根据BleepingComputer消息,一种名为RedAlert的新勒索软件对企业网络进行攻击,目前已经有Windows和Linux VMWare ESXi系统中招。MalwareHunterTeam 在今天发现了这款新的勒索软件,并在推特上发布了关于该团伙数据泄露站点的各种图片。
根据勒索信中使用的字符串,勒索软件被称为“RedAlert”。但从已获得的消息,勒索者在内部将其称为“N13V”,如下所示。
来源:BleepingComputer
Linux 加密器是针对 VMware ESXi 服务器而创建的,其命令行选项允许勒索者在加密文件之前关闭任何正在运行的虚拟机。
命令行选项的完整列表如下所示:
-w Run command for stop all running VM`s
-p Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f File for encrypt
-r Recursive. used only with -p ( search and encryption will include subdirectories )
-t Check encryption time(only encryption, without key-gen, memory allocates ...)
-n Search without file encryption.(show ffiles and folders with some info)
-x Asymmetric cryptography performance tests. DEBUG TESTS
-h Show this message
当使用 ' -w' 参数运行勒索软件时,Linux 加密器将使用以下 esxcli 命令关闭所有正在运行的 VMware ESXi 虚拟机:
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
在加密文件时,该勒索软件利用NTRUEncrypt公钥加密算法,该算法支持各种 "参数集",提供不同的安全级别。
RedAlert/N13V 的一个有趣特性是“-x”命令行选项,它使用这些不同的 NTRUEncrypt 参数集执行“非对称加密性能测试”。然而目前还不清楚是否有办法在加密时强制使用特定的参数集,以及/或者赎金软件是否会选择一个更有效的参数集。目前已知唯一使用此加密算法的其他勒索软件操作是FiveHands。
来源:BleepingComputer
加密文件时,勒索软件只会针对与 VMware ESXi 虚拟机关联的文件,包括日志文件、交换文件、虚拟磁盘和内存文件,如下所列。
.log
.vmdk
.vmem
.vswp
.vmsn
在 BleepingComputer 分析的样本中,勒索软件会对这些文件类型进行加密,并将.crypt658扩展名附加到加密文件的文件名中。
来源:BleepingComputer
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理