安全動(dòng)態(tài)

Nemty勒索病毒結(jié)盟僵尸網(wǎng)絡(luò),黑產(chǎn)合作已成趨勢威脅倍增

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-12-22    瀏覽次數(shù):
 

信息來源:FreeBuf

Nemty勒索在國內(nèi)主要通過弱口令爆破的方式進(jìn)行傳播,本次捕獲到的新變種為2.2版本,添加的文件名后綴. NEMTY_<random{7}>。相較于之前版本,除了代碼結(jié)構(gòu)的改變,新變種同時(shí)提供了Tor瀏覽器和Web瀏覽器兩種溝通模式,而且限定了交易時(shí)間,如果三個(gè)月內(nèi)不支付贖金,網(wǎng)站將會(huì)停止支付贖金服務(wù)可能導(dǎo)致數(shù)據(jù)永久損失。

簡要分析

Nemty自從被發(fā)現(xiàn)以來一直被修改,代碼完成度不高,與流行的勒索家族相比成熟度較低,導(dǎo)致了其受到了地下分發(fā)商以及高級會(huì)員的懷疑,所以Nemty至今并沒有大規(guī)模擴(kuò)散的現(xiàn)象。但是自從十一月以來,根據(jù)奇安信多維度大數(shù)據(jù)關(guān)聯(lián)分析,我們發(fā)現(xiàn)Nemty開始與Phorpiex僵尸網(wǎng)絡(luò)進(jìn)行合作。Phorpiex主要以分發(fā)色情郵件而聞名,在最近的更新中新增了SMB爆破模塊,執(zhí)行過程中會(huì)根據(jù)%appdata%目錄下是否存在winsvcs.txt文件來判斷Nemty是否已經(jīng)下載。

圖片.png

使用的SMB弱口令整理如下

圖片.png

如果爆破成功則會(huì)將Nemty傳播到遠(yuǎn)程計(jì)算機(jī),并重復(fù)檢查Nemty進(jìn)程

圖片.png

樣本執(zhí)行過程中會(huì)創(chuàng)建“just_a_little_game”互斥量

圖片.png

調(diào)用CMD刪除卷影

圖片.png

獲取本機(jī)相關(guān)信息

圖片.png

區(qū)域豁免

圖片.png

生成RSA密鑰對

圖片.png

結(jié)束指定進(jìn)程和服務(wù)

圖片.png

創(chuàng)建注冊表項(xiàng)寫入相關(guān)信息

圖片.png

在每個(gè)目錄下生成勒索信,內(nèi)容如下

圖片.png

之后開始加密文件,排除特定目錄及文件

圖片.png

完成之后向遠(yuǎn)程服務(wù)器發(fā)送信息

圖片.png

勒索網(wǎng)站頁面如下

圖片.png

小結(jié)

隨著Nemty的代碼越來越成熟,可以預(yù)見未來會(huì)有越來越多的地下分發(fā)商與之合作,奇安信病毒響應(yīng)中心會(huì)持續(xù)對該勒索家族進(jìn)行追蹤。

安全建議

我們建議政企用戶參考以下建議加強(qiáng)防范

1、 對重要數(shù)據(jù)和文件按時(shí)進(jìn)行備份

2、 及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞

3、 不要點(diǎn)擊來源不明的郵件,不要從不明網(wǎng)站下載軟件

4、 關(guān)閉不必要的文件共享以及相關(guān)端口,如445,135,139等,如果業(yè)務(wù)沒有需要的話盡量關(guān)閉3389端口或者給3389端口設(shè)置白名單配置。

5、 采用高強(qiáng)度的密碼,不要使用弱口令,保證每臺(tái)服務(wù)器的密碼都不相同,每隔一段時(shí)間更換密碼

 
 

上一篇:企業(yè)可有效的防止勒索軟件攻擊

下一篇:2019年第三季度的垃圾郵件和網(wǎng)絡(luò)釣魚分析