Nemty Ransomware演变为杀死进程和服务
- Nemty现在可以杀死进程和服务并加密货币未使用的文件。
- 示例包括虚拟盒系统和文件,Thunderbird电子邮件和Word文件。
- Nemty似乎现在想保持低调,直到它变得足够强大。
正如我们最近看到的,Nemty是一种流行的勒索软件,已经部署在各种欺诈活动中。虽然它不像“REvil”那样“热”,又称“Sodin”,又名“Sodinokibi”,但它仍然受到开发护理,日益发展成为一种更强大的工具。正如安全研究人员和逆向工程师分析师Vitali Kremez所报告的那样,Nemty有一个新版本,能够杀死系统进程和服务。这种强有力的补充可能是最终通过“勒索软件即服务”社区提高Nemty接受率的关键,因为这毕竟是其创建者的主要目标。
Vitali Kremez报告说,尽管Nemty刚刚升级,但版本号保持不变。这可能要么欺骗研究人员和保护措施,要么指定开发人员还没有完成他们正在进行的工作。无论哪种方式,Nemty只是变得更具攻击性和危险性,而且由于它已经在发行,版本号在实践中没有任何区别。
来源:bleepingcomputer.com
新的代码添加可以杀死受害者系统上的正在运行的进程。这样做是为了使勒索软件能够加密货币主机系统上的所有文件,包括当前正在使用的文件。新Nemty变体所针对的流程包括MS Word,Excel,Outlook,Mozilla Thunderbird,SQL甚至VirtualBox。这意味着如果执行文件突然关闭上述任何或所有应用程序,您可能已经进入了Nemty陷阱。
但是,最近的升级并没有带来新的功能。 Kremez注意到,已有新的国家被列入勒索软件的排除名单,阿塞拜疆,亚美尼亚,吉尔吉斯斯坦和摩尔多瓦加入了已被列入黑名单的乌克兰,塔吉克斯坦,哈萨克斯坦,白俄罗斯和俄罗斯。
来源:bleepingcomputer.com
至于Nemty的发行,上次,我们通过RIG EK漏洞利用工具包看到了这种情况。现在,演员正在试验Radio EK,它针对的是微软修补了三年的Internet Explorer漏洞。这是一个好消息,因为新Nemty的发行量不会很大。然而,这可能意味着它是测试过程的全部内容,在准备好所有模块的同时尝试解决问题,并在此期间保持低调。保持版本号不变并使用弱分发渠道是两种方法,以避免引起注意,直到你准备好努力。