Wuxia Ransomware

Ett hot mot skadlig programvara som spårats som Wuxia Ransomware har identifierats av infosec-forskare. Analys av hotets underliggande kod har kopplat det till VoidCrypt Ransomware-familjen. Wuxias offer kommer att finna sig oförmögna att komma åt nästan alla filer som finns lagrade på den komprometterade enheten. Hotet kör faktiskt en stark krypteringsrutin för att göra ett brett utbud av filtyper oanvändbara. Målet för hackarna är att sedan pressa de drabbade användarna på pengar i utbyte mot att de lovar att återställa de krypterade filerna till det normala.

Som en del av sin krypteringsprocess kommer Wuxia också att ändra de ursprungliga namnen på de riktade filernaväsentligt. Hotet lägger till ett offers ID, en e-postadress och ett nytt filtillägg. E-postadressen som används i filnamnen är 'hushange_delbar@outlook.com' medan det nya filtillägget är '.wuxia.' Slutligen kommer den att leverera en lösenseddel med instruktioner till offren. Meddelandet som kräver lösen kommer att släppas på systemet som en textfil med namnet 'Decryption-Guide.txt' och visas i ett popup-fönster via en fil med namnet 'Decryption-Guide.hta'.

Ransom Notes översikt

Meddelanden i popup-fönstret och textfilen är identiska. De säger att det är omöjligt att återställa den krypterade filen utan hjälp av angriparna. Offren instrueras att kontakta hackarna med samma e-postadress som den som finns i filnamnen - 'Hushange_delbar@outlook.com'. Som en del av meddelandet måste berörda användare inkludera två filer. Den ena bör vara en krypterad fil som hackarna kommer att använda för att testa sin förmåga att låsa upp data medan den andra bär en viktig nyckel.

Enligt noteringen ska nyckelfilen finnas i mappen C:/ProgramData och heta antingen 'KEY-SE-24r6t523' eller 'RSAKEY.KEY.' Efter att ha kontaktat hackarna kommer offren att få veta hur mycket lösen de måste betala för att få dekrypteringsverktyget och RSA-dekrypteringsnyckeln. Den andra hälften av lösenmeddelandet består av flera varningar, som att inte använda verktyg från tredje part för att försöka låsa upp filerna eller anlita företag som erbjuder förhandlingstjänster, eftersom det kan leda till ytterligare ekonomiska kostnader för offret.

Den fullständiga texten i anteckningen är:

Dina filer är låsta
Dina filer har krypterats med kryptografialgoritm
Om du behöver dina filer och de är viktiga för dig, var inte blyg, skicka mig ett e-postmeddelande
Skicka testfil + nyckelfilen på ditt system (filen finns i C:/ProgramData exempel: KEY-SE-24r6t523 eller RSAKEY.KEY) för att se till att dina filer kan återställas
Gör ett avtal om pris med mig och betala
Skaffa dekrypteringsverktyg + RSA-nyckel OCH instruktioner för dekrypteringsprocess

Uppmärksamhet:
1- Byt inte namn på eller ändra inte filerna (du kan förlora den filen)
2- Försök inte använda tredjepartsappar eller återställningsverktyg (om du vill göra det, gör en kopia från filer och prova dem och slösa bort din tid)
3-Installera inte om operativsystemet (Windows) Du kan förlora nyckelfilen och förlora dina filer
4-lita inte alltid på mellanmän och förhandlare (några av dem är bra men några av dem är överens om 4000usd till exempel och frågade 10000usd från klienten) detta hände

Ditt ärende-ID: -
Vår e-post: Hushange_delbar@outlook.com .'