Nwgen Ransomware
กลุ่มอาชญากรไซเบอร์กำลังกำหนดเป้าหมายองค์กรองค์กรด้วยภัยคุกคามมัลแวร์ที่ชื่อ Nwgen Ransomware ผู้โจมตีแทรกซึมเข้าไปในคอมพิวเตอร์ของเหยื่อ ปรับใช้ payload ที่คุกคาม และปล่อยให้มันเข้ารหัสไฟล์เกือบทั้งหมดที่เก็บไว้ที่นั่น ภัยคุกคามสามารถทำให้เอกสาร ฐานข้อมูล อาร์ไคฟ์ และข้อมูลอื่นๆ ทั้งหมดไม่สามารถเข้าถึงได้อย่างสมบูรณ์
เมื่อดูไฟล์ที่ได้รับผลกระทบ พบว่าแต่ละไฟล์มีเครื่องหมาย '.nwgen' ต่อท้ายชื่อเดิมเป็นนามสกุลใหม่ หลังจากเสร็จสิ้นการเข้ารหัสไฟล์ที่เหมาะสมทั้งหมดแล้ว Nwgen จะดำเนินการสร้างไฟล์ข้อความบนเดสก์ท็อปของระบบ ไฟล์นี้มีชื่อว่า 'How To Restore Your Files.txt' และมีหมายเหตุเรียกค่าไถ่พร้อมคำแนะนำจากแฮกเกอร์
รายละเอียดของบันทึกค่าไถ่
ตามหมายเหตุ Nwgen ใช้อัลกอริธึมการเข้ารหัส AES-256-CRT และ ChaCha8 Cipher ร่วมกัน นอกจากนี้ยังระบุด้วยว่าในการรับซอฟต์แวร์ถอดรหัสลับจากผู้โจมตี เหยื่อจะต้องจ่ายเงินจำนวน $150,000 เงินจะต้องถูกส่งไปยังที่อยู่ crypto-wallet ที่พบในบันทึกย่อ นอกจากนี้ แฮกเกอร์ยังระบุว่าพวกเขาจะรับรู้เฉพาะการชำระเงินโดยใช้สกุลเงินดิจิทัล Monero เท่านั้น
เพื่อเพิ่มแรงกดดันให้องค์กรที่ถูกบุกรุกต้องจ่ายเงิน อาชญากรที่แอบแฝงยังอ้างว่าได้รับข้อมูลสำคัญจำนวนมหาศาล (200GB) จากระบบที่ติดไวรัส ตอนนี้ขู่จะปล่อยข้อมูลสู่สาธารณะบางส่วนในขณะที่พยายามหาผู้ซื้อที่เหมาะสม เพื่อหลีกเลี่ยงผลลัพธ์นี้ เหยื่อจะต้องเริ่มการสื่อสารภายใน 12 ชั่วโมงหลังจากการโจมตีของแรนซัมแวร์ พวกเขาสามารถทำได้โดยส่งข้อความอีเมล 'yourd34d@ctemplar.com' หรือบัญชี Telegram '@redeyeg0d'
ข้อความทั้งหมดของความต้องการของ Nwgen Ransomware คือ:
' คุณคงสงสัยว่าทำไมคุณถึงได้รับข้อความจากฉัน
เมื่อวาน * โดนละเมิดคุณอาจไม่ทราบ แต่ในช่วงสองสามวันที่ผ่านมา เราได้ขโมยข้อมูลทั้งหมดของคุณซึ่งเราสามารถรับมือได้
เราใช้ข้อมูลมากกว่า 200GB (ข้อมูลผู้ใช้ของ dba / ผู้ป่วย / เซิร์ฟเวอร์ netshares / vdi)เกิดอะไรขึ้นกับไฟล์ของคุณ
เครือข่ายของคุณถูกเจาะ
ไฟล์ทั้งหมดของคุณถูกเข้ารหัสโดยใช้ AES-256-CTR พร้อม ChaCha8 Cipher
คำเตือน:
อย่าพยายามถอดรหัสไฟล์ของคุณ Shadow Copy ถูกลบไปแล้ว
วิธีการกู้คืนอาจทำให้ไม่สามารถกู้คืนไฟล์บางไฟล์ได้เรามีซอฟต์แวร์ถอดรหัสเฉพาะสำหรับสถานการณ์ของคุณ
ไม่มีซอฟต์แวร์ถอดรหัสในที่สาธารณะจ่าย 150,000 (USD) เป็น XMR (โมเนโร) ไปยังที่อยู่นี้: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUa1uFoWWNySYCxoHv13
คุณจะซื้อ XMR ได้อย่างไร?hxxps://bisq.network/ เพื่อซื้อ XMR โดยใช้คำสั่ง
หรือใช้การแลกเปลี่ยน Cryptocurrency เพื่อซื้อ XMR:
hxxps://www.kraken.com/
ใช้คำแนะนำนี้: hxxps://www.getmonero.org/
หลังจากส่งจำนวนเงินที่ระบุไปยังกระเป๋าเงินของเรา เราจะจัดเตรียมให้คุณ
ด้วยคีย์ถอดรหัสเพื่อปลดล็อกไฟล์ของคุณหากคุณไม่ตอบกลับ (กำหนดเวลา 24 ชั่วโมง เริ่มตั้งแต่ตอนนี้) หรือเราไม่ได้รับการตอบกลับจากคุณ
เราจะเริ่มแสดงข้อมูลแก่ผู้ซื้อที่มีศักยภาพของเรา และรั่วไหลบางส่วน
ลูกค้าทั้งหมดของคุณ (ลูกค้า / นายจ้าง) จะได้รับแจ้งและให้หลักฐานว่าข้อมูลของพวกเขาถูกบุกรุก
และเผยแพร่ทุกอย่างในที่สาธารณะในหลาย ๆ ที่และร้านค้าเพื่อให้ลูกค้าสนใจซื้อข้อมูลมากขึ้น
และรายงานความพร้อมใช้งานของข้อมูลนี้ไปยังแพลตฟอร์มข่าวที่เหมาะสมติดต่อ:
โทรเลข: @redeyeg0d
อีเมล: yourd34d@ctemplar.com '