Perisian Ransomware RedAlert (N13V).
Ransomware RedAlert (N13V) ialah perisian hasad berbilang platform yang menyasarkan data mangsanya. Versi Windows perisian hasad dijejaki sebagai RedALert manakala N13V direka khusus untuk aktif pada pelayan Linux VMware ESXi. Seperti kebanyakan serangan perisian tebusan, ancaman mengunci data yang terdapat pada sistem yang dilanggar dengan menggunakan algoritma kriptografi yang tidak boleh dipecahkan. Setiap fail yang diproses akan mempunyai sambungan baharu, yang terdiri daripada '.crypt' diikuti dengan nombor tertentu yang dilampirkan pada nama asalnya. Apabila semua jenis fail yang disasarkan telah disulitkan, RedAlert (N13V) Ransomware akan mencipta fail teks baharu pada peranti yang dijangkiti.
Dinamakan 'HOW_TO_RESTORE.txt,' tujuan fail adalah untuk menghantar nota tebusan dengan arahan daripada penyerang. Mesej RedAlert (N13V) Ransomware jelas menunjukkan bahawa pengendalinya kebanyakannya menyasarkan entiti korporat. Ia juga mendedahkan bahawa penyerang menjalankan skim pemerasan berganda. Nampaknya, selain mengunci fail mangsa, pelaku ancaman juga mengumpul pelbagai data sulit, seperti kontrak, dokumen kewangan, penyata bank, data pekerja dan pelanggan, dan lain-lain. Semua maklumat yang dikumpul dieksfiltrasi ke pelayan jauh, dengan penggodam mengancam untuk melepaskan kepada orang ramai sekiranya mereka tidak dihubungi oleh mangsa dalam tempoh 72 jam.
Ancaman itu mengarahkan mangsa untuk melawati laman web khusus penggodam yang dihoskan pada rangkaian Tor. Tapak ini sepatutnya membenarkan mangsa menghantar beberapa fail yang disulitkan untuk dibuka kuncinya secara percuma, membayar wang tebusan yang diminta, dan menerima alat penyahsulitan khusus. Sudah tentu, komunikasi dengan penjenayah siber sememangnya berisiko dan boleh mendedahkan mangsa kepada isu privasi atau keselamatan tambahan.
Seluruh set arahan yang dihantar melalui fail teks ialah:
'Hello,
Rangkaian anda telah ditembusi
Kami telah menyulitkan fail anda dan mencuri sejumlah besar data sensitif, termasuk:Kontrak dan data NDA
Dokumen kewangan, senarai gaji, penyata bank
Data pekerja, dokumen peribadi, SSN, DL, CC
Data pelanggan, kontrak, perjanjian pembelian, dsb.
Bukti kelayakan kepada peranti tempatan dan jauh
Dan banyak lagi…
Penyulitan ialah proses boleh balik, data anda boleh dipulihkan dengan mudah dengan bantuan kami
Kami menawarkan anda untuk membeli perisian penyahsulitan khas, pembayaran termasuk penyahsulit, kunci untuknya dan pemadaman data yang dicuri
Jika anda memahami semua keseriusan sutation ini dan bersedia untuk bekerjasama dengan kami, ikuti langkah seterusnya:
1) Muat turun Pelayar TOR dari hxxps://torproject.org
2) Pasang dan lancarkan Pelayar TOR
3) Lawati laman web kami: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Pada halaman web kami, anda akan dapat membeli penyahsulit, berbual dengan sokongan kami dan menyahsulit beberapa fail secara percuma
Jika anda tidak akan menghubungi kami dalam masa 72 jam, kami akan mula menerbitkan data yang dicuri dalam blog kami bahagian demi bahagian, tapak DDoS syarikat anda dan menghubungi pekerja syarikat anda
Kami telah menganalisis dokumentasi kewangan syarikat anda supaya kami akan menawarkan harga yang sesuai
Untuk mengelakkan kehilangan data dan kenaikan kos tambahan:
1) Jangan ubah suai kandungan fail yang disulitkan
2) Jangan beritahu pihak berkuasa tempatan tentang kejadian ini sebelum tamat perjanjian kami
3) Jangan mengupah syarikat pemulihan untuk berunding dengan kami
Kami menjamin bahawa dialog kami akan kekal peribadi dan pihak ketiga tidak akan tahu tentang perjanjian kamiDALERT SEMULA PENGENALAN UNIK MULA'
