Nemty Ransomware演变为杀死进程和服务

• Nemty现在可以杀死进程和服务并加密货币未使用的文件。
• 示例包括虚拟盒系统和文件，Thunderbird电子邮件和Word文件。
• Nemty似乎现在想保持低调，直到它变得足够强大。

正如我们最近看到的，Nemty是一种流行的勒索软件，已经部署在各种欺诈活动中。虽然它不像“REvil”那样“热”，又称“Sodin”，又名“Sodinokibi”，但它仍然受到开发护理，日益发展成为一种更强大的工具。正如安全研究人员和逆向工程师分析师Vitali Kremez所报告的那样，Nemty有一个新版本，能够杀死系统进程和服务。这种强有力的补充可能是最终通过“勒索软件即服务”社区提高Nemty接受率的关键，因为这毕竟是其创建者的主要目标。

Vitali Kremez报告说，尽管Nemty刚刚升级，但版本号保持不变。这可能要么欺骗研究人员和保护措施，要么指定开发人员还没有完成他们正在进行的工作。无论哪种方式，Nemty只是变得更具攻击性和危险性，而且由于它已经在发行，版本号在实践中没有任何区别。

来源：bleepingcomputer.com

新的代码添加可以杀死受害者系统上的正在运行的进程。这样做是为了使勒索软件能够加密货币主机系统上的所有文件，包括当前正在使用的文件。新Nemty变体所针对的流程包括MS Word，Excel，Outlook，Mozilla Thunderbird，SQL甚至VirtualBox。这意味着如果执行文件突然关闭上述任何或所有应用程序，您可能已经进入了Nemty陷阱。

但是，最近的升级并没有带来新的功能。 Kremez注意到，已有新的国家被列入勒索软件的排除名单，阿塞拜疆，亚美尼亚，吉尔吉斯斯坦和摩尔多瓦加入了已被列入黑名单的乌克兰，塔吉克斯坦，哈萨克斯坦，白俄罗斯和俄罗斯。

来源：bleepingcomputer.com

至于Nemty的发行，上次，我们通过RIG EK漏洞利用工具包看到了这种情况。现在，演员正在试验Radio EK，它针对的是微软修补了三年的Internet Explorer漏洞。这是一个好消息，因为新Nemty的发行量不会很大。然而，这可能意味着它是测试过程的全部内容，在准备好所有模块的同时尝试解决问题，并在此期间保持低调。保持版本号不变并使用弱分发渠道是两种方法，以避免引起注意，直到你准备好努力。