RedAlert Ransomware Fidye Yazılımı VMware ESXi Altyapılarını Hedef Alıyor

RedAlert veya N13V adlı yeni bir fidye yazılımı hem Windows hem de Linux VMWare ESXi sunucuları hedef alıyor ve işletim sistemlerini şifreliyor.

Linux şifreleyici, tüm çalışan vm’leri önce kapatıyor sonra şifreliyor. Zararlının konsolunda aşağıdaki gibi bir çok parametre bulunuyor.

-w	 Run command for stop all running VM`s
-p	 Path to encrypt (by default encrypt only files in directory, not include subdirectories)
-f	 File for encrypt
-r	 Recursive. used only with -p ( search and encryption will include subdirectories )
-t	 Check encryption time(only encryption, without key-gen, memory allocates ...)
-n	 Search without file encryption.(show ffiles and folders with some info)
-x	 Asymmetric cryptography performance tests. DEBUG TESTS
-h	 Show this message

Fidye yazılımı, dosyaları şifrelerken farklı güvenlik seviyeleri sunan çeşitli ‘Parametre Kümeleri’ni destekleyen NTRUEncrypt ortak anahtar şifreleme algoritmasını kullanıyor.

Dosyaları şifrelerken, fidye yazılımı aşağıdaki gibi günlük dosyaları, takas dosyaları, sanal diskler ve bellek dosyaları dahil olmak üzere VMware ESXi sanal makineleriyle ilişkili dosyaları hedefliyor.

.log
.vmdk
.vmem
.vswp
.vmsn

Fidye yazılımı bu dosya türlerini şifreler ve şifrelenmiş dosyaların dosya adlarına  .crypt658 uzantısını ekler.

Bununla birlikte, RedAlert/N13V, ödeme için yalnızca Monero kripto para birimini kabul edeyor.

Bir kurban fidye talebini ödemediğinde, RedAlert çetesi çalınan verileri herkesin indirebileceği veri sızıntısı sitesinde yayıyor.

Kaynak: bleepingcomputer.com