根據(jù)BleepingComputer消息，一種名為RedAlert的新勒索軟件對企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊，目前已經(jīng)有Windows和Linux VMWare ESXi系統(tǒng)中招。MalwareHunterTeam 在今天發(fā)現(xiàn)了這款新的勒索軟件，并在推特上發(fā)布了關(guān)于該團(tuán)伙數(shù)據(jù)泄露站點(diǎn)的各種圖片。

根據(jù)勒索信中使用的字符串，勒索軟件被稱為“RedAlert”。但從已獲得的消息，勒索者在內(nèi)部將其稱為“N13V”，如下所示。

RedAlert / N13V 勒索軟件命令行選項(xiàng)

來源：BleepingComputer

Linux 加密器是針對 VMware ESXi 服務(wù)器而創(chuàng)建的，其命令行選項(xiàng)允許勒索者在加密文件之前關(guān)閉任何正在運(yùn)行的虛擬機(jī)。

命令行選項(xiàng)的完整列表如下所示：

-w      Run command for stop all running VM`s
-p      Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f      File for encrypt
-r      Recursive. used only with -p ( search and encryption will include subdirectories )
-t      Check encryption time(only encryption, without key-gen, memory allocates ...)
-n      Search without file encryption.(show ffiles and folders with some info)
-x      Asymmetric cryptography performance tests. DEBUG TESTS
-h      Show this message

當(dāng)使用 ' -w' 參數(shù)運(yùn)行勒索軟件時，Linux 加密器將使用以下 esxcli 命令關(guān)閉所有正在運(yùn)行的 VMware ESXi 虛擬機(jī)：

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

在加密文件時，該勒索軟件利用NTRUEncrypt公鑰加密算法，該算法支持各種 "參數(shù)集"，提供不同的安全級別。

RedAlert/N13V 的一個有趣特性是“-x”命令行選項(xiàng)，它使用這些不同的 NTRUEncrypt 參數(shù)集執(zhí)行“非對稱加密性能測試”。然而目前還不清楚是否有辦法在加密時強(qiáng)制使用特定的參數(shù)集，以及/或者贖金軟件是否會選擇一個更有效的參數(shù)集。目前已知唯一使用此加密算法的其他勒索軟件操作是FiveHands。

NTRUEncrypt 加密速度測試

來源：BleepingComputer

加密文件時，勒索軟件只會針對與 VMware ESXi 虛擬機(jī)關(guān)聯(lián)的文件，包括日志文件、交換文件、虛擬磁盤和內(nèi)存文件，如下所列。

.log
.vmdk
.vmem
.vswp
.vmsn

在 BleepingComputer 分析的樣本中，勒索軟件會對這些文件類型進(jìn)行加密，并將.crypt658擴(kuò)展名附加到加密文件的文件名中。

使用 RedAlert 在 Linux 中加密文件

來源：BleepingComputer

在每個文件夾中，該勒索軟件還將創(chuàng)建一個名為HOW_TO_RESTORE的自定義勒索說明，其中包含對被盜數(shù)據(jù)的描述和專門針對受害者的TOR贖金支付網(wǎng)站的鏈接。

RedAlert /N13V 贖金票據(jù)

來源：BleepingComputer

Tor 支付站點(diǎn)與其他勒索軟件操作站點(diǎn)類似，它同樣是顯示贖金需求并提供與攻擊者協(xié)商的方式。但是RedAlert/N13V 只接受門羅幣加密貨幣進(jìn)行支付，因?yàn)樗且环N隱私幣，所以在美國加密貨幣交易所并不常見。

RedAlert / N13V Tor 協(xié)商網(wǎng)站

來源：BleepingComputer

雖然只找到了一個 Linux 加密器，但支付網(wǎng)站有隱藏的元素表明也存在有 Windows 解密器。

請警惕！

與幾乎所有新的針對企業(yè)的勒索軟件操作一樣，RedAlert 進(jìn)行雙重勒索攻擊，即數(shù)據(jù)被盜，然后部署勒索軟件來加密設(shè)備。

這種策略提供了兩種勒索方法，使威脅者不僅可以要求解密器贖金，還可以要求贖金以保證被盜數(shù)據(jù)不被泄露。

當(dāng)受害者不支付贖金要求時，RedAlert 團(tuán)伙會在他們的數(shù)據(jù)泄露網(wǎng)站上發(fā)布被盜數(shù)據(jù)，任何人都可以下載。

RedAlert / N13V 數(shù)據(jù)泄露站點(diǎn)

來源：BleepingComputer

目前，RedAlert 數(shù)據(jù)泄露站點(diǎn)僅包含一個組織的數(shù)據(jù)，表明勒索行為很可能是最近才發(fā)生的。

雖然新的 N13V/RedAlert 勒索軟件操作沒有出現(xiàn)大范圍的勒索活動，但由于其先進(jìn)的功能和對 Linux 和 Windows 的即時支持，我們是肯定需要密切關(guān)注它。