RedAlert (N13V) Ransomware

RedAlert (N13V) Ransomware เป็นมัลแวร์หลายแพลตฟอร์มที่กำหนดเป้าหมายข้อมูลของเหยื่อ มัลแวร์เวอร์ชัน Windows ถูกติดตามเป็น RedALert ในขณะที่ N13V ได้รับการออกแบบมาโดยเฉพาะเพื่อให้ทำงานบนเซิร์ฟเวอร์ Linux VMware ESXi เช่นเดียวกับการโจมตีของแรนซัมแวร์ส่วนใหญ่ ภัยคุกคามจะล็อคข้อมูลที่พบในระบบที่ถูกละเมิดโดยใช้อัลกอริธึมการเข้ารหัสที่ถอดรหัสไม่ได้ ไฟล์ที่ประมวลผลแต่ละไฟล์จะมีนามสกุลใหม่ ซึ่งประกอบด้วย '.crypt' ตามด้วยหมายเลขที่ต่อท้ายชื่อเดิม เมื่อประเภทไฟล์เป้าหมายทั้งหมดได้รับการเข้ารหัสแล้ว RedAlert (N13V) Ransomware จะสร้างไฟล์ข้อความใหม่บนอุปกรณ์ที่ติดไวรัส

ชื่อ 'HOW_TO_RESTORE.txt' จุดประสงค์ของไฟล์คือส่งบันทึกเรียกค่าไถ่พร้อมคำแนะนำจากผู้โจมตี ข้อความของ RedAlert (N13V) Ransomware ระบุอย่างชัดเจนว่าผู้ให้บริการส่วนใหญ่มุ่งเป้าไปที่องค์กร นอกจากนี้ยังเผยให้เห็นว่าผู้โจมตีกำลังใช้แผนการกรรโชกสองครั้ง เห็นได้ชัดว่า นอกจากการล็อกไฟล์ของเหยื่อแล้ว ผู้คุกคามยังเก็บรวบรวมข้อมูลที่เป็นความลับต่างๆ เช่น สัญญา เอกสารทางการเงิน ใบแจ้งยอดธนาคาร ข้อมูลพนักงาน และข้อมูลลูกค้า เป็นต้น ข้อมูลที่เก็บรวบรวมทั้งหมดจะถูกขโมยไปยังเซิร์ฟเวอร์ระยะไกล โดยที่แฮกเกอร์ขู่ว่าจะปล่อย ต่อสาธารณะหากพวกเขาไม่ได้รับการติดต่อจากเหยื่อภายใน 72 ชั่วโมง

ภัยคุกคามนี้ชักนำให้เหยื่อเข้าสู่เว็บไซต์เฉพาะของแฮ็กเกอร์ที่โฮสต์บนเครือข่ายทอร์ ไซต์ควรจะอนุญาตให้ผู้ที่ตกเป็นเหยื่อส่งไฟล์ที่เข้ารหัสสองสามไฟล์เพื่อปลดล็อคฟรี จ่ายค่าไถ่ที่เรียกร้อง และรับเครื่องมือถอดรหัสเฉพาะทาง แน่นอนว่าการสื่อสารกับอาชญากรไซเบอร์นั้นมีความเสี่ยงโดยเนื้อแท้และอาจทำให้เหยื่อได้รับความเป็นส่วนตัวหรือปัญหาด้านความปลอดภัยเพิ่มเติม

ชุดคำสั่งทั้งหมดที่ส่งผ่านไฟล์ข้อความคือ:

'สวัสดี,
เครือข่ายของคุณถูกบุกรุก
เราได้เข้ารหัสไฟล์ของคุณและขโมยข้อมูลสำคัญจำนวนมาก ซึ่งรวมถึง:

สัญญาและข้อมูลของ NDA

เอกสารทางการเงิน เงินเดือน ใบแจ้งยอดธนาคาร

ข้อมูลพนักงาน เอกสารส่วนตัว SSN, DL, CC

ข้อมูลลูกค้า สัญญา ข้อตกลงการซื้อ ฯลฯ

ข้อมูลรับรองสำหรับอุปกรณ์ในพื้นที่และระยะไกล
และอื่น ๆ…
การเข้ารหัสเป็นกระบวนการที่ย้อนกลับได้ ข้อมูลของคุณสามารถกู้คืนได้อย่างง่ายดายด้วยความช่วยเหลือของเรา
เราเสนอให้คุณซื้อซอฟต์แวร์ถอดรหัสพิเศษ การชำระเงินรวมถึงตัวถอดรหัส คีย์สำหรับมัน และการลบข้อมูลที่ถูกขโมย
หากคุณเข้าใจถึงความจริงจังทั้งหมดของ suutation นี้และพร้อมที่จะร่วมมือกับเรา ให้ทำตามขั้นตอนต่อไป:
1) ดาวน์โหลด TOR Browser จาก hxxps://torproject.org
2) ติดตั้งและเปิดใช้ TOR Browser
3) เยี่ยมชมหน้าเว็บของเรา: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
บนหน้าเว็บของเรา คุณจะสามารถซื้อตัวถอดรหัสลับ แชทกับฝ่ายสนับสนุนของเรา และถอดรหัสไฟล์บางไฟล์ได้ฟรี
หากคุณไม่ติดต่อเราภายใน 72 ชั่วโมง เราจะเริ่มเผยแพร่ข้อมูลที่ถูกขโมยในบล็อกของเราทีละส่วน ไซต์ DDoS ของบริษัทของคุณและโทรหาพนักงานของบริษัทคุณ
เราได้วิเคราะห์เอกสารทางการเงินของบริษัทของคุณแล้ว ดังนั้นเราจะเสนอราคาที่เหมาะสมให้คุณ
เพื่อหลีกเลี่ยงการสูญเสียข้อมูลและการเพิ่มขึ้นของค่าใช้จ่ายเพิ่มเติม:
1) อย่าแก้ไขเนื้อหาของไฟล์ที่เข้ารหัส
2) อย่าแจ้งเจ้าหน้าที่ท้องถิ่นเกี่ยวกับเหตุการณ์นี้ก่อนสิ้นสุดข้อตกลงของเรา
3) อย่าจ้างบริษัทกู้คืนมาเจรจากับเรา
เรารับประกันว่าการสนทนาของเราจะยังคงเป็นส่วนตัวและบุคคลที่สามจะไม่มีวันรู้เกี่ยวกับข้อตกลงของเรา

REDALERT ตัวระบุที่ไม่ซ้ำเริ่มต้น'