RedAlert (N13V) Ransomware

RedAlert (N13V) Ransomware Paglalarawan

Ang RedAlert (N13V) Ransomware ay isang multi-platform na malware na nagta-target sa data ng mga biktima nito. Ang bersyon ng Windows ng malware ay sinusubaybayan bilang RedALert habang ang N13V ay partikular na idinisenyo upang maging aktibo sa mga server ng Linux VMware ESXi. Tulad ng karamihan sa mga pag-atake ng ransomware, inila-lock ng banta ang data na natagpuan sa mga nalabag na system sa pamamagitan ng paggamit ng hindi nababasag na cryptographic algorithm. Ang bawat naprosesong file ay magkakaroon ng bagong extension, na binubuo ng '.crypt' na sinusundan ng isang tiyak na numero na nakadugtong sa orihinal nitong pangalan. Kapag na-encrypt na ang lahat ng naka-target na uri ng file, gagawa ang RedAlert (N13V) Ransomware ng bagong text file sa nahawaang device.

Pinangalanang 'HOW_TO_RESTORE.txt,' ang layunin ng file ay maghatid ng ransom note na may mga tagubilin mula sa mga umaatake. Malinaw na ipinahihiwatig ng mensahe ng RedAlert (N13V) Ransomware na ang mga operator nito ay kadalasang nagta-target sa mga corporate entity. Inihayag din nito na ang mga umaatake ay nagpapatakbo ng double-extortion scheme. Tila, bukod sa pag-lock ng mga file ng biktima, ang mga banta ng aktor ay nangongolekta din ng iba't ibang kumpidensyal na data, tulad ng mga kontrata, mga dokumento sa pananalapi, mga bank statement, data ng empleyado at customer, atbp. ito sa publiko kung hindi sila makontak ng mga biktima sa loob ng 72 oras.

Ang banta ay nagdidirekta sa mga biktima sa pagbisita sa nakalaang website ng hacker na naka-host sa network ng Tor. Pahihintulutan umano ng site ang mga biktima na magpadala ng ilang naka-encrypt na file upang ma-unlock nang libre, magbayad ng hinihinging ransom, at makatanggap ng espesyal na tool sa pag-decryption. Siyempre, ang pakikipag-usap sa mga cybercriminal ay likas na mapanganib at maaaring ilantad ang biktima sa mga karagdagang isyu sa privacy o seguridad.

Ang buong hanay ng mga tagubilin na inihatid sa pamamagitan ng text file ay:

'Kamusta,
Napasok ang iyong network
Na-encrypt namin ang iyong mga file at nagnakaw ng malaking halaga ng sensitibong data, kabilang ang:

Mga kontrata at data ng NDA

Mga dokumento sa pananalapi, mga payroll, mga pahayag sa bangko

Data ng empleyado, mga personal na dokumento, SSN, DL, CC

Data ng customer, mga kontrata, mga kasunduan sa pagbili, atbp.

Mga kredensyal sa mga lokal at malayuang device
At iba pa…
Ang pag-encrypt ay nababaligtad na proseso, ang iyong data ay madaling mabawi sa aming tulong
Nag-aalok kami sa iyo na bumili ng espesyal na software ng decryption, kasama sa pagbabayad ang decryptor, susi para dito at pagbura ng ninakaw na data
Kung naiintindihan mo ang lahat ng kabigatan ng sutation na ito at handa kang makipagtulungan sa amin, sundin ang mga susunod na hakbang:
1) I-download ang TOR Browser mula sa hxxps://torproject.org
2) I-install at ilunsad ang TOR Browser
3) Bisitahin ang aming webpage: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Sa aming webpage makakabili ka ng decryptor, makipag-chat sa aming suporta at mag-decrypt ng ilang file nang libre
Kung hindi ka makikipag-ugnayan sa amin sa loob ng 72h magsisimula kaming mag-publish ng ninakaw na data sa aming blog na bahagi nang bahagi, site ng DDoS ng iyong kumpanya at tumawag sa mga empleyado ng iyong kumpanya
Sinuri namin ang dokumentasyong pinansyal ng iyong kumpanya upang mag-alok kami sa iyo ng naaangkop na presyo
Upang maiwasan ang pagkawala ng data at pagtaas ng mga karagdagang gastos:
1) Huwag baguhin ang mga nilalaman ng mga naka-encrypt na file
2) Huwag ipaalam sa mga lokal na awtoridad ang tungkol sa insidenteng ito bago matapos ang aming deal
3) Huwag kumuha ng mga kumpanya sa pagbawi upang makipag-ayos sa amin
Ginagarantiya namin na ang aming dialogue ay mananatiling pribado at hindi malalaman ng mga third-party ang tungkol sa aming deal

PAGSIMULA NG NATATANGING IDENTIFIER NG REALERT'