RedAlert (N13V) Ransomware

Descrição do RedAlert (N13V) Ransomware

O RedAlert (N13V) Ransomware é um malware de multiplataforma que tem como alvo os dados de suas vítimas. A versão do malware para Windows é rastreada como RedALert, enquanto o N13V foi projetado especificamente para ser ativo em servidores Linux VMware ESXi. Como a maioria dos ataques de ransomware, a ameaça bloqueia os dados encontrados nos sistemas violados usando um algoritmo criptográfico indecifrável. Cada arquivo processado terá uma nova extensão, consistindo em '.crypt' seguido por um certo número anexado ao seu nome original. Quando todos os tipos de arquivos direcionados forem criptografados, o RedAlert (N13V) Ransomware criará um novo arquivo de texto no dispositivo infectado.

Chamado 'HOW_TO_RESTORE.txt', o objetivo do arquivo é entregar uma nota de resgate com instruções dos invasores. A mensagem do RedAlert (N13V) Ransomware indica claramente que seus operadores estão visando principalmente entidades corporativas. Também revela que os invasores estão executando um esquema de extorsão dupla. Aparentemente, além de bloquear os arquivos da vítima, os agentes de ameaças também coletam vários dados confidenciais, como contratos, documentos financeiros, extratos bancários, dados de funcionários e clientes etc. Todas as informações coletadas são exfiltradas para um servidor remoto, com os hackers ameaçando liberar ao público se não forem contatados pelas vítimas dentro de 72 horas.

A ameaça direciona as vítimas a visitar o site dedicado do hacker hospedado na rede Tor. O site supostamente permitirá que as vítimas enviem alguns arquivos criptografados para serem desbloqueados gratuitamente, paguem o resgate exigido e recebam uma ferramenta de descriptografia especializada. Obviamente, a comunicação com cibercriminosos é inerentemente arriscada e pode expor a vítima a problemas adicionais de privacidade ou segurança.

Todo o conjunto de instruções entregues através do arquivo de texto é:

'Olá,
Sua rede foi penteada
Criptografamos seus arquivos e roubamos uma grande quantidade de dados confidenciais, incluindo:

Contratos e dados de NDA

Documentos financeiros, folhas de pagamento, extratos bancários

Dados de funcionários, documentos pessoais, SSN, DL, CC

Dados de clientes, contratos, acordos de compra, etc.

Credenciais para dispositivos locais e remotos
E mais…
A criptografia é um processo reversível, seus dados podem ser facilmente recuperados com nossa ajuda
Oferecemos-lhe a compra de software de desencriptação especial, o pagamento inclui desencriptador, chave para ele e eliminação de dados roubados
Se você entende toda a seriedade desta sutação e está disposto a cooperar conosco, siga os próximos passos:
1) Baixe o navegador TOR em hxxps://torproject.org
2) Instale e inicie o navegador TOR
3) Visite nossa página: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Em nossa página você poderá comprar o decodificador, conversar com nosso suporte e descriptografar alguns arquivos gratuitamente
Se você não entrar em contato conosco em 72h começaremos a publicar os dados roubados em nosso blog parte por parte, site DDoS de sua empresa e ligar para funcionários de sua empresa
Analisamos a documentação financeira da sua empresa para lhe oferecer o preço adequado
Para evitar perda de dados e aumento dos custos adicionais:
1) Não modifique o conteúdo dos arquivos criptografados
2) Não informe as autoridades locais sobre este incidente antes do final do nosso acordo
3) Não contrate empresas de recuperação para negociar conosco
Garantimos que nosso diálogo permanecerá privado e terceiros nunca saberão sobre nosso acordo

INÍCIO DO IDENTIFICADOR ÚNICO REDALERT'