باج افزار RedAlert (N13V).

باج افزار RedAlert (N13V) یک بدافزار چند پلتفرمی است که داده های قربانیان خود را هدف قرار می دهد. نسخه ویندوز این بدافزار به‌عنوان RedALert ردیابی می‌شود، در حالی که N13V به طور خاص برای فعال بودن در سرورهای Linux VMware ESXi طراحی شده است. مانند بیشتر حملات باج‌افزار، این تهدید با استفاده از یک الگوریتم رمزنگاری غیرقابل شکست، داده‌های موجود در سیستم‌های نقض‌شده را قفل می‌کند. هر فایل پردازش شده یک پسوند جدید خواهد داشت که شامل «.crypt» و سپس یک عدد مشخص به نام اصلی آن اضافه می شود. هنگامی که همه انواع فایل های مورد نظر رمزگذاری شدند، باج افزار RedAlert (N13V) یک فایل متنی جدید در دستگاه آلوده ایجاد می کند.

هدف این فایل با نام "HOW_TO_RESTORE.txt" ارائه یک یادداشت باج به همراه دستورالعمل های مهاجمان است. پیام Ransomware RedAlert (N13V) به وضوح نشان می دهد که اپراتورهای آن عمدتاً نهادهای شرکتی را هدف قرار می دهند. همچنین نشان می دهد که مهاجمان یک طرح اخاذی مضاعف را اجرا می کنند. ظاهراً عاملان تهدید علاوه بر قفل کردن پرونده‌های قربانی، داده‌های محرمانه مختلفی مانند قراردادها، اسناد مالی، صورت‌حساب‌های بانکی، داده‌های کارمندان و مشتریان و غیره را نیز جمع‌آوری می‌کنند. تمام اطلاعات جمع‌آوری‌شده به یک سرور راه دور منتقل می‌شود و هکرها تهدید به انتشار می‌کنند. در صورتی که قربانیان ظرف 72 ساعت با آنها تماس نگیرند، به اطلاع عموم می رسد.

این تهدید قربانیان را به بازدید از وب سایت اختصاصی هکر که در شبکه Tor میزبانی شده است هدایت می کند. ظاهراً این سایت به قربانیان این امکان را می دهد که چند فایل رمزگذاری شده را برای بازگشایی رایگان ارسال کنند، باج درخواستی را بپردازند و یک ابزار رمزگشایی تخصصی دریافت کنند. البته، ارتباط با مجرمان سایبری ذاتاً مخاطره آمیز است و می تواند قربانی را در معرض مسائل امنیتی یا حریم خصوصی بیشتری قرار دهد.

کل مجموعه دستورالعمل های ارائه شده از طریق فایل متنی عبارتند از:

'سلام،
شبکه شما نفوذ کرده است
ما فایل های شما را رمزگذاری کرده ایم و حجم زیادی از داده های حساس را دزدیده ایم، از جمله:

قراردادها و داده های NDA

اسناد مالی، حقوق و دستمزد، صورت حساب بانکی

داده های کارکنان، اسناد شخصی، SSN، DL، CC

داده های مشتری، قراردادها، قراردادهای خرید و غیره

اعتبار به دستگاه های محلی و راه دور
و بیشتر…
رمزگذاری فرآیندی برگشت‌پذیر است، داده‌های شما به راحتی با کمک ما قابل بازیابی هستند
ما به شما پیشنهاد می کنیم نرم افزار رمزگشایی ویژه را خریداری کنید، پرداخت شامل رمزگشا، کلید آن و پاک کردن اطلاعات دزدیده شده است.
اگر تمام جدیت این طرح را درک می کنید و آماده همکاری با ما هستید، مراحل زیر را دنبال کنید:
1) مرورگر TOR را از hxxps://torproject.org دانلود کنید
2) مرورگر TOR را نصب و راه اندازی کنید
3) از صفحه وب ما دیدن کنید: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
در صفحه وب ما می توانید رمزگشا را خریداری کنید، با پشتیبانی ما چت کنید و چند فایل را به صورت رایگان رمزگشایی کنید
اگر تا 72 ساعت دیگر با ما تماس نگیرید، ما شروع به انتشار اطلاعات دزدیده شده در وبلاگ خود بخشی به قسمت، سایت DDoS شرکت شما می کنیم و با کارمندان شرکت شما تماس می گیریم.
ما اسناد مالی شرکت شما را تجزیه و تحلیل کرده ایم بنابراین قیمت مناسب را به شما پیشنهاد می کنیم
برای جلوگیری از از دست رفتن داده ها و افزایش هزینه های اضافی:
1) محتویات فایل های رمزگذاری شده را تغییر ندهید
2) مقامات محلی را در مورد این حادثه قبل از پایان معامله ما مطلع نکنید
3) شرکت های بازیابی را برای مذاکره با ما استخدام نکنید
ما تضمین می‌کنیم که گفتگوی ما خصوصی خواهد ماند و طرف‌های ثالث هرگز از معامله ما مطلع نخواهند شد

REDALERT شروع شناسه منحصر به فرد