RedAlert (N13V) Ransomware
RedAlert (N13V) Ransomware là một phần mềm độc hại đa nền tảng nhằm vào dữ liệu của nạn nhân. Phiên bản Windows của phần mềm độc hại được theo dõi là RedALert trong khi N13V được thiết kế đặc biệt để hoạt động trên các máy chủ Linux VMware ESXi. Giống như hầu hết các cuộc tấn công ransomware, mối đe dọa khóa dữ liệu được tìm thấy trên các hệ thống bị xâm phạm bằng cách sử dụng một thuật toán mật mã không thể theo dõi. Mỗi tệp được xử lý sẽ có một phần mở rộng mới, bao gồm '.crypt' theo sau là một số nhất định được thêm vào tên ban đầu của nó. Khi tất cả các loại tệp được nhắm mục tiêu đã được mã hóa, phần mềm Ransomware RedAlert (N13V) sẽ tạo một tệp văn bản mới trên thiết bị bị nhiễm.
Được đặt tên là 'HOW_TO_RESTORE.txt,' mục đích của tệp là gửi thông báo đòi tiền chuộc với hướng dẫn từ những kẻ tấn công. Thông điệp của RedAlert (N13V) Ransomware chỉ ra rõ ràng rằng các nhà điều hành của nó chủ yếu nhắm mục tiêu vào các thực thể công ty. Nó cũng tiết lộ rằng những kẻ tấn công đang thực hiện một kế hoạch tống tiền kép. Rõ ràng, bên cạnh việc khóa các tệp của nạn nhân, những kẻ đe dọa còn thu thập nhiều dữ liệu bí mật khác nhau, chẳng hạn như hợp đồng, tài liệu tài chính, bảng sao kê ngân hàng, dữ liệu nhân viên và khách hàng, v.v. nó cho công chúng nếu nạn nhân không liên lạc được với họ trong vòng 72 giờ.
Mối đe dọa hướng nạn nhân truy cập vào trang web chuyên dụng của tin tặc được lưu trữ trên mạng Tor. Trang web được cho là sẽ cho phép nạn nhân gửi một vài tệp đã mã hóa để được mở khóa miễn phí, trả tiền chuộc theo yêu cầu và nhận một công cụ giải mã chuyên dụng. Tất nhiên, giao tiếp với tội phạm mạng vốn có rủi ro và có thể khiến nạn nhân gặp phải các vấn đề về quyền riêng tư hoặc bảo mật bổ sung.
Toàn bộ tập hợp các hướng dẫn được cung cấp qua tệp văn bản là:
'Xin chào,
Mạng của bạn đã bị dồn nén
Chúng tôi đã mã hóa các tệp của bạn và lấy cắp một lượng lớn dữ liệu nhạy cảm, bao gồm:Hợp đồng NDA và dữ liệu
Tài liệu tài chính, bảng lương, sao kê ngân hàng
Dữ liệu nhân viên, tài liệu cá nhân, SSN, DL, CC
Dữ liệu khách hàng, hợp đồng, thỏa thuận mua hàng, v.v.
Thông tin xác thực cho các thiết bị cục bộ và từ xa
Và nhiều hơn nữa…
Mã hóa là quá trình có thể đảo ngược, dữ liệu của bạn có thể được khôi phục dễ dàng với sự trợ giúp của chúng tôi
Chúng tôi cung cấp cho bạn mua phần mềm giải mã đặc biệt, thanh toán bao gồm bộ giải mã, khóa cho nó và xóa dữ liệu bị đánh cắp
Nếu bạn hiểu hết mức độ nghiêm trọng của lời kinh này và sẵn sàng hợp tác với chúng tôi, hãy làm theo các bước tiếp theo:
1) Tải xuống TOR Browser từ hxxps: //torproject.org
2) Cài đặt và khởi chạy Trình duyệt TOR
3) Truy cập trang web của chúng tôi: hxxx: //gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion
Trên trang web của chúng tôi, bạn sẽ có thể mua trình giải mã, trò chuyện với bộ phận hỗ trợ của chúng tôi và giải mã một số tệp miễn phí
Nếu bạn không liên hệ với chúng tôi trong 72 giờ, chúng tôi sẽ bắt đầu xuất bản từng phần dữ liệu bị đánh cắp trong blog của chúng tôi, trang DDoS của công ty bạn và gọi cho nhân viên của công ty bạn
Chúng tôi đã phân tích tài liệu tài chính của công ty bạn nên chúng tôi sẽ đưa ra mức giá phù hợp cho bạn
Để tránh mất dữ liệu và tăng chi phí bổ sung:
1) Không sửa đổi nội dung của các tệp được mã hóa
2) Không thông báo cho chính quyền địa phương về sự cố này trước khi kết thúc giao dịch của chúng tôi
3) Không thuê các công ty phục hồi để thương lượng với chúng tôi
Chúng tôi đảm bảo rằng cuộc đối thoại của chúng tôi sẽ vẫn riêng tư và các bên thứ ba sẽ không bao giờ biết về giao dịch của chúng tôiREDALERT BỘ NHẬN DIỆN DUY NHẤT BẮT ĐẦU '
