多許可證折扣報價

更改區域

English 汉语 漢語
威脅數據庫 勒索軟體 Nemesis病毒

Nemesis病毒

勒索軟體GoldSparrow
翻譯為:

威脅評分卡

威胁级别: 80 % (高的)
受感染的计算机: 12
初见: January 10, 2017
最后一次露面: November 6, 2025
受影响的操作系统: Windows

Nemesis勒索軟件是一種加密勒索軟件木馬,它使用一種強大的加密方法來阻止計算機用戶訪問其文件。 Nemesis勒索軟件只是使用@ india.com域中電子郵件地址的無數勒索軟件木馬之一。與其他勒索軟件木馬一樣,Nemesis勒索軟件旨在加密受害者的文件,然後要求支付贖金,以換取恢復受影響文件所必需的解密密鑰。去年發布了Nemesis Ransomware的無數變體。

Nemesis勒索軟件是文件的Nemesis

像Nemesis Ransomware這樣的威脅如此成功地進行攻擊的原因之一,是結合使用AES和RSA加密來使受害者的文件完全不可訪問。即使從受感染的計算機中刪除了Nemesis Ransomware,也會造成損壞,並且受害者的文件將保持加密狀態。受Nemesis Ransomware影響的文件可以輕鬆識別,因為Nemesis Ransomware會將擴展名'.v8dp'添加到文件名的末尾。 Nemesis Ransomware攻擊的受害者被要求支付10比特幣的極高贖金,按當前匯率計超過10,000美元! PC安全分析師強烈建議計算機用戶避免支付此金額。幸運的是,採取適當的措施來防止這些類型的攻擊非常容易,並且它幾乎是免費的,並且僅佔處理其中一種攻擊的成本的一小部分。

Nemesis勒索軟件攻擊和贖金需求

目前還不知道Nemesis Ransomware及其變體的起源。實際上,Nemesis勒索軟件很可能是由這些威脅家族中的其他勒索軟件獨立創建的。對於騙子來說,將代碼從一種威脅轉換為另一種威脅並不少見,這使得許多威脅彼此非常相似。 Nemesis Ransomware將在受害者計算機進入計算機後立即對其進行加密,通常會搜索與某些文件類型匹配的文件,例如音頻,圖像和視頻文件。如果Nemesis Ransomware設法滲透到Web服務器或小型企業的服務器中,則可能造成最大的破壞。許多公司願意支付Nemesis Ransomware要求的高額贖金,特別是如果多台計算機已被感染並且對企業的日常活動產生重大影響。 Nemesis勒索軟件對受害者的文件進行加密後,會發出贖金記錄。以下是Nemesis Ransomware勒索註釋的全文:

'您的所有重要文件都已加密
您的文檔,照片,數據庫和其他重要文件已加密!要解密文件,您需要購買專用軟件-“ Nemesis解密”
要獲取解密器,請通過電子郵件與我聯繫:Nemesis-decryptor@india.com
********************要么******************
在在線服務中給我寫信:https://bitmsg.me
地址:BM-2cVcW2PHuo8HsWtmoY3oFPcU76bqJ *****
您的個人識別ID:id-8932 *****'

每台受感染的計算機將具有不同的ID號,該ID號在感染時即分配給受害者。

處理和預防Nemesis勒索軟件感染

2017年1月8日首次發現了涉及Nemesis Ransomware的首次攻擊。有可能使用垃圾郵件中包含的損壞的電子郵件附件分發了Nemesis Ransomware。因此,預防Nemesis Ransomware攻擊的第一種方法是避免打開未經請求的電子郵件附件並謹慎處理電子郵件。特別需要有一個可靠的反垃圾郵件過濾器。完全最新的可靠安全程序可以阻止Nemesis Ransomware的安裝,並在造成太多損害之前檢測出感染。但是,保護您的數據不受Nemesis Ransomware和類似威脅的最好方法是備份所有文件。使用Nemesis Ransomware加密文件的備份副本後,計算機用戶可以快速從攻擊中恢復,而不必考慮支付贖金。

分析报告

一般信息

Family Name: Trojan.Cridex.A
Signature status: No Signature

Known Samples

MD5: f426f66f0c246a2bcc0a75560ca3627c
SHA1: eca36576863df6797915ba22a506fe57de6c3f0a
SHA256: 9B39050AAE0F45A03FFB5203D6410B4275B03997A0DF8ED875817C9647B3142D
文件大小: 754.18 KB, 754176 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have security information
  • File has exports table
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

