新勒索软件RedAlert来袭！已有Windows、Linux等服务器中招

根据BleepingComputer消息
，新勒t袭一种名为RedAlert的索软新勒索软件对企业网络进行攻击，目前已经有Windows和Linux VMWare ESXi系统中招 。等服MalwareHunterTeam 在今天发现了这款新的中招勒索软件，并在推特上发布了关于该团伙数据泄露站点的新勒t袭各种图片。

根据勒索信中使用的索软字符串，勒索软件被称为“RedAlert”。等服但从已获得的中招消息，勒索者在内部将其称为“N13V”，新勒t袭如下所示。索软

RedAlert / N13V 勒索软件命令行选项

来源 ：BleepingComputer

Linux 加密器是等服针对 VMware ESXi 服务器而创建的源码下载 ，其命令行选项允许勒索者在加密文件之前关闭任何正在运行的中招虚拟机。

命令行选项的新勒t袭完整列表如下所示 ：

复制-w Run command for stop all running VM`s-p Path to encrypt (by default encrypt only files in directory, not include subdirectories)-f File for encrypt-r Recursive. used only with -p ( search and encryption will include subdirectories )-t Check encryption time(only encryption, without key-gen, memory allocates ...)-n Search without file encryption.(show ffiles and folders with some info)-x Asymmetric cryptography performance tests. DEBUG TESTS-h Show this message1.2.3.4.5.6.7.8.

当使用  -w 参数运行勒索软件时，Linux 加密器将使用以下 esxcli 命令关闭所有正在运行的索软 VMware ESXi 虚拟机 ：

复制esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $, { system("esxcli vm process kill --type=force --world-id=" $1)}1.

在加密文件时 ，该勒索软件利用NTRUEncrypt公钥加密算法，等服该算法支持各种 "参数集"，提供不同的安全级别  。

RedAlert/N13V 的一个有趣特性是“-x”命令行选项，它使用这些不同的 NTRUEncrypt 参数集执行“非对称加密性能测试”。源码库然而目前还不清楚是否有办法在加密时强制使用特定的参数集 ，以及/或者赎金软件是否会选择一个更有效的参数集 。目前已知唯一使用此加密算法的其他勒索软件操作是FiveHands 。

NTRUEncrypt 加密速度测试

来源  ：BleepingComputer

加密文件时，勒索软件只会针对与 VMware ESXi 虚拟机关联的文件 ，包括日志文件 、交换文件、虚拟磁盘和内存文件，如下所列。建站模板

复制.log.vmdk.vmem.vswp.vmsn1.2.3.4.5.

在 BleepingComputer 分析的样本中
，勒索软件会对这些文件类型进行加密 ，并将.crypt658扩展名附加到加密文件的文件名中。

使用 RedAlert 在 Linux 中加密文件

来源：BleepingComputer

在每个文件夹中 ，该勒索软件还将创建一个名为HOW_TO_RESTORE的自定义勒索说明，其中包含对被盗数据的描述和专门针对受害者的TOR赎金支付网站的链接  。

RedAlert /N13V 赎金票据

来源 ：BleepingComputer

Tor 支付站点与其他勒索软件操作站点类似，它同样是显示赎金需求并提供与攻击者协商的方式。模板下载但是RedAlert/N13V 只接受门罗币加密货币进行支付，因为它是一种隐私币，所以在美国加密货币交易所并不常见 。

RedAlert / N13V Tor 协商网站

来源：BleepingComputer

虽然只找到了一个 Linux 加密器，但支付网站有隐藏的元素表明也存在有 Windows 解密器 。

请警惕  ！

与几乎所有新的针对企业的勒索软件操作一样，RedAlert 进行双重勒索攻击，即数据被盗 ，然后部署勒索软件来加密设备。

这种策略提供了两种勒索方法 ，亿华云使威胁者不仅可以要求解密器赎金，还可以要求赎金以保证被盗数据不被泄露 。

当受害者不支付赎金要求时，RedAlert 团伙会在他们的数据泄露网站上发布被盗数据 ，任何人都可以下载
。

RedAlert / N13V 数据泄露站点

来源：BleepingComputer

目前，RedAlert 数据泄露站点仅包含一个组织的数据，表明勒索行为很可能是最近才发生的。

虽然新的 N13V/RedAlert 勒索软件操作没有出现大范围的勒索活动，但由于其先进的云计算功能和对 Linux 和 Windows 的即时支持
，我们是肯定需要密切关注它。