Wuxia Ransomware
Une menace de malware identifiée comme le Wuxia Ransomware a été identifiée par les chercheurs d'infosec. L'analyse du code sous-jacent de la menace l'a connectée à la famille VoidCrypt Ransomware. Les victimes de Wuxia se retrouveront dans l'impossibilité d'accéder à la quasi-totalité des fichiers stockés sur l'appareil compromis. En effet, la menace exécute une routine de cryptage puissante pour rendre un large éventail de types de fichiers inutilisables. Le but des pirates est ensuite d'extorquer de l'argent aux utilisateurs concernés en échange de la promesse de restaurer les fichiers cryptés à la normale.
Dans le cadre de son processus de cryptage, Wuxia modifiera également les noms d'origine des fichiers cibléssignificativement. La menace ajoute un identifiant de victime, une adresse e-mail et une nouvelle extension de fichier. L'adresse e-mail utilisée dans les noms de fichiers est « hushange_delbar@outlook.com », tandis que la nouvelle extension de fichier est « .wuxia ». Enfin, il délivrera une note de rançon avec des instructions aux victimes. Le message demandant une rançon sera déposé sur le système sous forme de fichier texte nommé « Decryption-Guide.txt » et affiché dans une fenêtre contextuelle via un fichier nommé « Decryption-Guide.hta. »
Aperçu de la note de rançon
Les messages de la fenêtre contextuelle et du fichier texte sont identiques. Ils déclarent que la restauration du fichier crypté sans l'aide des attaquants est impossible. Les victimes sont invitées à contacter les pirates en utilisant le même e-mail que celui placé dans les noms de fichiers - "Hushange_delbar@outlook.com". Dans le cadre du message, les utilisateurs concernés doivent inclure deux fichiers. L'un devrait être un fichier crypté que les pirates utiliseront pour tester leur capacité à déverrouiller les données tandis que l'autre contient une clé importante.
Selon la note, le fichier de clé doit se trouver dans le dossier C:/ProgramData et doit être nommé « KEY-SE-24r6t523 » ou « RSAKEY.KEY. » Après avoir contacté les pirates, les victimes seront informées du montant de la rançon qu'elles devront payer pour recevoir l'outil de décryptage et la clé de décryptage RSA. La seconde moitié du message de rançon consiste en plusieurs avertissements, tels que ne pas utiliser d'outils tiers pour essayer de déverrouiller les fichiers ou embaucher des sociétés proposant des services de négociation, car cela pourrait entraîner des coûts financiers supplémentaires pour la victime.
Le texte intégral de la note est :
' Vos fichiers sont verrouillés
Vos fichiers ont été cryptés avec un algorithme de cryptographie
Si vous avez besoin de vos fichiers et qu'ils sont importants pour vous, ne soyez pas timide, envoyez-moi un e-mail
Envoyez le fichier de test + le fichier clé sur votre système (le fichier existe dans l'exemple C:/ProgramData : KEY-SE-24r6t523 ou RSAKEY.KEY) pour vous assurer que vos fichiers peuvent être restaurés
Faites un accord sur le prix avec moi et payez
Obtenez l'outil de décryptage + la clé RSA ET les instructions pour le processus de décryptageAttention:
1- Ne pas renommer ou modifier les fichiers (vous risquez de perdre ce fichier)
2- N'essayez pas d'utiliser des applications tierces ou des outils de récupération (si vous voulez le faire, faites une copie des fichiers et essayez-les et perdez votre temps)
3-Ne pas réinstaller le système d'exploitation (Windows) Vous pouvez perdre le fichier clé et perdre vos fichiers
4-Ne faites pas toujours confiance aux intermédiaires et aux négociateurs (certains d'entre eux sont bons mais certains d'entre eux sont d'accord sur 4000usd par exemple et ont demandé 10000usd au client) cela s'est produitVotre numéro de dossier : -
Notre e-mail :Hushange_delbar@outlook.com .'
