91热久久,欧美一级在线免费观看,黄色免费网站在线

新型勒索病毒Nemty 利用RDP的防護方案

責編：gltian ｜2019-08-30 13:33:15

贖金需求

與任何正確的文件加密惡意軟件一樣，Nemty將刪除其處理的文件的卷影副本，從而使受害者無法恢復Windows操作系統創建的數據版本。

受害者將看到贖金通知，被告知攻擊者持有解密密鑰，并且數據可以按價格收回。

在測試中，贖金需求為0.09981 BTC，目前換算為1,000美元左右。

贖金匿名托管在支付門戶Tor上，用戶必須上傳其配置文件。

在此基礎上，它們提供了另一個帶有聊天功能的網站的鏈接以及有關需求的更多信息。

代碼中的消息

安全研究人員?維塔利·克雷茲?（?Vitali Kremez?）仔細研究了這個惡意軟件，發現它帶有一個不尋常的互斥對象名稱。作者稱之為“hate”，如下圖所示。

互斥（mutex）對象是一個標志，程序通過控制一次訪問一個執行線程來控制資源。

Kremez在Nemty的代碼中注意到的另一個奇怪的事情是?弗拉基米爾·普京的?這張照片?的?鏈接?，標題是“我把你加入了[?insult]?列表，但現在只用鉛筆。”

特殊列表并不止于此。研究人員發現了向反病毒行業發出的直接信息。

起初，以為參考資料是代碼中的一個奇怪的東西，但第二次看看Nemty如何工作，揭示了它是解碼base64字符串和創建URL的關鍵，是對反病毒行業的直接信息。

另一個有趣的事情是Nemty定向于俄羅斯，白俄羅斯，哈薩克斯坦，塔吉克斯坦和烏克蘭的計算機。Kremez表示這并不是要讓主機免于文件加密程序。

惡意軟件代碼中的“isRU”檢查只是將系統標記為處于五個國家/地區之一，然后向攻擊者發送包含計算機名稱，用戶名，操作系統和計算機ID的數據。

目前還不清楚Nemty是如何分發的，但Kremez從一個可靠的消息來源獲悉，運營商通過受損的遠程桌面連接來部署它。

與網絡釣魚電子郵件（目前是常見的分發方法）相比，利用RDP連接可以使攻擊者受到控制，因為他們不再需要等待受害者采取網絡釣魚誘餌。

Kremez?在Nemty?上發表了他的?研究報告?，其中包括文件夾列表（啟動操作系統所需的任何內容）以及惡意軟件未觸及的文件擴展名（二進制文件，快捷方式和日志數據）。