Nwgen Ransomware

Eine Gruppe von Cyberkriminellen zielt mit einer potenten Malware-Bedrohung namens Nwgen Ransomware auf Unternehmensorganisationen ab. Die Angreifer infiltrieren die Computer ihrer Opfer, setzen die bedrohliche Payload ein und lassen nahezu alle dort gespeicherten Dateien verschlüsseln. Die Bedrohung kann alle Dokumente, Datenbanken, Archive und mehr vollständig unzugänglich machen.

Ein Blick auf die betroffenen Dateien ergab, dass jede durch Anhängen von „.nwgen“ an ihren ursprünglichen Namen als neue Erweiterung gekennzeichnet wurde. Nachdem die Verschlüsselung aller geeigneten Dateien abgeschlossen ist, erstellt Nwgen eine Textdatei auf dem Desktop des Systems. Diese Datei heißt „How To Restore Your Files.txt“ und enthält eine Lösegeldforderung mit Anweisungen der Hacker.

Details der Lösegeldforderung

Laut der Notiz verwendet Nwgen eine Kombination aus dem kryptografischen AES-256-CRT-Algorithmus und der ChaCha8-Chiffre. Es heißt auch, dass Opfer eine Summe von 150.000 US-Dollar zahlen müssen, um die Entschlüsselungssoftware von den Angreifern zu erhalten. Das Geld muss an die in der Notiz angegebene Krypto-Wallet-Adresse gesendet werden. Darüber hinaus geben die Hacker an, dass sie nur Zahlungen anerkennen würden, die mit der Kryptowährung Monero getätigt wurden.

Um weiteren Druck auf die kompromittierte Organisation zur Zahlung auszuüben, behaupten die Kryptokriminellen auch, riesige Mengen an sensiblen Daten (200 GB) von den infizierten Systemen erhalten zu haben. Jetzt drohen sie damit, die Informationen teilweise an die Öffentlichkeit zu bringen bei der Suche nach einem geeigneten Käufer. Um dieses Ergebnis zu vermeiden, wird von den Opfern erwartet, dass sie die Kommunikation innerhalb von 12 Stunden nach dem Ransomware-Angriff beginnen. Sie können dies tun, indem sie eine Nachricht an die E-Mail-Adresse „yourd34d@ctemplar.com“ oder das Telegram-Konto „@redeyeg0d“ senden.

Der vollständige Text der Forderungen der Nwgen Ransomware lautet:

' Sie fragen sich wahrscheinlich, warum Sie eine Nachricht von mir erhalten.
Gestern wurde * verletzt.

Sie wissen es wahrscheinlich nicht, aber in den letzten Tagen haben wir alle Ihre Daten herausgefiltert, die wir in die Finger bekommen konnten.
Wir haben über 200 GB an Daten übernommen ( dba's / patient's userdata / netshares / vdi server ).

Was ist mit Ihren Dateien passiert?

Ihr Netzwerk wurde eingedrungen.

Alle Ihre Dateien wurden mit AES-256-CTR mit ChaCha8-Verschlüsselung verschlüsselt.

WARNUNG:

Versuchen Sie nicht, Ihre Dateien zu entschlüsseln, Schattenkopien wurden entfernt,
Wiederherstellungsmethoden können dazu führen, dass bestimmte Dateien nicht wiederhergestellt werden können.

Wir haben ausschließlich Entschlüsselungssoftware für Ihre Situation,
keine Entschlüsselungssoftware ist öffentlich verfügbar.

Zahlen Sie 150.000 (USD) in XMR (Monero) an diese Adresse: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUa1uFoWWNySYCxoHv13
Wie kaufen Sie XMR?

hxxps://bisq.network/, um XMR mit Fiat zu kaufen.

Verwenden Sie alternativ eine Kryptowährungsbörse, um XMR zu kaufen:

hxxps://www.kraken.com/

Verwenden Sie diese Anleitung: hxxps://www.getmonero.org/

Nachdem wir den angegebenen Betrag an unsere Brieftasche gesendet haben, werden wir Ihnen diesen zur Verfügung stellen
mit den Entschlüsselungsschlüsseln, um Ihre Dateien zu entsperren.

Wenn Sie nicht antworten (24-Stunden-Frist, ab sofort) oder wir keine Antwort von Ihnen erhalten

Wir werden anfangen, die Daten unseren potenziellen Käufern zu zeigen und einen Teil davon durchsickern zu lassen,

Alle Ihre Kunden (Kunden / Arbeitgeber) werden informiert und erhalten einen Nachweis, dass ihre Daten kompromittiert wurden
und veröffentlichen Sie alles öffentlich an mehreren Orten und Verkaufsstellen, um mehr Kunden für den Kauf der Daten zu interessieren
und auch die Verfügbarkeit dieser Daten an die entsprechenden Nachrichtenplattformen zu melden.

Kontakt:
Telegramm: @redeyeg0d
E- Mail: yourd34d@ctemplar.com '