Nemty ransomware: Νέο ransomware εντοπίστηκε το Σαββατοκύριακο, με παραπομπές στον πρόεδρο της Ρωσίας και σε antivirus software πρόγραμμα.
Ονομάστηκε Nemty λόγω της επέκτασης που παρέχει στις καταγραφές δεδομένων μετά την κρυπτογράφησή τους.
Όπως όλα τα κακόβουλα προγράμματα κρυπτογράφησης αρχείων, το Nemty θα διαγράψει τα shadow copies για τις εγγραφές δεδομένων που επεξεργάζεται, αφαιρώντας από το θύμα την δυνατότητα να πάρει καλύτερες παραλλαγές των πληροφοριών που δημιουργούνται από το σύστημα εργασίας των Windows.
Τα θύματα θα δουν μια προειδοποίηση για λύτρα που θα ενημερώνει ότι οι hackers διατηρούν το κλειδί αποκρυπτογράφησης και ότι οφείλουν να πληρώσουν αν επιθυμούν τα αρχεία τους.
Σύμφωνα με τις εκτιμήσεις του BleepingComputer, αρχικά, τα απαιτούμενα λύτρα ήταν zero.09981 BTC, τα οποία έχουν φτάσει προς το παρόν στα $ 1.000.
Το prortal πληρωμής φιλοξενείται στον Tor για ανωνυμία και οι πελάτες πρέπει να προσθέσουν το configuration file τους. Στη συνέχεια, παρέχεται ένα hyberlink για έναν διαφορετικό ιστότοπο που διαθέτει τη λειτουργία συνομιλίας και επιπλέον δεδομένα σχετικά με τις κλήσεις.
Μηνύματα μέσα στον κώδικα
Ο ερευνητής ασφάλειας Vitali Kremez έριξε μια πιο εμπεριστατωμένη ματιά στο κακόβουλο λογισμικό και είδε ότι έρχεται με έναν ασυνήθιστο προσδιορισμό για το mutex object. Ο δημιουργός ονομάζεται “hate”, όπως φαίνεται στην εικόνα που ακολουθεί.
Ένα μοναδικό object (mutex) επιτρέπει στις εφαρμογές να ρυθμίζουν στοιχεία παρέχοντας, έτσι, την είσοδο σε αυτά τουλάχιστον σε ένα execution thread κάθε φορά.
Ένας άλλος παράξενος παράγοντας που παρατηρείται στον κώδικα του Nemty είναι ένα hyberlink σε μια εικόνα του Βλαντιμίρ Πούτιν, με μια λεζάντα λέγοντας: “I added you to the record of [insult], however solely with pencil for now.”
Επιπλέον, εντύπωση προξενεί και η αναφορά στα antivirus. Στην αρχή, εμφανίστηκε ένας παράξενος παράγοντας μέσα στον κώδικα, ο οποίος, με μια δεύτερη ματιά, χρησιμεύει για την αποκωδικοποίηση των base64 strings και τη δημιουργία διευθύνσεων URL.
Ένας άλλος παράγοντας που τραβάει την προσοχή είναι η επαλήθευση που πραγματοποιεί το Nemty για τη δημιουργία συστημάτων πληροφορικής στη Ρωσία, τη Λευκορωσία, το Καζακστάν, το Τατζικιστάν και την Ουκρανία.
Το “isRU” μέσα στον κώδικα κακόβουλου λογισμικού απλώς σηματοδοτεί τις τεχνικές που βρίσκονται σε μία από τις 5 διεθνείς τοποθεσίες και στη συνέχεια στέλνει στον hacker το αναγνωριστικό του υπολογιστή, το όνομα χρήστη, το λειτουργικό σύστημα και το ID του υπολογιστή.
Δεν είναι σαφές πώς διανέμεται to Nemty, ωστόσο σύμφωνα με πηγές οι hackers δρουν μέσω παραβιασμένων απομακρυσμένων desktop connections (RDP).
Σε σύγκριση με το phishing e-mail, το οποίο είναι σήμερα η συχνή τεχνική διανομής, η μόχλευση ενός RDP connection δίνει άμεση πρόσβαση και διαχείριση στον εισβολέα.
