Wuxia Ransomware
Los investigadores de infosec han identificado una amenaza de malware rastreada como Wuxia Ransomware. El análisis del código subyacente de la amenaza la ha conectado a la familia VoidCrypt Ransomware. Las víctimas de Wuxia no podrán acceder a casi todos los archivos almacenados en el dispositivo comprometido. De hecho, la amenaza ejecuta una sólida rutina de cifrado para inutilizar una amplia gama de tipos de archivos. El objetivo de los piratas informáticos es extorsionar a los usuarios afectados por dinero a cambio de prometer restaurar los archivos cifrados a la normalidad.
Como parte de su proceso de cifrado, Wuxia también cambiará los nombres originales de los archivos de destino.significativamente. La amenaza agrega la identificación de la víctima, una dirección de correo electrónico y una nueva extensión de archivo. La dirección de correo electrónico utilizada en los nombres de archivo es 'hushange_delbar@outlook.com', mientras que la nueva extensión de archivo es '.wuxia'. Finalmente, entregará una nota de rescate con instrucciones a las víctimas. El mensaje que exige el rescate se colocará en el sistema como un archivo de texto llamado 'Decryption-Guide.txt' y se mostrará en una ventana emergente a través de un archivo llamado 'Decryption-Guide.hta'.
Descripción general de la nota de rescate
Los mensajes de la ventana emergente y el archivo de texto son idénticos. Afirman que es imposible restaurar el archivo cifrado sin la ayuda de los atacantes. Se indica a las víctimas que se pongan en contacto con los piratas informáticos utilizando el mismo correo electrónico que el que figura en los nombres de los archivos: 'Hushange_delbar@outlook.com'. Como parte del mensaje, los usuarios afectados deben incluir dos archivos. Uno debe ser un archivo cifrado que los piratas informáticos utilizarán para probar su capacidad para desbloquear los datos, mientras que el otro lleva una clave importante.
Según la nota, el archivo de clave debe estar en la carpeta C: / ProgramData y debe llamarse 'KEY-SE-24r6t523' o 'RSAKEY.KEY'. Después de contactar a los piratas informáticos, se les informará a las víctimas el monto del rescate que tendrán que pagar para recibir la herramienta de descifrado y la clave de descifrado RSA. La segunda mitad del mensaje de rescate consta de múltiples advertencias, como no utilizar herramientas de terceros para intentar desbloquear los archivos o contratar empresas que ofrezcan servicios de negociación, ya que eso podría generar costos financieros adicionales para la víctima.
El texto completo de la nota es:
' Tus archivos están bloqueados
Sus archivos se han cifrado con un algoritmo de criptografía
Si necesita sus archivos y son importantes para usted, no sea tímido, envíeme un correo electrónico
Envíe el archivo de prueba + el archivo de clave en su sistema (el archivo existe en C: / ProgramData ejemplo: KEY-SE-24r6t523 o RSAKEY.KEY) para asegurarse de que sus archivos se puedan restaurar
Haga un acuerdo de precio conmigo y pague
Obtenga la herramienta de descifrado + clave RSA E instrucciones para el proceso de descifradoAtención:
1- No cambie el nombre ni modifique los archivos (puede perder ese archivo)
2- No intente utilizar aplicaciones de terceros o herramientas de recuperación (si desea hacer eso, haga una copia de Archivos y pruébelos y pierda el tiempo)
3-No reinstalar el sistema operativo (Windows) Puede perder el archivo clave y perder sus archivos
4-No siempre confíe en los intermediarios y negociadores (algunos de ellos son buenos, pero algunos de ellos están de acuerdo en 4000usd, por ejemplo, y preguntaron 10000usd por parte del cliente).Su ID de caso: -
Nuestro correo electrónico: Hushange_delbar@outlook.com . '
