Nemty勒索軟件

Ransomware 年GoldSparrow年

翻譯為：

惡意軟件研究人員正在努力跟上每天不斷出現的所有新勒索軟件威脅。 Nemty Ransomware是他們在這方面的最新發現之一。

Nemty Ransomware屬於惡意軟件威脅的勒索軟件系列。這意味著在滲透到用戶的計算機系統後，它將嘗試使用強大的加密算法對所有數據進行加密，從而使用戶的文件無法使用。為了恢復它們，Nemty的創建者要求以等值的比特幣支付大約1000美元的贖金。

傳播和加密

網絡安全專家無法完全確定，這是此文件鎖定特洛伊木馬傳播中涉及的傳播方法。但是，有些人推測，Nemty Ransomware的作者可能使用了最常見的傳播勒索軟件威脅的方法，即偽造的應用程序更新，流行軟件的假冒盜版副本以及大規模垃圾郵件活動。感染系統後，Nemty Ransomware會運行掃描以定位所有文件，此威脅已被編程為鎖定該文件。通常，勒索軟件威脅會針對很長的文件類型列表，以使它們能夠造成最大程度的破壞，而Nemty Ransomware的情況也是如此。一旦成功完成此步驟，Nemty Ransomware將繼續進行加密過程。 Nemty Ransomware使用加密算法鎖定所有目標文件。一旦文件受到此威脅的加密，其名稱將被更改。 Nemty勒索軟件在所有受影響文件的文件名後附加" .nemty"擴展名。這意味著一旦加密過程完成，您曾經稱為" ashy-cat.jpeg"的照片將被重命名為" ashy-cat.jpeg.nemty"。

Nemty Ransomware多樣化其分銷渠道

當網絡安全專家首次在野外發現一種Nemty Ransomware時，他們推測，Nemty並非通過更常見的帶有受感染文件附件的垃圾郵件來分發，而是通過受感染的RDP（遠程桌面協議）連接進行傳播。利用受損的RDP連接，攻擊者可以完全控制該過程的每個步驟，而相比之下，使用網絡釣魚電子郵件則取決於受害者誘餌激活惡意軟件。

雖然利用Exploit Kits作為傳播惡意軟件的手段一直在減少，因為它們主要針對Internet Explorer和Flash Player中的漏洞，這兩種漏洞僅在幾年前就已廣泛使用，但現在已逐步從Internet上淘汰。，Nemty Ransomware的創造者顯然認為他們仍然具有一定的潛力。安全研究人員mol69發現，Nemty Ransomware是作為RIG利用工具包惡意廣告活動中的有效載荷提供的，而另一位研究人員nao_sec 抓住了Radio EK推動的惡意軟件，該漏洞利用了Microsoft修復的JScript和VBScript漏洞3幾年前。

最近，Nemty被一個偽造的Paypal網站發現散佈，該網站誘騙毫無戒心的受害者，並承諾通過該平台進行的購買會獲得3-5％的回報。通過使用官方的PayPal視覺效果和一種稱為同形異物欺騙的技術，該網站旨在盡可能真實地顯示-使用視覺上看起來相同但實際上來自不同字母的字母。如果用戶迷戀陷阱並下載了恰當命名的" cashback.exe"，而不是原本可以節省錢的官方PayPal應用程序，則他們在不知不覺中下載並運行Nemty Ransomware。

Nemty代碼中發現的普京，過度殺毒加密和其他奇數圖片

深入研究Nemty的代碼會發現很多奇怪的細節。更奇特的一個是指向圖片的鏈接，該圖片似乎是GandGrab Ransomware中發現的圖片的不同變體。在Nemty的情況下，它使用幾乎相同的俄語文字，覆蓋在該國總統弗拉基米爾·普京（Vladimir Putin）的圖像上。還發現了直接發送給反病毒社區的消息，稱" f ** kav"。勒索軟件的創建者還決定將代碼中的互斥對象（互斥）命名為"討厭"。

一線好奇的決定並沒有止步於此，因為Nemty Ransomware的加密過程只能被描述為過大。為了加密用戶數據，勒索軟件使用CBC模式下的AES-128，RSA-2048和RSA-8192的組合。儘管人們普遍認為AES-128和RSA-2048很普遍，但包含RSA-8192似乎效率極低。畢竟，正如FortiGuard Labs在一份報告中所詳述的那樣，2048和4096密鑰大小已經提供了足夠的加密，而沒有RSA-8192加密算法所需的可觀開銷和更長的密鑰生成時間。

Nemty Ransomware Attack的症狀

進入計算機系統後，Nemty Ransomware會通過hxxp：//api.db-ip.com/v2/free/ {IP地址} / countryName。奇怪的是，即使用戶確實來自這些國家之一，勒索軟件仍會繼續進行加密過程。所有加密文件都將帶有" .nemty"擴展名。為了確保計算機系統的正常運行不會受到干擾，Nemty Ransomware除提供一些文件擴展名外，還列出了特定文件和文件夾的列表，這些擴展名將不包括在加密中。排除的文件和文件夾是：

$ RECYCLE.BIN
rsa
NTDETECT.COM
ntldr
微軟DOS
操作系統
引導程序
可執行文件
ntuser.dat
desktop.ini
配置文件
回收器
BOOTSECT.BAK
引導程序
程序數據
應用程序數據
視窗
微軟
共同文件

排除的文件擴展名是nemty，log，LOG，CAB，cab，CMD，cmd，COM，com，com，cpl，CPL，exe，EXE，ini，INI，dll，DLL，lnk，LNK，url，URL，ttf，TTf ，DECRYPT.txt。

加密過程完成後，Nemty Ransomware將發出帶有以下文本的贖金記錄：

--- === NEMTY項目=== ---

[+]發生了什麼？ [+]

您的文件已加密，目前不可用。您可以檢查一下：計算機上的所有文件都具有擴展名.nemty
順便說一句，一切都可以還原，但是您需要按照我們的說明進行操作。否則，您將無法返回數據（從不）。

[+]有什麼保證？ [+]

這只是生意。除了獲得利益，我們絕對不關心您和您的交易。
如果我們不做我們的工作和責任-沒有人會與我們合作。
這不符合我們的利益。
如果您不配合我們的服務-對我們來說，這無關緊要。但是您會浪費時間和數據，因為我們只有私鑰。
在實踐中-時間比金錢更有價值。

[+]如何獲得網站訪問權限？ [+]

1）從以下站點下載並安裝TOR瀏覽器：https://torproject.org/
2）打開我們的網站：zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad.onion/pay

當您打開我們的網站時，請按照說明進行操作，您將取回文件。

贖金說明中提到的配置文件用於識別受害者，並用作數據解密的密鑰。

Nemty Ransomware通過刪除卷影副本防止用戶通過默認的Windows選項還原加密的文件。為此，該惡意軟件執行以下命令：

cmd.exe / c vssadmin.exe刪除陰影/ all / quiet
bcdedit / set {默認} bootstatuspolicy ignoreallfailures
bcdedit / set {默認} recoveryenabled否
wbadmin刪除目錄-安靜
Wmic shadowcopy刪除

在由FortiGuard Labs分析的Nemty Ransomware變體中，未實現攻擊者C＆C（命令和控制）服務器的IP地址，而是使用了受害者的回送IP地址。