据BleepingComputer消息,一种名为RedAlert的新型勒索软件攻击企业网络,Windows和LinuxVMWareESXi系统被感染。MalwareHunterTeam今天发现了新的勒索软件,并在推特上发布了该团伙数据泄露站点的各种图片。根据勒索信中使用的字符串,该勒索软件被称为“RedAlert”。但从获得的信息来看,勒索者在内部将其称为“N13V”,如下所示。RedAlert/N13V勒索软件命令行选项来源:BleepingComputerLinux加密器是为VMwareESXi服务器创建的,其命令行选项允许勒索者在加密文件之前关闭任何正在运行的虚拟机。命令行选项的完整列表如下:-w运行命令以停止所有正在运行的VM`s-p加密路径(默认只加密目录中的文件,不包括子目录)-f加密文件-r递归。仅与-p一起使用(搜索和加密将包括子目录)-t检查加密时间(仅加密,没有密钥生成,内存分配...)-n没有文件加密的搜索。(显示带有一些信息的文件和文件夹)-x非对称加密性能测试。调试测试-h显示此消息当使用“-w”参数运行勒索软件时,LinuxEncryptor将使用以下esxcli命令关闭所有正在运行的VMwareESXi虚拟机:esxcli--formatter=csv--format-param=fields=="WorldID,DisplayName"vm进程列表|尾-n+2|awk-F$','{system("esxclivmprocesskill--type=force--world-id="$1)}'在加密文件时,勒索软件使用NTRUEncrypt公钥加密算法,支持各种"参数集”,提供不同级别的安全性。RedAlert/N13V的一个有趣特性是“-x”命令行选项,它使用这些不同的NTRUEncrypt参数集执行“非对称加密性能测试”。但是,尚不清楚是否有办法在加密时强制使用特定的参数集,和/或勒索软件是否会选择更有效的参数集。已知使用此加密算法的唯一其他勒索软件操作是FiveHands。NTRUEncrypt加密速度测试来源:BleepingComputer在加密文件时,勒索软件只针对与VMwareESXi虚拟机相关的文件,包括日志文件、交换文件、虚拟磁盘和内存文件,如下所列。.log.vmdk.vmem.vswp.vmsn在BleepingComputer分析的样本中,勒索软件对这些文件类型进行加密,并将.crypt658扩展名附加到加密文件的文件名中。使用RedAlert在Linux中加密文件来源:BleepingComputer在每个文件夹中,勒索软件还将创建一个名为HOW_TO_RESTORE的自定义赎金记录,其中包含对被盗数据的描述以及专门为受害者支付的TOR赎金。RedAlert/N13VRansomNote来源:BleepingComputerTor支付站点与其他勒索软件操作站点类似,它也会显示勒索要求并提供与攻击者协商的方式。但RedAlert/N13V只接受门罗币支付,这在美国加密货币交易所并不常见,因为它是一种隐私币。RedAlert/N13VTor谈判网站来源:BleepingComputer虽然只发现了一个Linux加密器,但支付网站有隐藏的元素,表明Windows加密器也存在。请提高警惕!与几乎所有针对企业的新勒索软件操作一样,RedAlert进行双重勒索攻击,窃取数据,然后部署勒索软件来加密设备。这种策略提供了两种勒索方法,使威胁行为者不仅可以向解密者索取赎金,还可以防止被盗数据泄露。当受害者不支付赎金时,RedAlert团伙会将窃取的数据发布在他们的数据泄露网站上,任何人都可以在该网站上下载。RedAlert/N13V数据泄露站点来源:BleepingComputer目前,RedAlert数据泄露站点仅包含来自一个组织的数据,这表明勒索活动可能是最近发生的。虽然新的N13V/RedAlert勒索软件操作尚未发现广泛的勒索软件活动,但由于其高级功能和对Linux和Windows的即时支持,它绝对值得关注。
