Среда, 30 сентября, 18:44
дома безопасность Nemty Ransomware: «Сбрасывает» антивирусное программное обеспечение и использует RDP!

Nemty Ransomware: «Сбрасывает» антивирусное программное обеспечение и использует RDP!

Nemty Ransomware: новый вымогателей был выявлен на выходных со ссылками на президента России и антивирусное программное обеспечение программа.

Он был назван Nemty из-за расширения, которое он предоставляет журналам данных после их шифрования.

Nemty

Как и все вредоносные программы При шифровании файлов Nemty удаляет теневые копии для обрабатываемых записей данных, что лишает жертву возможности получать лучшие варианты информации, генерируемой их операционной системой. Windows.

Жертвы увидят предупреждение для выкуп который сообщит, что Хакеры держите ключ расшифровки и должны платить, если они хотят свои файлы.

По его оценкам BleepingComputerПервоначально требуемый выкуп был равен нулю. 09981 BTC, который теперь достиг $ 1.000.

Платежный портал размещен на Tor для анонимности и клиентов необходимо добавить файл конфигурации им. Далее, гиперссылка предоставляется для другого сайта, который имеет функцию чата и дополнительные данные о вызов.

Nemty

Сообщения внутри кода

Исследователь безопасности Виталий Кремез внимательно посмотрел на вредоносное ПО и увидел, что он пришел с необычным обозначением для него объект мьютекса, Создатель называется «шляпа», как показано на следующем рисунке.

Nemty

Уникальный объект (мьютекс) позволяет приложениям конфигурировать компоненты, тем самым предоставляя им доступ по крайней мере к одному потоку выполнения одновременно.

Еще один странный фактор, наблюдаемый в коде Немти, - это гиперссылка на его изображение. Владимир Путинс подписью: «Я добавил вас к записи [оскорбления], но пока только карандашом».

Кроме того, ссылка на антивирус также впечатляет. В начале в коде появился странный фактор, который, на первый взгляд, служит для декодирования строк base64 и создания URL-адресов.

Еще одним фактором, который привлекает внимание, является проверка, которую Nemty выполняет, чтобы создать компьютерные системы в России, Белоруссии, Казахстане, Таджикистане и Украине.

«IsRU» внутри вредоносного кода просто сигнализирует о методах, обнаруженных на одном из международных сайтов 5, а затем отправляет хакеру идентификатор компьютера, имя пользователя, операционную систему и идентификатор компьютера.

Неясно, как он распространяется на Nemty, однако, по словам источников, хакеры действуют через разорванные подключения к удаленному рабочему столу (RDP).

По сравнению с фишинговая электронная почта, который в настоящее время является распространенным методом распространения, использование соединения RDP дает злоумышленнику немедленный доступ и управление.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

ЖИВЫЕ НОВОСТИ

По мере того, как технологии достигают своего EOL, хакеры ждут

Недавняя вспышка кибератак на сайты интернет-торговли с использованием Magento 1 подчеркивает важность наличия стратегии ...

Mac: как экспортировать высококачественные значки из системных настроек

Иногда вам нужен высококачественный значок из системных настроек Mac для проекта, но вы не можете его найти ...

Тест на COVID-19: утверждение в Европе результатов за 15 минут!

Тест на обнаружение вируса Covid-19, который дает результаты через 15 минут, получил зеленый свет на утилизацию в ...

Gmail: как добавить подпись к письмам

Google Gmail поддерживает настраиваемые подписи, которые прикрепляются к каждому отправляемому вами электронному письму. Вы можете добавить свое имя, ...

Шпионская кампания нацелена на индийскую армию!

Следователи обнаружили доказательства продолжающейся шпионской кампании, направленной против вооруженных сил Индии (обороны и вооруженных сил), ...

Baidu: вредоносное всплывающее окно перенаправляет трафик

Вредоносные всплывающие окна перенаправляют трафик веб-сайта технологической компании Baidu на домен злоумышленника. Злой ...

Хакера LinkedIn Никулина приговорили к 7 годам тюрьмы

Во вторник американский судья приговорил Евгения Никулина к семи годам лишения свободы, положив конец международно-правовой драме ...

Inova Health: еще одна жертва взлома Blackbaud

Inova Health Systems разослала своим пациентам письма, чтобы сообщить им о кибератаке, которая возможна ...

Хакеры распространяют вымогатель Exorcist 2.0 через поддельные сайты взлома программного обеспечения

Хакеры, стоящие за вымогателем Exorcist 2.0, используют вредоносную рекламу, направленную на перенаправление ничего не подозревающих жертв на поддельные ...

VMware: приобретает разработчика программного обеспечения SaltStack

С приобретением SaltStack VMware заявила, что расширит свои возможности автоматизации за пределы инфраструктуры, программного обеспечения и ...