Windows PE Version Information

姓名 价值
Comments Give which
Company Name CornerNine GPS Insight Skill
File Description NightRich Crop Second
File Version 4.1.3484.4699
Internal Name visit2.dll
Original Filename visit2.dll
Product Name NightRich Crop Second
Product Version 4.1.3484.4699

File Traits

  • dll
  • HighEntropy
  • x86

Block Information

Total Blocks: 570
Potentially Malicious Blocks: 23
Whitelisted Blocks: 547
Unknown Blocks: 0

Visual Map

0 0 0 0 0 0 0 0 0 0 0 0 x x 0 x 0 0 0 x 0 0 0 0 0 x x 0 0 0 0 x 0 x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 x 0 x 0 0 0 0 x 0 0 x 0 x 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 x x 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 1 0 0 2 0 0 0 0 0 0 0 0 0 1 1 1 1 2 0 0 1 0 0 0 0 0 0 1 0 0 0 1 1 0 0 1 0 0 2 2 1 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 1 1 0 0 0 1 0 0 0 0 0 0 0 0 0 1 1 1 3 1 0 0 0 0 1 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 0 1 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 2 3 0 0 1 0 0 0 0 1 0 0 0 0 1 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 2 2 0 0 0 0 0 0 0 1 1 0 0 1 0 0 0 0 1 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 x 0 x x x x x x x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Windows API Usage

Category API
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateFile
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtQueryAttributesFile
Show More
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationFile
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtWriteFile
Process Shell Execute
  • CreateProcess
Anti Debug
  • NtQuerySystemInformation

Shell Command Execution

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\eca36576863df6797915ba22a506fe57de6c3f0a_0000754176.,LiQMAxHB

熱門

Cryptospannet.com

流氓網站, 廣告軟體, 瀏覽器劫持者
網路上充斥著旨在利用用戶信任的陷阱,即使只是一次不經意的點擊,都可能讓你面臨重大風險。網路犯罪分子不斷創建看似無害的欺騙性網站,這些網站精心設計,誘使訪客損害自身安全。 Cryptospannet.com 就是一個例子——網路安全研究人員已將其識別為惡意網站,並認定其具有不可信的惡意目的。 Cryptospannet.com:通往欺騙的門戶 Cryptospannet.com...

Defendpcpro.xyz

流氓網站, 廣告軟體
Defendpcpro.xyz 是一個專注於運行各種在線策略的站點。建議登陸該頁面的用戶謹慎行事,因為他們可能會收到大量誤導性和欺騙性的信息。實際上,已確認 Defedpcpro.xyz 顯示與“您的 PC 感染了 5 種病毒!”相關的消息。和“您的 Windows 10 感染了病毒!”策略。重要的是要記住,這種類型的許多惡意頁面可以根據每個訪問者的地理位置調整它們顯示的可疑內容。...

Robotsecuritylabs.co.in

流氓網站, 廣告軟體, 瀏覽器劫持者
網路上充斥著欺騙性網站,旨在誤導使用者、入侵使用者裝置並竊取使用者個人資訊。其中一個威脅是惡意頁面 Robotsecuritylabs.co.in,該網域濫用欺騙手段推播侵入性通知,並將訪客重新導向到可疑網站。了解這些網站的運作方式對於確保瀏覽安全至關重要。 Robotsecuritylabs.co.in 不安全的原因 安全研究人員發現 Robotsecuritylabs.co.in...

最受關注

如何修復“打印機驅動程序不可用”錯誤

問題
51,686
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...

Discord 卡在灰色屏幕上

問題
40,120
有時,在使用 Discord 應用程序時,用戶可能會卡在灰色屏幕上。在流式傳輸或簡單地加載應用程序時可能會出現此問題。如果您遇到這種情況並且想知道如何解決它,請嘗試以下解決方案。 在屏幕模式之間切換 如果原因是視覺故障而不是更嚴重的問題,從一種屏幕模式切換到另一種屏幕模式,例如啟用全屏模式或較小的屏幕選項,可以解決問題。按鍵盤上的 Ctrl+A 看看它是否有任何效果。 刪除 Discord...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

問題
38,002
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...
加載中...