Nwgen Ransomware

En gruppe nettkriminelle retter seg mot bedriftsorganisasjoner med en potent skadelig programvaretrussel kalt Nwgen Ransomware. Angriperne infiltrerer datamaskinene til ofrene deres, distribuerer den truende nyttelasten og lar den kryptere nesten alle filene som er lagret der. Trusselen kan gjøre alle dokumenter, databaser, arkiver og mer utilgjengelige fullstendig.

Ser på de berørte filene, avslørte at hver av dem har blitt merket ved å legge til '.nwgen' til sine opprinnelige navn som en ny utvidelse. Etter å ha fullført krypteringen av alle passende filer, vil Nwgen fortsette å lage en tekstfil på systemets skrivebord. Denne filen heter "How To Restore Your Files.txt" og den har en løsepengenotat med instruksjoner fra hackerne.

Ransom Notes detaljer

I følge notatet bruker Nwgen en kombinasjon av AES-256-CRT kryptografisk algoritme og ChaCha8 Cipher. Den sier også at for å motta dekrypteringsprogramvaren fra angriperne, forventes ofrene å betale summen av $150.000. Midlene må sendes til krypto-lommebok-adressen som du finner i notatet. Videre oppgir hackerne at de kun vil gjenkjenne betalinger som er gjort ved hjelp av Monero-kryptovalutaen.

For å legge ytterligere press på den kompromitterte organisasjonen for å betale, hevder kryberkriminelle også å ha skaffet store mengder sensitive data (200 GB) fra de infiserte systemene. Nå truer de med å begynne å lekke informasjonen til offentlighetendelvis, mens du prøver å finne en passende kjøper. For å unngå dette resultatet, forventes ofre å starte kommunikasjon innen 12 timer etter løsepengevareangrepet. De kan gjøre det ved å sende meldinger til 'yourd34d@ctemplar.com'-e-posten eller '@redeyeg0d' Telegram-kontoen.

Den fullstendige teksten til Nwgen Ransomwares krav er:

' Du lurer sikkert på hvorfor du mottar en melding fra meg.
I går ble * brutt.

Du er sannsynligvis ikke klar over det, men i løpet av de siste dagene har vi eksfiltrert alle dataene dine som vi kunne få tak i.
Vi tok over 200 GB i data (dba's / pasientens brukerdata / netshares / vdi-servere).

Hva skjedde med filene dine?

Nettverket ditt ble penetrert.

Alle filene dine ble kryptert med AES-256-CTR med ChaCha8 Cipher.

ADVARSEL:

Ikke prøv å dekryptere filene dine, skyggekopier ble fjernet,
gjenopprettingsmetoder kan føre til umuligheten av gjenoppretting av visse filer.

Vi har eksklusivt dekrypteringsprogramvare for din situasjon,
ingen dekrypteringsprogramvare er tilgjengelig offentlig.

Betal 150 000 (USD) i XMR (Monero) til denne adressen: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUa1SY1uCxovNy3SY1uFoWW
Hvordan kjøper du XMR?

hxxps://bisq.network/ for å kjøpe XMR med fiat.

Alternativt kan du bruke en kryptovaluta-børs for å kjøpe XMR:

hxxps://www.kraken.com/

Bruk denne veiledningen: hxxps://www.getmonero.org/

Etter å ha sendt det angitte beløpet til lommeboken vår vil vi gi deg
med dekrypteringsnøklene for å låse opp filene dine.

Hvis du ikke svarer (24 timers frist, fra og med nå), eller vi ikke får svar fra deg

vi vil begynne å vise dataene til våre potensielle kjøpere, og lekke en delvis,

Alle dine kunder (kunder / arbeidsgivere) vil bli informert og gitt bevis på at deres data er kompromittert
og publiser alt på en offentlig måte på flere steder og utsalgssteder for å få flere kunder interessert i å kjøpe dataene
og rapporterer også tilgjengeligheten av disse dataene til de aktuelle nyhetsplattformene.

Kontakt:
telegram: @redeyeg0d
e-post: yourd34d@ctemplar.com '