一个新的勒索软件家族因其添加到加密文件中的扩展名而被称为“ Nemty”,该家族最近广为流行。 根据纽约Bleeping Computer公司的一份报告,总部位于纽约的逆向工程师Vitali Kremez认为,Nemty可能是通过公开的远程桌面连接传递的。
尽管通过RDP分发勒索软件并不是什么新鲜事物,但与网络钓鱼技术相比,它显然是一种更危险的分发方法。 一旦网络分子获得了高特权系统的访问权限,他们就可以不受限制地进入系统以发起攻击而无需用户干预,就像以前的SAMSAM勒索软件活动中所看到的那样。
2017年的蛮力RDP攻击显示了攻击者如何将Crysis勒索软件传播给澳大利亚和新西兰的中小型企业和大型组织。 这种威胁不仅影响企业。 从2018年开始的趋势科技遥测技术在家用计算机和个人设备上检测到超过3500万次暴力破解尝试,其中85%的尝试是通过RDP进行的。 一目了然
Nemty发出赎金通知,通知受害者如何恢复其加密文件,并删除其在系统中加密的文件的卷影副本。 根据Bleeping Computer自己的测试,Nemty要求赎金0.09981比特币,按撰写时的总价值约为1,000美元。
此赎金付款是在Tor网络上托管的付款门户上处理的。 Nemty背后的演员警告说,如果在截止日期前不支付赎金,赎金将增加一倍。
根据Kremez所说,勒索软件具有可以验证受害者计算机是否位于俄罗斯,白俄罗斯,哈萨克斯坦,塔吉克斯坦或乌克兰的功能,但是来自这些国家/地区的用户无法免受Nemty攻击。 Nemty收集用户的计算机名称,用户名,操作系统和计算机ID,然后将其发送回其操作员。
在进一步研究Nemty的代码时,Kremez注意到了一些有趣的事情:其代码包含指向俄罗斯照片的链接,一个奇怪的互斥体(“恨”)和一行称为“ f *”的代码。 ckav”,这显然是解码base64字符串并创建URL的关键。 趋势科技针对勒索软件的基于机器学习的解决方案
当网络罪犯通过受感染的RDP访问组织的端点时,他们可以禁用防病毒产品并在系统上部署勒索软件。 这比网络钓鱼技术更为危险,因为勒索软件攻击不再取决于用户的行为。 用户和组织需要了解最佳做法,以帮助降低或消除与勒索软件攻击相关的风险。
在端点级别,Trend Micro™Smart Protection Suite提供了多种功能,例如高保真机器学习,行为监视和应用程序控制以及漏洞屏蔽,可最大程度地减少此威胁的影响。 趋势科技威胁发现设备可检测和阻止网络上的勒索软件,而趋势科技趋势科技服务器深度安全防护系统可阻止勒索软件到达企业服务器-物理,虚拟或云中。
TippingPoint结合使用深度数据包检查和威胁信誉等技术,还为组织提供了一种主动的安全方法,其中包括打击勒索软件的工具。 此外,Trend Micro XGen™安全性提供了跨代的威胁防御技术组合,可针对数据中心,云环境,网络和端点的各种威胁进行防御。 智能,优化和连接的XGen™为趋势科技的安全解决方案套件提供了支持:混合云安全性,用户保护和网络防御。 危害指标
哈希
趋势微预测机器学习检测
趋势微模式检测
703f5f6a5130868a7c3ec06b40b9f37656c86d24
Troj.Win32.TRX.XXPE50FFF031
Ransom.Win32.NEMTY.A
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
