根據(jù)BleepingComputer消息，一種名為RedAlert的新勒索軟件對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊，目前已經(jīng)有windows和linux VMWare ESXi系統(tǒng)中招。MalwareHunterTeam 在今天發(fā)現(xiàn)了這款新的勒索軟件，并在推特上發(fā)布了關(guān)于該團(tuán)伙數(shù)據(jù)泄露站點(diǎn)的各種圖片。

根據(jù)勒索信中使用的字符串，勒索軟件被稱為“RedAlert”。但從已獲得的消息，勒索者在內(nèi)部將其稱為“N13V”，如下所示。

RedAlert / N13V 勒索軟件命令行選項(xiàng)
來(lái)源：BleepingComputer

Linux 加密器是針對(duì) VMware ESXi 服務(wù)器而創(chuàng)建的，其命令行選項(xiàng)允許勒索者在加密文件之前關(guān)閉任何正在運(yùn)行的虛擬機(jī)。

命令行選項(xiàng)的完整列表如下所示。

-w Run command for stop all running VM`s

-p Path to encrypt (by default encrypt only files in directory, not include subdirectories)

-f File for encrypt

-r Recursive. used only with -p ( search and encryption will include subdirectories )

-t Check encryption time(only encryption, without key-gen, memory allocates ...)

-n Search without file encryption.(show ffiles and folders with some info)

-x Asymmetric cryptography performance tests. DEBUG TESTS

-h Show this message

當(dāng)使用 ' -w' 參數(shù)運(yùn)行勒索軟件時(shí)，Linux 加密器將使用以下 esxcli 命令關(guān)閉所有正在運(yùn)行的 VMware ESXi 虛擬機(jī)：

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

在加密文件時(shí)，該勒索軟件利用NTRUEncrypt公鑰加密算法，該算法支持各種 "參數(shù)集"，提供不同的安全級(jí)別。

RedAlert/N13V 的一個(gè)有趣特性是“-x”命令行選項(xiàng)，它使用這些不同的 NTRUEncrypt 參數(shù)集執(zhí)行“非對(duì)稱加密性能測(cè)試”。然而目前還不清楚是否有辦法在加密時(shí)強(qiáng)制使用特定的參數(shù)集，以及/或者贖金軟件是否會(huì)選擇一個(gè)更有效的參數(shù)集。目前已知唯一使用此加密算法的其他勒索軟件操作是FiveHands。

NTRUEncrypt 加密速度測(cè)試
來(lái)源：BleepingComputer

加密文件時(shí)，勒索軟件只會(huì)針對(duì)與 VMware ESXi 虛擬機(jī)關(guān)聯(lián)的文件，包括日志文件、交換文件、虛擬磁盤和內(nèi)存文件，如下所列。

.log

.vmdk

.vmem

.vswp

.vmsn

在 BleepingComputer 分析的樣本中，勒索軟件會(huì)對(duì)這些文件類型進(jìn)行加密，并將.crypt658擴(kuò)展名附加到加密文件的文件名中。

使用 RedAlert 在 Linux 中加密文件
來(lái)源：BleepingComputer

在每個(gè)文件夾中，該勒索軟件還將創(chuàng)建一個(gè)名為HOW_TO_RESTORE的自定義勒索說(shuō)明，其中包含對(duì)被盜數(shù)據(jù)的描述和專門針對(duì)受害者的TOR贖金支付網(wǎng)站的鏈接。

RedAlert /N13V 贖金票據(jù)
來(lái)源：BleepingComputer

Tor 支付站點(diǎn)與其他勒索軟件操作站點(diǎn)類似，它同樣是顯示贖金需求并提供與攻擊者協(xié)商的方式。但是RedAlert/N13V 只接受門羅幣加密貨幣進(jìn)行支付，因?yàn)樗且环N隱私幣，所以在美國(guó)加密貨幣交易所并不常見(jiàn)。

RedAlert / N13V Tor 協(xié)商網(wǎng)站
來(lái)源：BleepingComputer

雖然只找到了一個(gè) Linux 加密器，但支付網(wǎng)站有隱藏的元素表明也存在有 Windows 解密器。

請(qǐng)警惕！

與幾乎所有新的針對(duì)企業(yè)的勒索軟件操作一樣，RedAlert 進(jìn)行雙重勒索攻擊，即數(shù)據(jù)被盜，然后部署勒索軟件來(lái)加密設(shè)備。

這種策略提供了兩種勒索方法，使威脅者不僅可以要求解密器贖金，還可以要求贖金以保證被盜數(shù)據(jù)不被泄露。

當(dāng)受害者不支付贖金要求時(shí)，RedAlert 團(tuán)伙會(huì)在他們的數(shù)據(jù)泄露網(wǎng)站上發(fā)布被盜數(shù)據(jù)，任何人都可以下載。

RedAlert / N13V 數(shù)據(jù)泄露站點(diǎn)
來(lái)源：BleepingComputer

目前，RedAlert 數(shù)據(jù)泄露站點(diǎn)僅包含一個(gè)組織的數(shù)據(jù)，表明勒索行為很可能是最近才發(fā)生的。

雖然新的 N13V/RedAlert 勒索軟件操作沒(méi)有出現(xiàn)大范圍的勒索活動(dòng)，但由于其先進(jìn)的功能和對(duì) Linux 和 Windows 的即時(shí)支持，我們是肯定需要密切關(guān)注它。