Новое вымогательское ПО RedAlert атакует серверы WIndows и Linux VMware ESXi

Специалисты из MalwareHunterTeam обнаружили новую вымогательскую кампанию, направленную на корпоративные сети, передает Securitylab. Операторы вымогательского ПО шифруют серверы VMware ESXi на Windows и Linux. Специалисты назвали вредонос Red Alert, основываясь на строке, найденной в записке с требованием выкупа. Операция носит название “N13V” – так ее называют сами вымогатели.

RedAlert был создан для атак на серверы VMware ESXi. У вредоноса есть особенность - он позволяет взаимодействовать с командной строкой, благодаря чему хакеры могут отключать все работающие виртуальные машины перед шифрованием файлов. Полный список команд приведен ниже:

-w Run command for stop all running VM`s

-p Path to encrypt (by default encrypt only files in directory, not include subdirectories)

-f File for encrypt

-r Recursive. used only with -p ( search and encryption will include subdirectories )

-t Check encryption time(only encryption, without key-gen, memory allocates ...)

-n Search without file encryption.(show ffiles and folders with some info)

-x Asymmetric cryptography performance tests. DEBUG TESTS

-h Show this message

При запуске вредоноса с параметром “-w” шифратор завершает работу всех виртуальных машин VMware ESXi с помощью следующей команды:

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

При шифровании файлов RedAlert использует алгоритм шифрования NTRUEncrypt . Интересной особенностью вредоноса является функция, вызываемая параметром ‘'-x' в командной строке. Эта функция выполняет тестирование производительности асимметричной криптографии, используя разные наборы параметров NTRUEncrypt.

При шифровании вредонос выбирает только логи, файлы подкачки, виртуальные диски и память:

• .log
• .vmdk
• .vmem
• .vswp
• .vmsn

К зашифрованным файлам добавляется расширение .crypt658. Кроме этого, RedAlert создает в каждой папке записку с именем HOW_TO_RESTORE, которая содержит описание украденных данных и ссылку на уникальный TOR-сайт для оплаты выкупа.

N13V принимает к оплате только криптовалюту Monero , которая обычно не продается на криптобиржах США, поскольку является монетой конфиденциальности.