信息來源:FreeBuf
概述
Nemty勒索在國內(nèi)主要通過弱口令爆破的方式進(jìn)行傳播,本次捕獲到的新變種為2.2版本,添加的文件名后綴. NEMTY_<random{7}>。相較于之前版本,除了代碼結(jié)構(gòu)的改變,新變種同時(shí)提供了Tor瀏覽器和Web瀏覽器兩種溝通模式,而且限定了交易時(shí)間,如果三個(gè)月內(nèi)不支付贖金,網(wǎng)站將會(huì)停止支付贖金服務(wù)可能導(dǎo)致數(shù)據(jù)永久損失。
簡要分析
Nemty自從被發(fā)現(xiàn)以來一直被修改,代碼完成度不高,與流行的勒索家族相比成熟度較低,導(dǎo)致了其受到了地下分發(fā)商以及高級會(huì)員的懷疑,所以Nemty至今并沒有大規(guī)模擴(kuò)散的現(xiàn)象。但是自從十一月以來,根據(jù)奇安信多維度大數(shù)據(jù)關(guān)聯(lián)分析,我們發(fā)現(xiàn)Nemty開始與Phorpiex僵尸網(wǎng)絡(luò)進(jìn)行合作。Phorpiex主要以分發(fā)色情郵件而聞名,在最近的更新中新增了SMB爆破模塊,執(zhí)行過程中會(huì)根據(jù)%appdata%目錄下是否存在winsvcs.txt文件來判斷Nemty是否已經(jīng)下載。
使用的SMB弱口令整理如下
如果爆破成功則會(huì)將Nemty傳播到遠(yuǎn)程計(jì)算機(jī),并重復(fù)檢查Nemty進(jìn)程
樣本執(zhí)行過程中會(huì)創(chuàng)建“just_a_little_game”互斥量
調(diào)用CMD刪除卷影
獲取本機(jī)相關(guān)信息
區(qū)域豁免
生成RSA密鑰對
結(jié)束指定進(jìn)程和服務(wù)
創(chuàng)建注冊表項(xiàng)寫入相關(guān)信息
在每個(gè)目錄下生成勒索信,內(nèi)容如下
之后開始加密文件,排除特定目錄及文件
完成之后向遠(yuǎn)程服務(wù)器發(fā)送信息
勒索網(wǎng)站頁面如下
小結(jié)
隨著Nemty的代碼越來越成熟,可以預(yù)見未來會(huì)有越來越多的地下分發(fā)商與之合作,奇安信病毒響應(yīng)中心會(huì)持續(xù)對該勒索家族進(jìn)行追蹤。
安全建議
我們建議政企用戶參考以下建議加強(qiáng)防范
1、 對重要數(shù)據(jù)和文件按時(shí)進(jìn)行備份
2、 及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞
3、 不要點(diǎn)擊來源不明的郵件,不要從不明網(wǎng)站下載軟件
4、 關(guān)閉不必要的文件共享以及相關(guān)端口,如445,135,139等,如果業(yè)務(wù)沒有需要的話盡量關(guān)閉3389端口或者給3389端口設(shè)置白名單配置。
5、 采用高強(qiáng)度的密碼,不要使用弱口令,保證每臺(tái)服務(wù)器的密碼都不相同,每隔一段時(shí)間更換密碼