Nemty勒索软件

通过GoldSparrow在 Ransomware

翻译为：

恶意软件研究人员正在努力跟上每天不断出现的所有新勒索软件威胁。 Nemty Ransomware是他们在这方面的最新发现之一。

Nemty Ransomware属于恶意软件威胁的勒索软件系列。这意味着在渗透到用户的计算机系统后，它将尝试使用强大的加密算法对所有数据进行加密，从而使用户的文件无法使用。为了恢复它们，Nemty的创建者要求以等值的比特币支付约1000美元的赎金。

传播和加密

网络安全专家无法完全确定，这是此文件锁定特洛伊木马传播中涉及的传播方法。但是，有些人推测，Nemty Ransomware的作者可能使用了最常见的传播勒索软件威胁的方法，即伪造的应用程序更新，流行软件的假冒盗版副本以及大规模垃圾邮件活动。感染系统后，Nemty Ransomware会运行扫描以查找所有文件，此威胁已被编程为锁定这些文件。通常，勒索软件威胁会针对很长的文件类型列表，以便它们能够造成最大程度的破坏，而Nemty Ransomware的情况也是如此。一旦成功完成此步骤，Nemty Ransomware将继续进行加密过程。 Nemty Ransomware使用加密算法锁定所有目标文件。一旦文件受到此威胁的加密，其名称将被更改。 Nemty勒索软件在所有受影响文件的文件名后附加" .nemty"扩展名。这意味着一旦加密过程完成，您曾经称为" ashy-cat.jpeg"的照片将被重命名为" ashy-cat.jpeg.nemty"。

Nemty Ransomware多样化其分销渠道

当网络安全专家首次在野外发现一种Nemty Ransomware时，他们推测，Nemty并非通过更常见的带有受感染文件附件的垃圾邮件来分发，而是通过受感染的RDP（远程桌面协议）连接进行传播。利用受损的RDP连接，攻击者可以完全控制该过程的每个步骤，而相比之下，使用网络钓鱼电子邮件则取决于受害者诱饵激活恶意软件。

虽然利用Exploit Kits作为传播恶意软件的手段一直在减少，因为它们主要针对Internet Explorer和Flash Player中的漏洞，这两种漏洞仅在几年前就已广泛使用，但现在已逐步从Internet上淘汰。，Nemty Ransomware的创造者显然认为他们仍然具有一定的潜力。安全研究人员mol69发现，Nemty Ransomware是作为RIG利用工具包恶意广告活动中的有效载荷提供的，而另一位研究人员nao_sec 抓住了Radio EK推动的恶意软件，该漏洞利用了Microsoft修复的JScript和VBScript漏洞3几年前。

最近，Nemty被一个伪造的Paypal网站发现散布，该网站诱骗毫无戒心的受害者，并承诺通过该平台进行的购买会获得3-5％的回报。通过使用官方的PayPal视觉效果和一种称为同形异物欺骗的技术，该网站旨在尽可能真实地显示-使用视觉上看起来相同但实际上来自不同字母的字母。如果用户迷恋陷阱并下载了恰当命名的" cashback.exe"，而不是原本可以节省钱的官方PayPal应用程序，则他们在不知不觉中下载并运行Nemty Ransomware。

Nemty代码中发现的普京，过度杀毒加密和其他奇数的图片

深入研究Nemty的代码会发现很多奇怪的细节。更奇特的一个是指向图片的链接，该图片似乎是GandGrab Ransomware中发现的图片的不同变体。在Nemty的情况下，它使用几乎相同的俄语文字，覆盖在该国总统弗拉基米尔·普京（Vladimir Putin）的图像上。还发现了向反病毒社区发出的直接消息，指出" f ** kav"。勒索软件的创建者还决定将代码中的互斥对象（互斥）命名为"讨厌"。

一线好奇的决定并没有止步于此，因为Nemty Ransomware的加密过程只能被描述为过大。为了加密用户数据，勒索软件使用CBC模式下的AES-128，RSA-2048和RSA-8192的组合。尽管人们普遍认为AES-128和RSA-2048很普遍，但包含RSA-8192似乎效率极低。毕竟，正如FortiGuard Labs在一份报告中所详述的那样，2048和4096密钥大小已经提供了足够的加密，而没有RSA-8192加密算法所需的可观开销和更长的密钥生成时间。

Nemty Ransomware Attack的症状

进入计算机系统后，Nemty Ransomware会通过hxxp：//api.db-ip.com/v2/free/ {IP检查用户是否位于五个国家/地区之一-俄罗斯，白俄罗斯，哈萨克斯坦，塔吉克斯坦或乌克兰地址} / countryName。奇怪的是，即使用户确实来自这些国家之一，勒索软件仍会继续进行加密过程。所有加密文件都将带有" .nemty"扩展名。为了确保计算机系统的正常运行不会受到干扰，Nemty Ransomware除提供一些文件扩展名外，还列出了特定文件和文件夹的列表，这些扩展名将不包括在加密中。排除的文件和文件夹是：

$ RECYCLE.BIN
rsa
NTDETECT.COM
ntldr
微软DOS
操作系统
引导程序
可执行文件
ntuser.dat
desktop.ini
配置文件
回收器
BOOTSECT.BAK
引导程序
程序数据
应用程序数据
视窗
微软
共同文件

排除的文件扩展名是nemty，log，LOG，CAB，cab，CMD，cmd，COM，com，com，cpl，CPL，exe，EXE，ini，INI，dll，DLL，lnk，LNK，url，URL，ttf，TTf ，DECRYPT.txt。

加密过程完成后，Nemty Ransomware将发送带有以下文本的赎金记录：

--- === NEMTY项目=== ---

[+]发生了什么？ [+]

您的文件已加密，目前不可用。您可以检查一下：计算机上的所有文件都具有扩展名.nemty
顺便说一句，一切都可以还原，但是您需要按照我们的说明进行操作。否则，您将无法返回数据（从不）。

[+]有什么保证？ [+]

这只是生意。除了获得利益，我们绝对不关心您和您的交易。
如果我们不做我们的工作和责任-没有人会与我们合作。
这不符合我们的利益。
如果您不配合我们的服务-对我们来说，这无关紧要。但是您会浪费时间和数据，因为我们只有私钥。
在实践中-时间比金钱更有价值。

[+]如何获得网站访问权限？ [+]

1）从以下站点下载并安装TOR浏览器：https://torproject.org/
2）打开我们的网站：zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad.onion/pay

当您打开我们的网站时，请按照说明进行操作，您将取回文件。

赎金说明中提到的配置文件用于识别受害者，并用作数据解密的密钥。

Nemty Ransomware通过删除卷影副本防止用户通过默认的Windows选项还原加密文件。为此，该恶意软件执行以下命令：

cmd.exe / c vssadmin.exe删除阴影/ all / quiet
bcdedit / set {默认} bootstatuspolicy ignoreallfailures
bcdedit / set {默认} recoveryenabled否
wbadmin删除目录-安静
Wmic shadowcopy删除

在由FortiGuard Labs分析的Nemty Ransomware变体中，未实现攻击者C＆C（命令和控制）服务器的IP地址，而是使用了受害者的回送IP地址。