Wuxia Ransomware

En trussel mot skadelig programvare sporet som Wuxia Ransomware er identifisert av infosec-forskere. Analyse av trusselens underliggende kode har koblet den til VoidCrypt Ransomware-familien. Wuxias ofre vil finne seg selv ute av stand til å få tilgang til nesten alle filene som er lagret på den kompromitterte enheten. Trusselen kjører faktisk en sterk krypteringsrutine for å gjøre et bredt spekter av filtyper ubrukelig. Målet til hackerne er å presse de berørte brukerne for penger i bytte mot å love å gjenopprette de krypterte filene til det normale.

Som en del av krypteringsprosessen vil Wuxia også endre de originale navnene på de målrettede filenebetydelig. Trusselen legger til et offers ID, en e-postadresse og en ny filtype. E-postadressen som brukes i filnavnene er 'hushange_delbar@outlook.com', mens den nye filtypen er '.wuxia.' Til slutt vil den levere en løsepengeseddel med instruksjoner til ofrene. Den løsepengekrevende meldingen vil slippes på systemet som en tekstfil kalt 'Decryption-Guide.txt' og vises i et popup-vindu via en fil som heter 'Decryption-Guide.hta'.

Ransom Notes oversikt

Meldingene i popup-vinduet og tekstfilen er identiske. De sier at det er umulig å gjenopprette den krypterte filen uten hjelp fra angriperne. Ofrene blir bedt om å kontakte hackerne ved å bruke samme e-post som den som er plassert i filnavnene - 'Hushange_delbar@outlook.com.' Som en del av meldingen må berørte brukere inkludere to filer. Den ene skal være en kryptert fil som hackerne vil bruke for å teste deres evne til å låse opp dataene mens den andre har en viktig nøkkel.

I følge notatet skal nøkkelfilen være i C:/ProgramData-mappen og heter enten 'KEY-SE-24r6t523' eller 'RSAKEY.KEY.' Etter å ha kontaktet hackerne, vil ofrene bli fortalt hvor mye løsepenger de må betale for å motta dekrypteringsverktøyet og RSA-dekrypteringsnøkkelen. Den andre halvdelen av løsepengemeldingen består av flere advarsler, for eksempel å ikke bruke tredjepartsverktøy for å prøve å låse opp filene eller ansette firmaer som tilbyr forhandlingstjenester, da det kan føre til ekstra økonomiske kostnader for offeret.

Den fullstendige teksten i notatet er:

' Filene dine har blitt låst
Filene dine har blitt kryptert med kryptografialgoritme
Hvis du trenger filene dine og de er viktige for deg, ikke vær sjenert, send meg en e-post
Send testfil + nøkkelfilen på systemet ditt (fil finnes i C:/ProgramData eksempel: KEY-SE-24r6t523 eller RSAKEY.KEY) for å sikre at filene dine kan gjenopprettes
Lag en avtale om pris med meg og betal
Få dekrypteringsverktøy + RSA-nøkkel OG instruksjon for dekrypteringsprosess

Merk følgende:
1- Ikke gi nytt navn eller endre filene (du kan miste den filen)
2- Ikke prøv å bruke tredjepartsapper eller gjenopprettingsverktøy (hvis du vil gjøre det, ta en kopi fra filer og prøv dem og kast bort tiden din)
3-Ikke installer operativsystemet på nytt (Windows) Du kan miste nøkkelfilen og miste filene dine
4-Ikke alltid stol på mellommenn og forhandlere (noen av dem er gode, men noen av dem er enige om 4000usd for eksempel og spurte 10000usd fra klienten) dette skjedde

Din saks-ID: -
Vår e-post: Hushange_delbar@outlook.com .'