárolóeszközökön és más biztonságos helyeken való tárolását, ezáltal növelve a sikeres fájl-helyreállítás esélyét, és minimalizálva az esetleges adatvesztés hatását.

A Wing Ransomware váltságdíj-jegyzete a következő üzenetet küldi:

'Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !

Please read this message carefully and patiently *

If you use any tools, programs, or methods to recover your files and they get damaged, we will not be responsible for any harm to your files !

Note that your files have not been harmed in any way they have only been encrypted by our algorithm. Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !

To gain trust in us, you can send us a maximum of 2 non-important files, and we will decrypt them for you free of charge. Please note that your files should not contain important information. Your files should be in a format that we can read, such as .txt, .pdf, .xlsx, .jpg, or any other readable format for us.

Please put your Unique ID as the title of the email or as the starting title of the conversation.

For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *

Telegram Id :
Mail 1 :
Mail 2 :

You will receive btc address for payment in the reply letter

! Important !

Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us , it will rеsult оnly priсе incrеаsе!
Plеаsе nоte that we are professionals and just doing our job !
Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu !

UniqueID:

PersonalID:'