Среда, 20 января, 17:08
дома безопасность Nemty ransomware: «Сбрасывает» антивирус и использует RDP!

Nemty ransomware: «Сбрасывает» антивирус и использует RDP!

Nemty Ransomware: новый вымогателей был выявлен на выходных со ссылками на президента России и антивирусное программное обеспечение программа.

Он был назван Nemty из-за расширения, которое он предоставляет журналам данных после их шифрования.

Nemty

Как и все вредоносные программы При шифровании файлов Nemty удаляет теневые копии для обрабатываемых записей данных, что лишает жертву возможности получать лучшие варианты информации, генерируемой их операционной системой. Windows.

Жертвы увидят предупреждение для выкуп который сообщит, что Хакеры держите ключ расшифровки и должны платить, если они хотят свои файлы.

По его оценкам BleepingComputerПервоначально требуемый выкуп был равен нулю. 09981 BTC, который теперь достиг $ 1.000.

Платежный портал размещен на Tor для анонимности и клиентов необходимо добавить файл конфигурации им. Далее, гиперссылка предоставляется для другого сайта, который имеет функцию чата и дополнительные данные о вызов.

Nemty

Сообщения внутри кода

Исследователь безопасности Виталий Кремез внимательно посмотрел на вредоносное ПО и увидел, что он пришел с необычным обозначением для него объект мьютекса, Создатель называется «шляпа», как показано на следующем рисунке.

Nemty

Уникальный объект (мьютекс) позволяет приложениям конфигурировать компоненты, тем самым предоставляя им доступ по крайней мере к одному потоку выполнения одновременно.

Еще один странный фактор, наблюдаемый в коде Немти, - это гиперссылка на его изображение. Владимир Путинс подписью: «Я добавил вас к записи [оскорбления], но пока только карандашом».

Кроме того, ссылка на антивирус также впечатляет. В начале в коде появился странный фактор, который, на первый взгляд, служит для декодирования строк base64 и создания URL-адресов.

Еще одним фактором, который привлекает внимание, является проверка, которую Nemty выполняет, чтобы создать компьютерные системы в России, Белоруссии, Казахстане, Таджикистане и Украине.

«IsRU» внутри вредоносного кода просто сигнализирует о методах, обнаруженных на одном из 5 международных сайтов, а затем отправляет хакеру идентификатор компьютера, имя пользователя, операционную систему и идентификатор компьютера.

Неясно, как он распространяется на Nemty, однако, по словам источников, хакеры действуют через разорванные подключения к удаленному рабочему столу (RDP).

По сравнению с фишинговая электронная почта, который в настоящее время является распространенным методом распространения, использование соединения RDP дает злоумышленнику немедленный доступ и управление.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

ЖИВЫЕ НОВОСТИ

Lorex запускает звонок с камерой 2K, которая распознает лица

Lorex запускает новое устройство для умных домов - звонок под названием «2K QHD Wired Video Doorbell with Person ...

Осведомленности о безопасности недостаточно для борьбы с угрозами

За последние годы в борьбе с киберугрозами произошли существенные изменения. Человеческий фактор теперь серьезно относится к безопасности. Например,...

MeWe: набрал 2,5 миллиона пользователей за неделю!

Социальная сеть MeWe значительно увеличила количество пользователей после скандала с WhatsApp.

Поддельные приложения для совместной работы «заражают» сотрудников и воруют данные!

С началом пандемии COVID-19 большой процент организаций подвергся атакам вредоносных программ на удаленные устройства, когда сотрудники работают ...

LG рассматривает возможность ухода из сектора смартфонов в 2021 году

Потеряв около 4,5 миллиардов долларов за последние пять лет, компания-производитель смартфонов LG изо всех сил пыталась конкурировать со своими конкурентами. Он...

Стив Джобс: Статуя Трампа в Национальном саду американских героев!

Американское правительство решило установить в Национальном парке памятник в честь соучредителя и бывшего генерального директора Apple Стива Джобса ...

Терминология 1.9: новый эмулятор терминала Linux с большим количеством цветов

Борис Фор анонсировал новую версию Terminology 1.9 эмулятора терминала для операционных систем Linux. Для тех, кто не ...

Netflix имеет более 200 миллионов подписчиков по всему миру.

По прогнозам самой компании, Netflix превысил 200 миллионов подписчиков, заявив, что на данный момент 203,66 миллиона ...

YouTube: блокирует Трампа еще на неделю

Еще как минимум одну неделю бывший президент США Дональд Трамп не сможет публиковать контент на своем канале в ...

Спустя несколько месяцев Джек Ма впервые появился на публике.

Джек Ма только что впервые за несколько месяцев появился на публике. Соучредитель Alibaba (BABA) появился сегодня в ...