พบ RedAlert Ransomware มุ่งโจมตี Windows และ Linux VMware ESXi servers
11 กรกฎาคม 2565
รายการคำสั่งที่ใช้ต่างๆ ดังนี้
-w เป็นการรันคำสั่งเพื่อหยุดการทำงานทั้งหมดของ VM (virtual machines)
-p Path to encrypt (โดยค่าเริ่มต้นจะทำการ encrypt ไฟล์ทั้งหมดที่เฉพาะอยู่ใน directory จะไม่รวมไฟล์ที่อยู่ใน subdirectories)
-f File for encrypt (ไฟล์สำหรับเข้ารหัส)
-r เป็นการเรียกใช้ซ้ำอีกครั้ง แต่จะใช้กับคำสั่ง -p (Path to encrypt) การค้นหา และ encrypt ที่ใช้งานอยู่ใน subdirectories
-t ตรวจสอบเวลาการเข้ารหัส (สำหรับการเข้ารหัสเท่านั้นโดยไม่มีการใช้ Key)
-n ค้นหาไฟล์ที่ไม่ได้เข้ารหัส (แสดง ffiles และโฟลเดอร์ข้อมูลบางส่วน)
-x ทดสอบประสิทธิภาพในการเข้ารหัส และทดสอบ DEBUG
-h แสดงข้อความ message
ลักษณะการทำงาน
⏱ เมื่อแรนซัมแวร์ทำการรัน command ด้วย ‘-w ‘ การทำงานของ VM (virtual machines) ทั้งหมดจะถูกหยุดการทำงานลง และใช้คำสั่ง ESXCLI ดังต่อไปนี้
esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” vm process list | tail -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’
เมื่อถึงเวลาที่จะทำการเข้ารหัสแรนซัมแวร์จะใช้อัลกอริธึมในการเข้ารหัส NTRUEncrypt ซึ่งเป็นคีย์สาธารณะที่รับรองในการใช้งานในส่วนของ Parameter sets ที่มีความปลอดภัยที่แตกต่างกัน แต่ในการดำเนินการต่างๆ จะมีแค่อัลกอริทึม FiveHands เท่านั้นที่รู้วิธีการเข้ารหัสนี้
ในการชำระเงินให้กับ TOR ก็เหมือนกับการชำระเงินให้กับค่ายอื่นๆในเรื่องของการเจรจาต่อรองเรื่องของค่าไถ่ แต่สำหรับ RedAlert/N13V จะรับชำระเงินเป็นสกุลเงิน cryptocurrency (Monero) เท่านั้น
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา