Nwgen Ransomware
Un groupe de cybercriminels cible les entreprises avec une puissante menace malveillante appelée Nwgen Ransomware. Les attaquants infiltrent les ordinateurs de leurs victimes, déploient la charge utile menaçante et la laissent crypter presque tous les fichiers qui y sont stockés. La menace peut rendre tous les documents, bases de données, archives et autres complètement inaccessibles.
L'examen des fichiers concernés a révélé que chacun d'eux a été marqué en ajoutant ".nwgen" à son nom d'origine en tant que nouvelle extension. Après avoir terminé le cryptage de tous les fichiers appropriés, Nwgen procédera à la création d'un fichier texte sur le bureau du système. Ce fichier s'appelle "Comment restaurer vos fichiers.txt" et contient une note de rançon avec les instructions des pirates.
Détails de la note de rançon
Selon la note, Nwgen utilise une combinaison de l'algorithme cryptographique AES-256-CRT et du chiffrement ChaCha8. Il indique également que pour recevoir le logiciel de décryptage des attaquants, les victimes doivent payer la somme de 150 000 $. Les fonds doivent être envoyés à l'adresse du crypto-portefeuille indiquée dans la note. De plus, les pirates déclarent qu'ils ne reconnaîtraient que les paiements effectués à l'aide de la crypto-monnaie Monero.
Pour faire pression sur l'organisation compromise pour qu'elle paie, les cybercriminels prétendent également avoir obtenu de grandes quantités de données sensibles (200 Go) des systèmes infectés. Maintenant, ils menacent de commencer à divulguer les informations au publicpartiellement, tout en essayant de trouver un acheteur convenable. Pour éviter ce résultat, les victimes doivent initier la communication dans les 12 heures suivant l'attaque du ransomware. Ils peuvent le faire en envoyant un message à l'e-mail "yourd34d@ctemplar.com" ou au compte Telegram "@redeyeg0d".
Le texte complet des demandes de Nwgen Ransomware est :
' Vous vous demandez probablement pourquoi vous recevez un message de ma part.
Hier, * a été piraté.Vous n'êtes probablement pas au courant, mais ces derniers jours, nous avons exfiltré toutes vos données sur lesquelles nous pouvions mettre la main.
Nous avons pris plus de 200 Go de données (dba's/patient's userdata/netshares/vdi servers).Qu'est-il arrivé à vos fichiers ?
Votre réseau a été pénétré.
Tous vos fichiers ont été cryptés en utilisant AES-256-CTR avec ChaCha8 Cipher.
AVERTISSEMENT:
N'essayez pas de déchiffrer vos fichiers, les clichés instantanés ont été supprimés,
les méthodes de récupération peuvent conduire à l'impossibilité de récupération de certains fichiers.Nous avons exclusivement un logiciel de décryptage pour votre situation,
aucun logiciel de décryptage n'est disponible dans le public.Payez 150 000 (USD) en XMR (Monero) à cette adresse : 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUa1uFoWWNySYCxoHv13
Comment acheter XMR ?hxxps://bisq.network/ pour acheter XMR en utilisant fiat.
Vous pouvez également utiliser un échange de crypto-monnaie pour acheter XMR :
hxxps://www.kraken.com/
Utilisez ce guide : hxxps://www.getmonero.org/
Après avoir envoyé le montant spécifié à notre portefeuille, nous vous fournirons
avec les clés de déchiffrement pour déverrouiller vos fichiers.Si vous ne répondez pas (délai de 24 heures, à partir de maintenant), ou si nous ne recevons pas de réponse de votre part
nous commencerons à montrer les données à nos acheteurs potentiels et divulguerons une partie,
Tous vos clients (clients / employeurs) seront informés et auront la preuve que leurs données ont été compromises
et publiez tout de manière publique dans plusieurs endroits et points de vente pour inciter davantage de clients à acheter les données
et également signaler la disponibilité de ces données aux plateformes d'information appropriées.Contact:
télégramme : @redeyeg0d
email: yourd34d@ctemplar.com '
