Wuxia Ransomware
Zagrożenie złośliwym oprogramowaniem śledzone jako Wuxia Ransomware zostało zidentyfikowane przez badaczy infosec. Analiza podstawowego kodu zagrożenia połączyła je z rodziną VoidCrypt Ransomware. Ofiary Wuxii nie będą mogły uzyskać dostępu do prawie wszystkich plików przechowywanych na zaatakowanym urządzeniu. Rzeczywiście, zagrożenie to uruchamia silną procedurę szyfrowania, która sprawia, że wiele typów plików nie nadaje się do użytku. Celem hakerów jest następnie wyłudzenie od zaatakowanych użytkowników pieniędzy w zamian za obietnicę przywrócenia zaszyfrowanych plików do normy.
W ramach procesu szyfrowania Wuxia zmieni również oryginalne nazwy atakowanych plikówznacznie. Zagrożenie dołącza identyfikator ofiary, adres e-mail i nowe rozszerzenie pliku. Adres e-mail używany w nazwach plików to „hushange_delbar@outlook.com”, a nowe rozszerzenie pliku to „.wuxia”. Na koniec przekaże ofiarom żądanie okupu z instrukcjami. Wiadomość z żądaniem okupu zostanie umieszczona w systemie jako plik tekstowy o nazwie „Decryption-Guide.txt” i zostanie wyświetlona w wyskakującym oknie za pośrednictwem pliku o nazwie „Decryption-Guide.hta”.
Przegląd notatki o okupie
Komunikaty w wyskakującym okienku i plik tekstowy są identyczne. Stwierdzają, że przywrócenie zaszyfrowanego pliku bez pomocy atakujących jest niemożliwe. Ofiary są proszone o skontaktowanie się z hakerami za pomocą tego samego adresu e-mail, który został umieszczony w nazwach plików — „Hushange_delbar@outlook.com”. W ramach wiadomości użytkownicy, których dotyczy problem, muszą dołączyć dwa pliki. Jeden powinien być zaszyfrowanym plikiem, którego hakerzy użyją do przetestowania swojej zdolności do odblokowania danych, podczas gdy drugi niesie ważny klucz.
Zgodnie z notatką plik klucza powinien znajdować się w folderze C:/ProgramData i powinien mieć nazwę „KEY-SE-24r6t523” lub „RSAKEY.KEY”. Po skontaktowaniu się z hakerami ofiary zostaną poinformowane o wysokości okupu, które będą musiały zapłacić, aby otrzymać narzędzie deszyfrujące i klucz deszyfrujący RSA. Druga połowa wiadomości z żądaniem okupu zawiera wiele ostrzeżeń, takich jak nieużywanie narzędzi innych firm do próby odblokowania plików lub zatrudnianie firm oferujących usługi negocjacyjne, ponieważ może to skutkować dodatkowymi kosztami finansowymi dla ofiary.
Pełny tekst notatki to:
' Twoje pliki zostały zablokowane
Twoje pliki zostały zaszyfrowane algorytmem kryptograficznym
Jeśli potrzebujesz swoich plików i są one dla Ciebie ważne, nie wstydź się, wyślij mi e-mail
Wyślij plik testowy + plik klucza w systemie (plik istnieje w przykładzie C:/ProgramData: KEY-SE-24r6t523 lub RSAKEY.KEY), aby upewnić się, że można przywrócić pliki
Zawrzyj ze mną umowę dotyczącą ceny i zapłać
Uzyskaj narzędzie do deszyfrowania + klucz RSA ORAZ instrukcję procesu odszyfrowywaniaUwaga:
1- Nie zmieniaj nazwy ani nie modyfikuj plików (możesz stracić ten plik)
2- Nie próbuj używać aplikacji innych firm ani narzędzi do odzyskiwania (jeśli chcesz to zrobić, zrób kopię z plików i wypróbuj je i marnuj swój czas)
3-Nie instaluj ponownie systemu operacyjnego (Windows) Możesz stracić plik klucza i stracić swoje pliki
4-Nie zawsze ufaj pośrednikom i negocjatorom (niektórzy z nich są dobrzy, ale niektórzy zgadzają się na przykład na 4000 usd i zapytali klienta o 10000 usd) tak się stałoTwój identyfikator sprawy : -
Nasz e-mail: Hushange_delbar@outlook.com .'
