Программа-вымогатель Nwgen

Группа киберпреступников нацелена на корпоративные организации с помощью мощной угрозы вредоносного ПО под названием Nwgen Ransomware. Злоумышленники проникают на компьютеры своих жертв, развертывают опасную полезную нагрузку и позволяют ей зашифровать почти все хранящиеся там файлы. Угроза может сделать все документы, базы данных, архивы и многое другое полностью недоступными.

Глядя на затронутые файлы, выяснилось, что каждый из них был помечен добавлением «.nwgen» к их исходным именам в качестве нового расширения. После завершения шифрования всех подходящих файлов Nwgen приступит к созданию текстового файла на рабочем столе системы. Этот файл называется How To Restore Your Files.txt и содержит записку о выкупе с инструкциями от хакеров.

Детали записки о выкупе

Согласно примечанию, Nwgen использует комбинацию криптографического алгоритма AES-256-CRT и шифра ChaCha8. В нем также говорится, что за получение программного обеспечения для расшифровки от злоумышленников жертвы должны заплатить сумму в размере 150 000 долларов. Средства должны быть отправлены на адрес криптокошелька, указанный в заметке. Кроме того, хакеры заявляют, что будут распознавать платежи только с использованием криптовалюты Monero.

Чтобы оказать дополнительное давление на скомпрометированную организацию, чтобы она заплатила, киберпреступники также утверждают, что получили огромное количество конфиденциальных данных (200 ГБ) из зараженных систем. Теперь они угрожают начать слив информации в общественность.частично, пытаясь найти подходящего покупателя. Чтобы избежать такого исхода, жертвы должны начать общение в течение 12 часов после атаки программы-вымогателя. Они могут сделать это, отправив сообщение по электронной почте yourd34d@ctemplar.com или через учетную запись Telegram @redeyeg0d.

Полный текст требований Nwgen Ransomware:

« Вам, наверное, интересно, почему вы получаете сообщение от меня.
Вчера * взломали.

Вы, вероятно, не в курсе, но за последние несколько дней мы извлекли все ваши данные, до которых смогли добраться.
Мы взяли более 200 ГБ данных (данные пользователя dba / пациента / серверы netshares / vdi).

Что случилось с вашими файлами?

В вашу сеть проникли.

Все ваши файлы были зашифрованы с использованием AES-256-CTR с шифром ChaCha8.

ПРЕДУПРЕЖДЕНИЕ:

Не пытайтесь расшифровать ваши файлы, теневые копии были удалены,
методы восстановления могут привести к невозможности восстановления определенных файлов.

У нас есть исключительно программное обеспечение для расшифровки для вашей ситуации,
программное обеспечение для расшифровки недоступно в открытом доступе.

Оплатите 150 000 (долларов США) в XMR (Monero) на этот адрес: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUa1uFoWWNySYCxoHv13.
Как купить XMR?

hxxps://bisq.network/ для покупки XMR за фиат.

В качестве альтернативы используйте биржу криптовалюты, чтобы купить XMR:

hxxps://www.kraken.com/

Используйте это руководство: hxxps://www.getmonero.org/

После отправки указанной суммы на наш кошелек мы предоставим вам
с ключами дешифрования, чтобы разблокировать ваши файлы.

Если вы не ответите (24-часовой срок, начиная с сегодняшнего дня) или мы не получим от вас ответа

мы начнем показывать данные нашим потенциальным покупателям и частично,

Все ваши клиенты (клиенты / работодатели) будут проинформированы и получат доказательства того, что их данные были скомпрометированы.
и публиковать все публично в нескольких местах и торговых точках, чтобы привлечь больше клиентов, заинтересованных в покупке данных.
а также сообщать о наличии этих данных соответствующим новостным платформам.

Контакт:
телеграмма: @redeyeg0d
электронная почта: yourd34d@ctemplar.com '