باج افزار RedAlert (N13V).
باج افزار RedAlert (N13V) یک بدافزار چند پلتفرمی است که داده های قربانیان خود را هدف قرار می دهد. نسخه ویندوز این بدافزار بهعنوان RedALert ردیابی میشود، در حالی که N13V به طور خاص برای فعال بودن در سرورهای Linux VMware ESXi طراحی شده است. مانند بیشتر حملات باجافزار، این تهدید با استفاده از یک الگوریتم رمزنگاری غیرقابل شکست، دادههای موجود در سیستمهای نقضشده را قفل میکند. هر فایل پردازش شده یک پسوند جدید خواهد داشت که شامل «.crypt» و سپس یک عدد مشخص به نام اصلی آن اضافه می شود. هنگامی که همه انواع فایل های مورد نظر رمزگذاری شدند، باج افزار RedAlert (N13V) یک فایل متنی جدید در دستگاه آلوده ایجاد می کند.
هدف این فایل با نام "HOW_TO_RESTORE.txt" ارائه یک یادداشت باج به همراه دستورالعمل های مهاجمان است. پیام Ransomware RedAlert (N13V) به وضوح نشان می دهد که اپراتورهای آن عمدتاً نهادهای شرکتی را هدف قرار می دهند. همچنین نشان می دهد که مهاجمان یک طرح اخاذی مضاعف را اجرا می کنند. ظاهراً عاملان تهدید علاوه بر قفل کردن پروندههای قربانی، دادههای محرمانه مختلفی مانند قراردادها، اسناد مالی، صورتحسابهای بانکی، دادههای کارمندان و مشتریان و غیره را نیز جمعآوری میکنند. تمام اطلاعات جمعآوریشده به یک سرور راه دور منتقل میشود و هکرها تهدید به انتشار میکنند. در صورتی که قربانیان ظرف 72 ساعت با آنها تماس نگیرند، به اطلاع عموم می رسد.
این تهدید قربانیان را به بازدید از وب سایت اختصاصی هکر که در شبکه Tor میزبانی شده است هدایت می کند. ظاهراً این سایت به قربانیان این امکان را می دهد که چند فایل رمزگذاری شده را برای بازگشایی رایگان ارسال کنند، باج درخواستی را بپردازند و یک ابزار رمزگشایی تخصصی دریافت کنند. البته، ارتباط با مجرمان سایبری ذاتاً مخاطره آمیز است و می تواند قربانی را در معرض مسائل امنیتی یا حریم خصوصی بیشتری قرار دهد.
کل مجموعه دستورالعمل های ارائه شده از طریق فایل متنی عبارتند از:
'سلام،
شبکه شما نفوذ کرده است
ما فایل های شما را رمزگذاری کرده ایم و حجم زیادی از داده های حساس را دزدیده ایم، از جمله:قراردادها و داده های NDA
اسناد مالی، حقوق و دستمزد، صورت حساب بانکی
داده های کارکنان، اسناد شخصی، SSN، DL، CC
داده های مشتری، قراردادها، قراردادهای خرید و غیره
اعتبار به دستگاه های محلی و راه دور
و بیشتر…
رمزگذاری فرآیندی برگشتپذیر است، دادههای شما به راحتی با کمک ما قابل بازیابی هستند
ما به شما پیشنهاد می کنیم نرم افزار رمزگشایی ویژه را خریداری کنید، پرداخت شامل رمزگشا، کلید آن و پاک کردن اطلاعات دزدیده شده است.
اگر تمام جدیت این طرح را درک می کنید و آماده همکاری با ما هستید، مراحل زیر را دنبال کنید:
1) مرورگر TOR را از hxxps://torproject.org دانلود کنید
2) مرورگر TOR را نصب و راه اندازی کنید
3) از صفحه وب ما دیدن کنید: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
در صفحه وب ما می توانید رمزگشا را خریداری کنید، با پشتیبانی ما چت کنید و چند فایل را به صورت رایگان رمزگشایی کنید
اگر تا 72 ساعت دیگر با ما تماس نگیرید، ما شروع به انتشار اطلاعات دزدیده شده در وبلاگ خود بخشی به قسمت، سایت DDoS شرکت شما می کنیم و با کارمندان شرکت شما تماس می گیریم.
ما اسناد مالی شرکت شما را تجزیه و تحلیل کرده ایم بنابراین قیمت مناسب را به شما پیشنهاد می کنیم
برای جلوگیری از از دست رفتن داده ها و افزایش هزینه های اضافی:
1) محتویات فایل های رمزگذاری شده را تغییر ندهید
2) مقامات محلی را در مورد این حادثه قبل از پایان معامله ما مطلع نکنید
3) شرکت های بازیابی را برای مذاکره با ما استخدام نکنید
ما تضمین میکنیم که گفتگوی ما خصوصی خواهد ماند و طرفهای ثالث هرگز از معامله ما مطلع نخواهند شدREDALERT شروع شناسه منحصر به فرد