Nwgen Ransomware

Een groep cybercriminelen richt zich op bedrijfsorganisaties met een krachtige malwarebedreiging, de Nwgen Ransomware. De aanvallers infiltreren de computers van hun slachtoffers, zetten de dreigende lading in en laten het bijna alle bestanden die daar zijn opgeslagen versleutelen. De dreiging kan alle documenten, databases, archieven en meer volledig ontoegankelijk maken.

Als we naar de getroffen bestanden kijken, blijkt dat ze allemaal zijn gemarkeerd door '.nwgen' toe te voegen aan hun oorspronkelijke naam als een nieuwe extensie. Nadat alle geschikte bestanden zijn versleuteld, gaat Nwgen verder met het maken van een tekstbestand op het bureaublad van het systeem. Dit bestand heet 'How To Restore Your Files.txt' en bevat een losgeldbriefje met instructies van de hackers.

Details van losgeldbrief

Volgens de notitie gebruikt Nwgen een combinatie van het AES-256-CRT cryptografische algoritme en de ChaCha8 Cipher. Het stelt ook dat slachtoffers naar verwachting een bedrag van $ 150.000 moeten betalen om de decryptorsoftware van de aanvallers te ontvangen. Het geld moet worden verzonden naar het crypto-wallet-adres dat in de notitie staat. Verder stellen de hackers dat ze alleen betalingen zouden herkennen die zijn gedaan met de Monero-cryptocurrency.

Om de gecompromitteerde organisatie nog meer onder druk te zetten om te betalen, beweren de crybercriminelen ook enorme hoeveelheden gevoelige gegevens (200 GB) van de geïnfecteerde systemen te hebben verkregen. Nu dreigen ze de informatie naar het publiek te lekkengedeeltelijk, terwijl ze proberen een geschikte koper te vinden. Om dit resultaat te voorkomen, wordt van slachtoffers verwacht dat ze binnen 12 uur na de ransomware-aanval communiceren. Ze kunnen dit doen door een bericht te sturen naar de 'yourd34d@ctemplar.com' e-mail of het '@redeyeg0d' Telegram-account.

De volledige tekst van de eisen van de Nwgen Ransomware is:

' Je vraagt je waarschijnlijk af waarom je een bericht van mij krijgt.
Gisteren werd * geschonden.

U weet het waarschijnlijk niet, maar de afgelopen dagen hebben we al uw gegevens geëxfiltreerd die we in handen konden krijgen.
We namen meer dan 200 GB aan data (dba's / patient's userdata / netshares / vdi servers) over.

Wat is er met je bestanden gebeurd?

Je netwerk is gepenetreerd.

Al uw bestanden zijn versleuteld met AES-256-CTR met ChaCha8 Cipher.

WAARSCHUWING:

Probeer uw bestanden niet te decoderen, schaduwkopieën zijn verwijderd,
herstelmethoden kunnen ertoe leiden dat bepaalde bestanden niet meer kunnen worden hersteld.

We hebben exclusief decoderingssoftware voor uw situatie,
er is geen decoderingssoftware beschikbaar in het publiek.

Betaal 150.000 (USD) in XMR (Monero) naar dit adres: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUa1uFoWWNySYCxoHv13
Hoe koop je XMR?

hxxps://bisq.network/ om XMR te kopen met fiat.

U kunt ook een Cryptocurrency-uitwisseling gebruiken om XMR te kopen:

hxxps://www.kraken.com/

Gebruik deze handleiding: hxxps://www.getmonero.org/

Nadat we het opgegeven bedrag naar onze portemonnee hebben gestuurd, zullen we u hiervan op de hoogte stellen
met de decoderingssleutels om uw bestanden te ontgrendelen.

Als u niet reageert (deadline van 24 uur, vanaf nu), of we ontvangen geen reactie van u

we beginnen met het tonen van de gegevens aan onze potentiële kopers, en lekken een gedeeltelijk,

Al uw klanten (klanten / werkgevers) worden geïnformeerd en krijgen het bewijs dat hun gegevens zijn gecompromitteerd
en publiceer alles op een openbare manier op meerdere plaatsen en verkooppunten om meer klanten te interesseren om de gegevens te kopen
en ook het rapporteren van de beschikbaarheid van deze gegevens aan de juiste nieuwsplatforms.

Contact:
telegram: @redeyeg0d
e-mail: yourd34d@ctemplar.com '