Nwgen Ransomware

Grupa cyberprzestępców atakuje organizacje korporacyjne za pomocą potężnego szkodliwego oprogramowania o nazwie Nwgen Ransomware. Atakujący infiltrują komputery swoich ofiar, rozmieszczają zagrażający ładunek i pozwalają mu zaszyfrować prawie wszystkie przechowywane tam pliki. Zagrożenie może całkowicie uniemożliwić dostęp do wszystkich dokumentów, baz danych, archiwów i innych.

Przeglądając pliki, których dotyczy problem, okazało się, że każdy z nich został oznaczony przez dodanie „.nwgen” do ich oryginalnych nazw jako nowe rozszerzenie. Po zakończeniu szyfrowania wszystkich odpowiednich plików, Nwgen przystąpi do tworzenia pliku tekstowego na pulpicie systemu. Ten plik nosi nazwę „Jak przywrócić pliki.txt” i zawiera żądanie okupu z instrukcjami hakerów.

Szczegóły notatki o okupie

Zgodnie z notatką, Nwgen wykorzystuje kombinację algorytmu kryptograficznego AES-256-CRT i szyfru ChaCha8. Stwierdza również, że aby otrzymać oprogramowanie deszyfrujące od atakujących, ofiary mają zapłacić kwotę 150 000 USD. Środki należy przesłać na adres portfela kryptograficznego znajdujący się w notatce. Co więcej, hakerzy twierdzą, że rozpoznaliby tylko płatności dokonane przy użyciu kryptowaluty Monero.

Aby wywrzeć dalszą presję na zaatakowaną organizację, aby zapłaciła, cyberprzestępcy twierdzą również, że uzyskali ogromne ilości poufnych danych (200 GB) z zainfekowanych systemów. Teraz grożą, że zaczną ujawniać informacje opinii publicznejczęściowo, próbując znaleźć odpowiedniego nabywcę. Aby tego uniknąć, oczekuje się, że ofiary zainicjują komunikację w ciągu 12 godzin od ataku ransomware. Mogą to zrobić, wysyłając wiadomość e-mail „yourd34d@ctemplar.com” lub konto telegramu „@redeyeg0d”.

Pełny tekst żądań Nwgen Ransomware to:

' Pewnie zastanawiasz się, dlaczego otrzymujesz ode mnie wiadomość.
Wczoraj * został naruszony.

Prawdopodobnie nie jesteś tego świadomy, ale w ciągu ostatnich kilku dni eksfiltrowaliśmy wszystkie Twoje dane, które mogliśmy zdobyć.
Wzięliśmy ponad 200 GB danych (dba's/userdata userdata/netshares/vdi server).

Co się stało z twoimi plikami?

Twoja sieć została przeniknięta.

Wszystkie twoje pliki zostały zaszyfrowane przy użyciu AES-256-CTR z szyfrem ChaCha8.

OSTRZEŻENIE:

Nie próbuj odszyfrowywać plików, kopie w tle zostały usunięte,
metody odzyskiwania mogą prowadzić do niemożności odzyskania niektórych plików.

Mamy wyłącznie oprogramowanie deszyfrujące dla Twojej sytuacji,
żadne oprogramowanie deszyfrujące nie jest dostępne publicznie.

Zapłać 150 000 (USD) w XMR (Monero) na ten adres: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUa1uFoWWNySYCxoHv13
Jak kupujesz XMR?

hxxps://bisq.network/ aby kupić XMR za pomocą fiat.

Alternatywnie użyj giełdy kryptowalut, aby kupić XMR:

hxxps://www.kraken.com/

Skorzystaj z tego przewodnika: hxxps://www.getmonero.org/

Po przesłaniu określonej kwoty do naszego portfela dostarczymy Ci
za pomocą kluczy deszyfrujących, aby odblokować pliki.

Jeśli nie odpowiesz (termin 24 godziny, od teraz) lub nie otrzymamy od Ciebie odpowiedzi

zaczniemy pokazywać dane naszym potencjalnym nabywcom i wyciekniemy częściowe,

Wszyscy Twoi klienci (klienci / pracodawcy) zostaną poinformowani i otrzymają dowód, że ich dane zostały naruszone
i publikuj wszystko w sposób publiczny w wielu miejscach i punktach sprzedaży, aby zainteresować więcej klientów zakupem danych
a także zgłaszanie dostępności tych danych do odpowiednich platform informacyjnych.

Kontakt:
telegram: @redeyeg0d
e-mail: yourd34d@ctemplar.com '