Nwgen Ransomware
Um grupo de cibercriminosos tem atacado organizações corporativas com uma potente ameaça de malware chamada Nwgen Ransomware. Os invasores se infiltram nos computadores de suas vítimas, implantam a carga útil ameaçadora e permitem que ela criptografe quase todos os arquivos armazenados lá. A ameaça pode tornar todos os documentos, bancos de dados, arquivos e mais completamente inacessíveis.
Olhando para os arquivos afetados, revelou que cada um foi marcado anexando '.nwgen' aos seus nomes originais como uma nova extensão. Depois de terminar a criptografia de todos os arquivos adequados, o Nwgen continuará criando um arquivo de texto na área de trabalho do sistema. Esse arquivo é chamado de 'Como restaurar seus arquivos.txt' e carrega uma nota de resgate com instruções dos hackers.
Detalhes sobre a Nota de Resgate
De acordo com a nota, o Nwgen usa uma combinação do algoritmo criptográfico AES-256-CRT e da cifra ChaCha8. Ele também afirma que, para receber o software decodificador dos invasores, espera-se que as vítimas paguem a quantia de US150.000. Os fundos devem ser enviados para o endereço da carteira de cripto-moedas encontrado na nota. Além disso, os hackers afirmam que só reconhecerão pagamentos feitos usando a cripto-moeda Monero.
Para pressionar ainda mais a organização comprometida para pagar, os criminosos criptográficos também afirmam ter obtido grandes quantidades de dados confidenciais (200 GB) dos sistemas infectados. Então, eles ameaçam começar a vazar as informações para o público parcialmente, ao tentar encontrar um comprador adequado. Para evitar esse resultado, espera-se que as vítimas iniciem a comunicação dentro de 12 horas após o ataque do ransomware. Eles podem fazer isso enviando uma mensagem para o e-mail 'yourd34d@ctemplar.com' ou para a conta do Telegram '@redeyeg0d'.
O texto completo das demandas do Nwgen Ransomware é:
'Você provavelmente está se perguntando por que está recebendo uma mensagem minha.
Ontem, * foi violado.Você provavelmente não está ciente, mas nos últimos dias temos exfiltrado todos os seus dados que pudemos colocar em nossas mãos.
Pegamos mais de 200GB em dados (servidores dba/userdata/netshares/vdi do paciente).O que aconteceu com seus arquivos?
Sua rede foi penetrada.
Todos os seus arquivos foram criptografados usando AES-256-CTR com ChaCha8 Cipher.
AVISO:
Não tente descriptografar seus arquivos, as cópias de sombra foram removidas,
métodos de recuperação podem levar à impossibilidade de recuperação de determinados arquivos.Dispomos exclusivamente de software de desencriptação para a sua situação,
nenhum software de descriptografia está disponível ao público.Pague 150.000 (USD) em XMR (Monero) para este endereço: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUa1uFoWWNySYCxoHv13
Como você compra XMR?hxxps://bisq.network/ para comprar XMR usando fiat.
Como alternativa, use uma troca de criptomoedas para comprar XMR:
hxxps://www.kraken.com/
Use este guia: hxxps://www.getmonero.org/
Depois de enviar o valor especificado para nossa carteira, forneceremos a você
com as chaves de descriptografia para desbloquear seus arquivos.Se você não responder (prazo de 24 horas, a partir de agora) ou se não recebermos uma resposta sua
começaremos a mostrar os dados para nossos compradores em potencial e vazaremos uma parte,
Todos os seus clientes (clientes/empregadores) serão informados e terão provas de que seus dados foram comprometidos
e publique tudo de forma pública em vários lugares e pontos de venda para atrair mais clientes interessados em comprar os dados
e também relatar a disponibilidade desses dados para as plataformas de notícias apropriadas.Contato:
telegrama: @redeyeg0d
e-mail: yourd34d@ctemplar.com'