RedAlert (N13V) Ransomware
RedAlert (N13V) Ransomware yra kelių platformų kenkėjiška programa, kuri nukreipta į savo aukų duomenis. Kenkėjiškos programos „Windows“ versija stebima kaip RedALert, o N13V yra specialiai sukurta aktyviam „Linux VMware ESXi“ serveriuose. Kaip ir dauguma „ransomware“ atakų, grėsmė užrakina pažeistose sistemose rastus duomenis naudodama nenulaužiamą kriptografinį algoritmą. Kiekvienas apdorotas failas turės naują plėtinį, sudarytą iš „.crypt“, po kurio prie pradinio pavadinimo pridedamas tam tikras skaičius. Kai visi tiksliniai failų tipai bus užšifruoti, RedAlert (N13V) Ransomware užkrėstame įrenginyje sukurs naują tekstinį failą.
Failo, pavadinto „HOW_TO_RESTORE.txt“, tikslas yra pateikti išpirkos raštelį su užpuolikų instrukcijomis. RedAlert (N13V) Ransomware pranešimas aiškiai rodo, kad jos operatoriai dažniausiai taikosi į verslo subjektus. Taip pat atskleidžiama, kad užpuolikai vykdo dvigubo turto prievartavimo schemą. Matyt, ne tik užrakina aukos bylas, bet ir renka įvairius konfidencialius duomenis, tokius kaip sutartys, finansiniai dokumentai, banko išrašai, darbuotojų ir klientų duomenys ir kt. Visa surinkta informacija išfiltruojama į nuotolinį serverį, o įsilaužėliai grasina paviešinti. viešai, jei aukos nesusisieks su jais per 72 valandas.
Grėsmė nukreipia aukas apsilankyti įsilaužėliui skirtoje svetainėje, esančioje „Tor“ tinkle. Svetainė tariamai leis aukoms nemokamai išsiųsti keletą užšifruotų failų, kad jie būtų atrakinti, sumokėti reikalaujamą išpirką ir gauti specializuotą iššifravimo įrankį. Žinoma, bendravimas su kibernetiniais nusikaltėliais iš esmės yra rizikingas ir gali sukelti aukai papildomų privatumo ar saugumo problemų.
Visas instrukcijų rinkinys, pateiktas per tekstinį failą, yra:
'Sveiki,
Jūsų tinklas buvo įsiskverbęs
Užšifravome jūsų failus ir pavogėme daug neskelbtinų duomenų, įskaitant:NDA sutartys ir duomenys
Finansiniai dokumentai, darbo užmokesčio žiniaraščiai, banko išrašai
Darbuotojo duomenys, asmens dokumentai, SSN, DL, CC
Klientų duomenys, sutartys, pirkimo sutartys ir kt.
Kredencialai į vietinius ir nuotolinius įrenginius
Ir dar…
Šifravimas yra grįžtamasis procesas, su mūsų pagalba jūsų duomenis galima lengvai atkurti
Siūlome įsigyti specialią iššifravimo programinę įrangą, į mokėjimą įeina dešifratorius, jo raktas ir pavogtų duomenų ištrynimas
Jei suprantate visą šio reikalo rimtumą ir esate pasirengę su mumis bendradarbiauti, atlikite šiuos veiksmus:
1) Atsisiųskite TOR naršyklę iš hxxps://torproject.org
2) Įdiekite ir paleiskite TOR naršyklę
3) Apsilankykite mūsų tinklalapyje: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Mūsų svetainėje galėsite nemokamai įsigyti iššifravimo priemonę, kalbėtis su mūsų palaikymo komanda ir iššifruoti keletą failų
Jei nesusisieksite su mumis per 72 valandas, mes pradėsime skelbti pavogtus duomenis savo tinklaraštyje iš dalies, jūsų įmonės DDoS svetainėje ir skambinsime jūsų įmonės darbuotojams
Išanalizavome Jūsų įmonės finansinę dokumentaciją, todėl pasiūlysime Jums tinkamą kainą
Kad išvengtumėte duomenų praradimo ir papildomų išlaidų:
1) Nekeiskite šifruotų failų turinio
2) Nepraneškite vietos valdžios institucijoms apie šį incidentą nepasibaigus mūsų sandoriui
3) Nesamdykite atkūrimo įmonių derėtis su mumis
Garantuojame, kad mūsų dialogas išliks privatus ir trečiosios šalys niekada nesužinos apie mūsų sandorįREDALERT UNIQUE IDENTIFIER PRADŽIA
