Новое Nemty Ransomware может распространяться через скомпрометированные соединения RDP

Ионут Илашку
  • 26 августа 2019 г.
  • 03:29
  • 0

В минувшие выходные был обнаружен новый вымогатель, содержащий ссылки на российского президента и антивирусное программное обеспечение. Исследователи называют это Nemty.

Это первая версия Nemty Ransomware, названная так после расширения, которое она добавляет к файлам после процесса шифрования.

Требование выкупа

Как и любое правильное вредоносное ПО, шифрующее файлы, Nemty удалит теневые копии для обрабатываемых файлов, лишив жертву возможности восстановить версии данных, созданные операционной системой Windows.

В тестах BleepingComputer спрос на выкуп составил 0,09981 BTC, что на данный момент составляет около 1000.

Платежный портал размещен в сети Tor для анонимности, и пользователи должны загрузить свой файл конфигурации.

Смотрите так же

Новые версии Ransomware удвоились в отчете за втор... Нью-Дели. Исследователи обнаружили 16 017 новых модификаций вымогателей во втором квартале (Q2) 2019 года, в том числе принадлежащих восьми новым семе...
Ransomware Стоимость спасения ваших файлов растет,... Средний спрос на выкуп составляет почти 13 000 долл. США по сравнению с 6700 долл. США всего несколько месяцев назад. Средняя потребность в выкупе ха...

Исходя из этого, им предоставляется ссылка на другой веб-сайт с функцией чата и дополнительная информация о требованиях.

Сообщения в коде

Исследователь безопасности Виталий Кремез внимательно посмотрел на вредоносную программу и заметил, что она имеет необычное название для объекта мьютекса. Автор назвал это «ненавистью», как видно на изображении ниже.

Взаимоисключающий (взаимоисключающий) объект — это флаг, который позволяет программам контролировать ресурсы, предоставляя доступ к ним одному потоку выполнения за раз.

Еще одна странная вещь, замеченная Кремезом в коде Немти, — это ссылка на эту фотографию Владимира Путина с надписью: «Я добавил вас в список [оскорблений], но пока только карандашом».

На этом список особенностей не останавливается. Исследователь заметил, что антивирусная индустрия обратила на себя внимание.

Сначала ссылка в коде казалась странной вещью, но второй взгляд на то, как работал Nemty, показал, что он является ключом для декодирования строк base64, а создание URL-адресов — прямое сообщение для антивирусной индустрии.

Смотрите так же

Ransomware Стоимость спасения ваших файлов растет,... Средний спрос на выкуп составляет почти 13 000 долл. США по сравнению с 6700 долл. США всего несколько месяцев назад. Средняя потребность в выкупе ха...
Новые версии Ransomware удвоились в отчете за втор... Нью-Дели. Исследователи обнаружили 16 017 новых модификаций вымогателей во втором квартале (Q2) 2019 года, в том числе принадлежащих восьми новым семе...

Еще одна интересная вещь — это проверка, которую Немти проводит для идентификации компьютеров в России, Белоруссии, Казахстане, Таджикистане и Украине. Однако это не освобождает хосты от процедуры шифрования файлов, сказал Кремез BleepingComputer.

Проверка «isRU» в коде вредоносного ПО просто помечает системы как находящиеся в одной из пяти стран, а затем отправляет злоумышленнику данные, которые включают имя компьютера, имя пользователя, операционную систему и идентификатор компьютера.

Неясно, как Nemty распространяется, но Kremez узнал из надежного источника, что операторы развертывают его через скомпрометированные подключения к удаленному рабочему столу.

По сравнению с фишинговой электронной почтой, которая в настоящее время является распространенным методом распространения, использование RDP-соединения дает злоумышленнику контроль, так как ему больше не нужно ждать, пока жертва получит фишинговую приманку.

Кремез опубликовал свои исследовательские заметки о Nemty, где он включает список папок (все, что нужно для загрузки ОС) и расширения файлов (двоичные файлы, ярлыки и данные журналов), которые вредоносная программа не затрагивает.

Смотрите так же

Новые версии Ransomware удвоились в отчете за втор... Нью-Дели. Исследователи обнаружили 16 017 новых модификаций вымогателей во втором квартале (Q2) 2019 года, в том числе принадлежащих восьми новым семе...
Ransomware Стоимость спасения ваших файлов растет,... Средний спрос на выкуп составляет почти 13 000 долл. США по сравнению с 6700 долл. США всего несколько месяцев назад. Средняя потребность в выкупе ха...