Nwgen Ransomware
Un grupo de ciberdelincuentes se dirige a organizaciones corporativas con una potente amenaza de malware denominada Nwgen Ransomware. Los atacantes se infiltran en las computadoras de sus víctimas, implementan la carga útil amenazante y permiten que cifre casi todos los archivos almacenados allí. La amenaza puede hacer que todos los documentos, bases de datos, archivos y más sean completamente inaccesibles.
Mirando los archivos afectados, reveló que cada uno ha sido marcado agregando '.nwgen' a sus nombres originales como una nueva extensión. Después de terminar con el cifrado de todos los archivos adecuados, Nwgen procederá a crear un archivo de texto en el escritorio del sistema. Este archivo se llama 'Cómo restaurar sus archivos.txt' y lleva una nota de rescate con instrucciones de los piratas informáticos.
Detalles de la nota de rescate
Según la nota, Nwgen utiliza una combinación del algoritmo criptográfico AES-256-CRT y el cifrado ChaCha8. También establece que para recibir el software descifrador de los atacantes, se espera que las víctimas paguen la suma de $150,000. Los fondos deben enviarse a la dirección de la billetera criptográfica que se encuentra en la nota. Además, los piratas informáticos afirman que solo reconocerían los pagos realizados con la criptomoneda Monero.
Para presionar aún más a la organización comprometida para que pague, los ciberdelincuentes también afirman haber obtenido grandes cantidades de datos confidenciales (200 GB) de los sistemas infectados. Ahora, amenazan con comenzar a filtrar la información al públicoparcialmente, mientras intentaba encontrar un comprador adecuado. Para evitar este resultado, se espera que las víctimas inicien la comunicación dentro de las 12 horas posteriores al ataque del ransomware. Pueden hacerlo enviando un mensaje al correo electrónico 'yourd34d@ctemplar.com' o a la cuenta de Telegram '@reeyeg0d'.
El texto completo de las demandas de Nwgen Ransomware es:
Probablemente te estés preguntando por qué estás recibiendo un mensaje mío.
Ayer, * fue violado.Probablemente no lo sepa, pero en los últimos días hemos estado extrayendo todos sus datos que pudimos tener en nuestras manos.
Tomamos más de 200 GB en datos (servidores dba / user's user / netshares / vdi).¿Qué pasó con sus archivos?
Su red fue penetrada.
Todos sus archivos fueron encriptados usando AES-256-CTR con ChaCha8 Cipher.
ADVERTENCIA:
No intente descifrar sus archivos, se eliminaron las instantáneas,
los métodos de recuperación pueden llevar a la imposibilidad de recuperar ciertos archivos.Tenemos exclusivamente software de descifrado para su situación,
ningún software de descifrado está disponible en el público.Paga 150.000 (USD) en XMR (Monero) a esta dirección: 4BExj4Z7n73316oWSd6k3Wj7A12PFVUSeHoobSPpaCJVdH6Z1oRBBssemrpwW5GyRt7xi3SQCeJzUa1uFoWWNySYCxoHv13
¿Cómo se compra XMR?hxxps://bisq.network/ para comprar XMR usando fiat.
Alternativamente, use un intercambio de criptomonedas para comprar XMR:
hxxps://www.kraken.com/
Usa esta guía: hxxps://www.getmonero.org/
Después de enviar la cantidad especificada a nuestra billetera, le proporcionaremos
con las claves de descifrado para desbloquear sus archivos.Si no responde (plazo de 24 horas, a partir de ahora), o no recibimos una respuesta de su parte
comenzaremos a mostrar los datos a nuestros compradores potenciales y filtraremos una información parcial,
Todos sus clientes (clientes/empleadores) serán informados y se les dará prueba de que sus datos han sido comprometidos
y publique todo de manera pública en múltiples lugares y puntos de venta para que más clientes se interesen en comprar los datos
y también informando la disponibilidad de estos datos a las plataformas de noticias apropiadas.Contacto:
telegrama: @ redeyeg0d
correo electrónico: yourd34d@ctemplar.com '
