Le rançongiciel RedAlert (N13V) attaque les systèmes Windows et Linux

ransomware gang

RedAlert (N13V) est le nom d'une nouvelle souche de ransomware qui fait plus que la plupart des variantes de ransomware. RedAlert (N13V) peut chiffrer à la fois les systèmes Windows et les serveurs exécutant Linux VMware ESXi.

Les noms RedAlert et N13V, respectivement, font référence aux versions du ransomware qui chiffrent les systèmes Windows et Linux VMware ESXi.

Le rançongiciel fonctionne comme prévu, cryptant les fichiers et les laissant inaccessibles. Les fichiers cryptés reçoivent une nouvelle extension qui est ajoutée après leur extension d'origine. Un fichier nommé "document.txt" se transformera en "document.txt.crypt[chaîne de chiffres]" lors du cryptage.

La longue note de rançon est déposée dans un fichier texte brut nommé "HOW_TO_RESTORE.txt" et demande un paiement en crypto, menaçant de publier des données exfiltrées si le paiement n'est pas effectué dans les 72 heures. La note complète est la suivante :

Bonjour, -

Votre réseau a été piraté

Nous avons crypté vos fichiers et volé une grande quantité de données sensibles, notamment :

- Contrats et données NDA

- Documents financiers, paies, relevés bancaires

- Données des employés, documents personnels, SSN, DL, CC

- Données clients, contrats, contrats d'achat, etc.

- Identifiants pour les appareils locaux et distants

Et plus...

Le cryptage est un processus réversible, vos données peuvent être facilement récupérées avec notre aide

Nous vous proposons d'acheter un logiciel de décryptage spécial, le paiement comprend un décrypteur, une clé pour celui-ci et l'effacement des données volées

Si vous comprenez tout le sérieux de cette sutation et êtes prêt à coopérer avec nous, suivez les étapes suivantes :

1) Téléchargez le navigateur TOR depuis hxxps://torproject.org

2) Installez et lancez le navigateur TOR

3) Visitez notre page Web : hxxx://gwvueqclwkz3h7u75cks2wmrwymg3qemfyoyqs7vexkx7lhlteagmsyd.onion

Sur notre page Web, vous pourrez acheter un décrypteur, discuter avec notre support et décrypter quelques fichiers gratuitement

Si vous ne nous contactez pas dans les 72h, nous commencerons à publier les données volées sur notre blog partie par partie, le site DDoS de votre entreprise et à appeler les employés de votre entreprise

Nous avons analysé la documentation financière de votre entreprise afin de vous proposer le prix approprié

Pour éviter la perte de données et l'augmentation des surcoûts :

1) Ne modifiez pas le contenu des fichiers cryptés

2) N'informez pas les autorités locales de cet incident avant la fin de notre accord

3) N'engagez pas d'entreprises de récupération pour négocier avec nous

Nous garantissons que notre dialogue restera privé et que les tiers ne seront jamais au courant de notre accord

\%\%\%\%\%\%\%\%\%\%\%\%\%\%\% REDALERT UNIQUE IDENTIFIER START \%\%\%\%\%\%\%\% \%\%\%\%\%\%\%

August 4, 2022