Wuxia Ransomware
En trussel mot skadelig programvare sporet som Wuxia Ransomware er identifisert av infosec-forskere. Analyse av trusselens underliggende kode har koblet den til VoidCrypt Ransomware-familien. Wuxias ofre vil finne seg selv ute av stand til å få tilgang til nesten alle filene som er lagret på den kompromitterte enheten. Trusselen kjører faktisk en sterk krypteringsrutine for å gjøre et bredt spekter av filtyper ubrukelig. Målet til hackerne er å presse de berørte brukerne for penger i bytte mot å love å gjenopprette de krypterte filene til det normale.
Som en del av krypteringsprosessen vil Wuxia også endre de originale navnene på de målrettede filenebetydelig. Trusselen legger til et offers ID, en e-postadresse og en ny filtype. E-postadressen som brukes i filnavnene er 'hushange_delbar@outlook.com', mens den nye filtypen er '.wuxia.' Til slutt vil den levere en løsepengeseddel med instruksjoner til ofrene. Den løsepengekrevende meldingen vil slippes på systemet som en tekstfil kalt 'Decryption-Guide.txt' og vises i et popup-vindu via en fil som heter 'Decryption-Guide.hta'.
Ransom Notes oversikt
Meldingene i popup-vinduet og tekstfilen er identiske. De sier at det er umulig å gjenopprette den krypterte filen uten hjelp fra angriperne. Ofrene blir bedt om å kontakte hackerne ved å bruke samme e-post som den som er plassert i filnavnene - 'Hushange_delbar@outlook.com.' Som en del av meldingen må berørte brukere inkludere to filer. Den ene skal være en kryptert fil som hackerne vil bruke for å teste deres evne til å låse opp dataene mens den andre har en viktig nøkkel.
I følge notatet skal nøkkelfilen være i C:/ProgramData-mappen og heter enten 'KEY-SE-24r6t523' eller 'RSAKEY.KEY.' Etter å ha kontaktet hackerne, vil ofrene bli fortalt hvor mye løsepenger de må betale for å motta dekrypteringsverktøyet og RSA-dekrypteringsnøkkelen. Den andre halvdelen av løsepengemeldingen består av flere advarsler, for eksempel å ikke bruke tredjepartsverktøy for å prøve å låse opp filene eller ansette firmaer som tilbyr forhandlingstjenester, da det kan føre til ekstra økonomiske kostnader for offeret.
Den fullstendige teksten i notatet er:
' Filene dine har blitt låst
Filene dine har blitt kryptert med kryptografialgoritme
Hvis du trenger filene dine og de er viktige for deg, ikke vær sjenert, send meg en e-post
Send testfil + nøkkelfilen på systemet ditt (fil finnes i C:/ProgramData eksempel: KEY-SE-24r6t523 eller RSAKEY.KEY) for å sikre at filene dine kan gjenopprettes
Lag en avtale om pris med meg og betal
Få dekrypteringsverktøy + RSA-nøkkel OG instruksjon for dekrypteringsprosessMerk følgende:
1- Ikke gi nytt navn eller endre filene (du kan miste den filen)
2- Ikke prøv å bruke tredjepartsapper eller gjenopprettingsverktøy (hvis du vil gjøre det, ta en kopi fra filer og prøv dem og kast bort tiden din)
3-Ikke installer operativsystemet på nytt (Windows) Du kan miste nøkkelfilen og miste filene dine
4-Ikke alltid stol på mellommenn og forhandlere (noen av dem er gode, men noen av dem er enige om 4000usd for eksempel og spurte 10000usd fra klienten) dette skjeddeDin saks-ID: -
Vår e-post: Hushange_delbar@outlook.com .'