Wuxia Ransomware
Een malware-bedreiging die wordt gevolgd als de Wuxia Ransomware is geïdentificeerd door infosec-onderzoekers. Analyse van de onderliggende code van de dreiging heeft deze in verband gebracht met de VoidCrypt Ransomware-familie. De slachtoffers van Wuxia zullen merken dat ze niet in staat zijn om toegang te krijgen tot bijna alle bestanden die zijn opgeslagen op het gecompromitteerde apparaat. De dreiging voert inderdaad een sterke coderingsroutine uit om een breed scala aan bestandstypen onbruikbaar te maken. Het doel van de hackers is om de getroffen gebruikers vervolgens af te persen voor geld in ruil voor de belofte om de versleutelde bestanden weer normaal te maken.
Als onderdeel van het coderingsproces zal Wuxia ook de originele namen van de doelbestanden wijzigenaanzienlijk. De dreiging voegt de ID van een slachtoffer, een e-mailadres en een nieuwe bestandsextensie toe. Het e-mailadres dat in de bestandsnamen wordt gebruikt, is 'hushange_delbar@outlook.com', terwijl de nieuwe bestandsextensie '.wuxia' is. Ten slotte zal het een losgeldbrief met instructies aan de slachtoffers bezorgen. Het bericht waarin om losgeld wordt gevraagd, wordt op het systeem geplaatst als een tekstbestand met de naam 'Decryption-Guide.txt' en wordt weergegeven in een pop-upvenster via een bestand met de naam 'Decryption-Guide.hta'.
Overzicht van losgeldbrief
De berichten in het pop-upvenster en het tekstbestand zijn identiek. Ze stellen dat het herstellen van het versleutelde bestand zonder de hulp van de aanvallers onmogelijk is. Slachtoffers worden geïnstrueerd om contact op te nemen met de hackers met hetzelfde e-mailadres als dat in de bestandsnamen is geplaatst - 'Hushange_delbar@outlook.com'. Als onderdeel van het bericht moeten de getroffen gebruikers twee bestanden opnemen. Het ene zou een versleuteld bestand moeten zijn dat de hackers zullen gebruiken om hun vermogen om de gegevens te ontgrendelen te testen, terwijl het andere een belangrijke sleutel bij zich heeft.
Volgens de opmerking moet het sleutelbestand zich in de map C:/ProgramData bevinden en de naam 'KEY-SE-24r6t523' of 'RSAKEY.KEY' hebben. Nadat ze contact hebben opgenomen met de hackers, krijgen de slachtoffers te horen hoeveel losgeld ze moeten betalen om de decoderingstool en de RSA-decoderingssleutel te ontvangen. De tweede helft van het losgeldbericht bestaat uit meerdere waarschuwingen, zoals het niet gebruiken van tools van derden om te proberen de bestanden te ontgrendelen of het inhuren van bedrijven die onderhandelingsdiensten aanbieden, omdat dat kan leiden tot extra financiële kosten voor het slachtoffer.
De volledige tekst van de nota is:
' Uw bestanden zijn vergrendeld'
Uw bestanden zijn versleuteld met een cryptografie-algoritme
Als je je bestanden nodig hebt en ze zijn belangrijk voor je, wees dan niet verlegen Stuur me een e-mail
Stuur testbestand + het sleutelbestand op uw systeem (bestand bestaat in C:/ProgramData-voorbeeld: KEY-SE-24r6t523 of RSAKEY.KEY) om ervoor te zorgen dat uw bestanden kunnen worden hersteld
Maak een prijsafspraak met mij en betaal
Ontvang decoderingstool + RSA-sleutel EN instructie voor het decoderingsprocesAandacht:
1- Hernoem of wijzig de bestanden niet (u kunt dat bestand kwijtraken)
2- Probeer geen apps of hersteltools van derden te gebruiken (als u dat wilt, maak dan een kopie van bestanden en probeer ze en verspil uw tijd)
3- Installeer het besturingssysteem niet opnieuw (Windows) U kunt het sleutelbestand kwijtraken en uw bestanden kwijtraken
4-Vertrouw niet altijd op tussenpersonen en onderhandelaars (sommige zijn goed, maar sommige zijn het bijvoorbeeld eens over 4000 usd en vroegen 10000 usd van de klant) dit is gebeurdUw Case-ID: -
Onze e-mail:Hushange_delbar@outlook.com .'
