根據BleepingComputer消息，一種名為RedAlert的新勒索軟件對企業網絡進行攻擊，目前已經有Windows和Linux VMWare ESXi系統中招。MalwareHunterTeam 在今天發現了這款新的勒索軟件，并在推特上發布了關于該團伙數據泄露站點的各種圖片。

根據勒索信中使用的字符串，勒索軟件被稱為“RedAlert”。但從已獲得的消息，勒索者在內部將其稱為“N13V”，如下所示。

RedAlert / N13V 勒索軟件命令行選項

來源：BleepingComputer

Linux 加密器是針對 VMware ESXi 服務器而創建的，其命令行選項允許勒索者在加密文件之前關閉任何正在運行的虛擬機。

命令行選項的完整列表如下所示：

-w      Run command for stop all running VM`s
-p      Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f      File for encrypt
-r      Recursive. used only with -p ( search and encryption will include subdirectories )
-t      Check encryption time(only encryption, without key-gen, memory allocates ...)
-n      Search without file encryption.(show ffiles and folders with some info)
-x      Asymmetric cryptography performance tests. DEBUG TESTS
-h      Show this message

當使用 ' -w' 參數運行勒索軟件時，Linux 加密器將使用以下 esxcli 命令關閉所有正在運行的 VMware ESXi 虛擬機：

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

在加密文件時，該勒索軟件利用NTRUEncrypt公鑰加密算法，該算法支持各種 "參數集"，提供不同的安全級別。

RedAlert/N13V 的一個有趣特性是“-x”命令行選項，它使用這些不同的 NTRUEncrypt 參數集執行“非對稱加密性能測試”。然而目前還不清楚是否有辦法在加密時強制使用特定的參數集，以及/或者贖金軟件是否會選擇一個更有效的參數集。目前已知唯一使用此加密算法的其他勒索軟件操作是FiveHands。

NTRUEncrypt 加密速度測試

來源：BleepingComputer

加密文件時，勒索軟件只會針對與 VMware ESXi 虛擬機關聯的文件，包括日志文件、交換文件、虛擬磁盤和內存文件，如下所列。

.log
.vmdk
.vmem
.vswp
.vmsn

在 BleepingComputer 分析的樣本中，勒索軟件會對這些文件類型進行加密，并將.crypt658擴展名附加到加密文件的文件名中。

使用 RedAlert 在 Linux 中加密文件

來源：BleepingComputer

在每個文件夾中，該勒索軟件還將創建一個名為HOW_TO_RESTORE的自定義勒索說明，其中包含對被盜數據的描述和專門針對受害者的TOR贖金支付網站的鏈接。

RedAlert /N13V 贖金票據

來源：BleepingComputer

Tor 支付站點與其他勒索軟件操作站點類似，它同樣是顯示贖金需求并提供與攻擊者協商的方式。但是RedAlert/N13V 只接受門羅幣加密貨幣進行支付，因為它是一種隱私幣，所以在美國加密貨幣交易所并不常見。

RedAlert / N13V Tor 協商網站

來源：BleepingComputer

雖然只找到了一個 Linux 加密器，但支付網站有隱藏的元素表明也存在有 Windows 解密器。

請警惕！

與幾乎所有新的針對企業的勒索軟件操作一樣，RedAlert 進行雙重勒索攻擊，即數據被盜，然后部署勒索軟件來加密設備。

這種策略提供了兩種勒索方法，使威脅者不僅可以要求解密器贖金，還可以要求贖金以保證被盜數據不被泄露。

當受害者不支付贖金要求時，RedAlert 團伙會在他們的數據泄露網站上發布被盜數據，任何人都可以下載。

RedAlert / N13V 數據泄露站點

來源：BleepingComputer

目前，RedAlert 數據泄露站點僅包含一個組織的數據，表明勒索行為很可能是最近才發生的。

雖然新的 N13V/RedAlert 勒索軟件操作沒有出現大范圍的勒索活動，但由于其先進的功能和對 Linux 和 Windows 的即時支持，我們是肯定需要密切關注它。