Програма-вимагач RedAlert (N13V).
Програма-вимагач RedAlert (N13V) — це багатоплатформне зловмисне програмне забезпечення, націлене на дані своїх жертв. Версія зловмисного програмного забезпечення для Windows відстежується як RedALert, тоді як N13V спеціально розроблено для роботи на серверах Linux VMware ESXi. Як і більшість атак програм-вимагачів, загроза блокує дані, знайдені у зламаних системах, за допомогою криптографічного алгоритму, який неможливо зламати. Кожен оброблений файл матиме нове розширення, що складається з «.crypt», після якого до оригінального імені додається певний номер. Коли всі цільові типи файлів будуть зашифровані, програма-вимагач RedAlert (N13V) створить новий текстовий файл на зараженому пристрої.
Мета файлу під назвою «HOW_TO_RESTORE.txt» — доставити повідомлення про викуп із інструкціями від зловмисників. Повідомлення RedAlert (N13V) Ransomware чітко вказує на те, що його оператори здебільшого націлені на корпоративні організації. Також виявляється, що зловмисники використовують схему подвійного вимагання. Очевидно, окрім блокування файлів жертви, зловмисники також збирають різні конфіденційні дані, такі як контракти, фінансові документи, банківські виписки, дані про співробітників і клієнтів тощо. Уся зібрана інформація передається на віддалений сервер, а хакери погрожують випустити це для громадськості, якщо жертви не зв’яжуться з ними протягом 72 годин.
Загроза спрямовує жертв на відвідування спеціального веб-сайту хакера, розміщеного в мережі Tor. Імовірно, сайт дозволить жертвам надіслати пару зашифрованих файлів для розблокування безкоштовно, сплатити вимаганий викуп і отримати спеціалізований інструмент для дешифрування. Звичайно, спілкування з кіберзлочинцями за своєю суттю є ризикованим і може наражати жертву на додаткові проблеми з конфіденційністю чи безпекою.
Весь набір інструкцій, що надаються через текстовий файл, такий:
'Привіт,
У вашу мережу проникли
Ми зашифрували ваші файли та викрали велику кількість конфіденційних даних, зокрема:Контракти та дані NDA
Фінансові документи, платіжні відомості, банківські виписки
Дані про співробітника, особисті документи, SSN, DL, CC
Дані клієнтів, контракти, угоди купівлі-продажу тощо.
Облікові дані для локальних і віддалених пристроїв
І більше…
Шифрування є оборотним процесом, ваші дані можна легко відновити з нашою допомогою
Ми пропонуємо вам придбати спеціальне програмне забезпечення для дешифрування, в оплату входить дешифратор, ключ до нього та видалення вкрадених даних
Якщо ви розумієте всю серйозність цієї справи та готові співпрацювати з нами, виконайте наступні кроки:
1) Завантажте браузер TOR з hxxps://torproject.org
2) Встановіть і запустіть TOR Browser
3) Відвідайте нашу веб-сторінку: hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
На нашій веб-сторінці ви зможете придбати дешифратор, поспілкуватися з нашою підтримкою та розшифрувати кілька файлів безкоштовно
Якщо ви не зв'яжетеся з нами протягом 72 годин, ми почнемо публікувати викрадені дані в нашому блозі по частинах, на сайті DDoS вашої компанії та зателефонуємо співробітникам вашої компанії
Ми проаналізували фінансову документацію вашої компанії, тому запропонуємо вам відповідну ціну
Щоб уникнути втрати даних і збільшення додаткових витрат:
1) Не змінюйте вміст зашифрованих файлів
2) Не повідомляйте місцеву владу про цей інцидент до закінчення нашої угоди
3) Не наймайте компанії з відновлення для переговорів з нами
Ми гарантуємо, що наш діалог залишатиметься приватним і треті сторони ніколи не дізнаються про нашу угодуREDALERT УНІКАЛЬНИЙ ІДЕНТИФІКАТОР ПОЧАТОК'
