Nemty Ransomware: «Сбрасывает» антивирусное программное обеспечение и использует RDP!

Nemty Ransomware: новый вымогателей был выявлен на выходных со ссылками на президента России и антивирусное программное обеспечение программа.

Он был назван Nemty из-за расширения, которое он предоставляет журналам данных после их шифрования.

Как и все вредоносные программы При шифровании файлов Nemty удаляет теневые копии для обрабатываемых записей данных, что лишает жертву возможности получать лучшие варианты информации, генерируемой их операционной системой. Windows.

Жертвы увидят предупреждение для выкуп который сообщит, что Хакеры держите ключ расшифровки и должны платить, если они хотят свои файлы.

По его оценкам BleepingComputerПервоначально требуемый выкуп был равен нулю. 09981 BTC, который теперь достиг $ 1.000.

Платежный портал размещен на Tor для анонимности и клиентов необходимо добавить файл конфигурации им. Далее, гиперссылка предоставляется для другого сайта, который имеет функцию чата и дополнительные данные о вызов.

Сообщения внутри кода

Исследователь безопасности Виталий Кремез внимательно посмотрел на вредоносное ПО и увидел, что он пришел с необычным обозначением для него объект мьютекса, Создатель называется «шляпа», как показано на следующем рисунке.

Уникальный объект (мьютекс) позволяет приложениям конфигурировать компоненты, тем самым предоставляя им доступ по крайней мере к одному потоку выполнения одновременно.

Еще один странный фактор, наблюдаемый в коде Немти, - это гиперссылка на его изображение. Владимир Путинс подписью: «Я добавил вас к записи [оскорбления], но пока только карандашом».

Кроме того, ссылка на антивирус также впечатляет. В начале в коде появился странный фактор, который, на первый взгляд, служит для декодирования строк base64 и создания URL-адресов.

Еще одним фактором, который привлекает внимание, является проверка, которую Nemty выполняет, чтобы создать компьютерные системы в России, Белоруссии, Казахстане, Таджикистане и Украине.

«IsRU» внутри вредоносного кода просто сигнализирует о методах, обнаруженных на одном из международных сайтов 5, а затем отправляет хакеру идентификатор компьютера, имя пользователя, операционную систему и идентификатор компьютера.

Неясно, как он распространяется на Nemty, однако, по словам источников, хакеры действуют через разорванные подключения к удаленному рабочему столу (RDP).

По сравнению с фишинговая электронная почта, который в настоящее время является распространенным методом распространения, использование соединения RDP дает злоумышленнику немедленный доступ и управление.