Wuxia Ransomware
Eine Malware-Bedrohung, die als Wuxia Ransomware verfolgt wird, wurde von infosec-Forschern identifiziert. Die Analyse des zugrunde liegenden Codes der Bedrohung hat sie mit der VoidCrypt Ransomware-Familie in Verbindung gebracht. Die Opfer von Wuxia werden nicht in der Lage sein, auf fast alle Dateien zuzugreifen, die auf dem kompromittierten Gerät gespeichert sind. Tatsächlich führt die Bedrohung eine starke Verschlüsselungsroutine aus, um eine Vielzahl von Dateitypen unbrauchbar zu machen. Das Ziel der Hacker ist es, die betroffenen Benutzer dann zu Geld zu erpressen, wenn sie versprechen, die verschlüsselten Dateien wieder normal zu machen.
Als Teil seines Verschlüsselungsprozesses ändert Wuxia auch die ursprünglichen Namen der Zieldateien bedeutend. Die Bedrohung fügt die ID des Opfers, eine E-Mail-Adresse und eine neue Dateierweiterung hinzu. Die in den Dateinamen verwendete E-Mail-Adresse lautet „hushange_delbar@outlook.com“, während die neue Dateierweiterung „.wuxia“ lautet. Schließlich wird es den Opfern eine Lösegeldforderung mit Anweisungen aushändigen. Die Lösegeldforderungsnachricht wird als Textdatei namens „Decryption-Guide.txt“ auf dem System abgelegt und in einem Popup-Fenster über eine Datei namens „Decryption-Guide.hta“ angezeigt.
Übersicht der Lösegeldforderung
Die Meldungen im Popup-Fenster und in der Textdatei sind identisch. Sie geben an, dass eine Wiederherstellung der verschlüsselten Datei ohne die Hilfe der Angreifer unmöglich ist. Die Opfer werden angewiesen, die Hacker mit derselben E-Mail zu kontaktieren, die in den Dateinamen angegeben ist – „Hushange_delbar@outlook.com“. Als Teil der Nachricht müssen betroffene Benutzer zwei Dateien beifügen. Eine sollte eine verschlüsselte Datei sein, mit der die Hacker ihre Fähigkeit zum Entsperren der Daten testen, während die andere einen wichtigen Schlüssel trägt.
Laut Hinweis sollte sich die Schlüsseldatei im Ordner C:/ProgramData befinden und entweder 'KEY-SE-24r6t523' oder 'RSAKEY.KEY' heißen. Nachdem sie die Hacker kontaktiert haben, wird den Opfern die Höhe des Lösegelds mitgeteilt, die sie zahlen müssen, um das Entschlüsselungstool und den RSA-Entschlüsselungsschlüssel zu erhalten. Die zweite Hälfte der Lösegeldforderung besteht aus mehreren Warnungen, z. B. nicht mit Tools von Drittanbietern zu versuchen, die Dateien zu entsperren oder Firmen zu beauftragen, die Verhandlungsdienste anbieten, da dies zu zusätzlichen finanziellen Kosten für das Opfer führen könnte.
Der vollständige Text der Notiz lautet:
' Ihre Dateien wurden gesperrt
Ihre Dateien wurden mit einem Kryptografiealgorithmus verschlüsselt
Wenn Sie Ihre Dateien benötigen und diese für Sie wichtig sind, zögern Sie nicht, mir eine E-Mail zu senden
Senden Sie eine Testdatei + die Schlüsseldatei auf Ihrem System (Datei existiert in C:/ProgramData Beispiel: KEY-SE-24r6t523 oder RSAKEY.KEY), um sicherzustellen, dass Ihre Dateien wiederhergestellt werden können
Machen Sie eine Preisvereinbarung mit mir und bezahlen Sie
Holen Sie sich das Entschlüsselungstool + RSA-Schlüssel UND Anweisungen für den EntschlüsselungsprozessAufmerksamkeit:
1- Die Dateien nicht umbenennen oder ändern (Sie können diese Datei verlieren)
2- Versuchen Sie nicht, Apps oder Wiederherstellungstools von Drittanbietern zu verwenden (wenn Sie dies tun möchten, erstellen Sie eine Kopie von Dateien und probieren Sie sie aus und verschwenden Sie Ihre Zeit)
3-Installieren Sie das Betriebssystem nicht neu (Windows) Sie können die Schlüsseldatei und Ihre Dateien verlieren
4-Vertrauen Sie nicht immer den Mittelsmännern und Unterhändlern (einige von ihnen sind gut, aber einige von ihnen einigen sich zum Beispiel auf 4000usd und fragten 10000usd vom Kunden) Dies war passiertIhre Fall-ID: -
Unsere E-Mail: Hushange_delbar@outlook.com .'
