Новости от шифровальщика Nemty, который стремительно набирает вес и степень угрозы, сохраняя при этом трепетную любовь к пользователям из республик бывшего СССР.
Разработчики вымогателя Nemty продолжают активно работать над своим вредоносным ПО, стремясь повысить к нему интерес на подпольных форумах. Злоумышленники внесли изменения в характер его действий в системе жертвы. Теперь программа может не только шифровать файлы, но и завершать процессы и службы, мешающие выполнению этой задачи.
Впервые в поле зрения ИБ-специалистов Nemty попал в середине августа. За прошедший месяц вирусописатели успели выпустить новую версию зловреда под номером 1.4, в которой исправили найденные ошибки и добавили стоп-лист. Программа стала сворачивать свою деятельность, если целевая система находилась в России, Белоруссии, Казахстане, Таджикистане или Украине. В сентябре пополнилось число географических регионов из стоп-листа: к ним добавились Азербайджан, Армения, Молдавия и Киргизия.
Любопытное агрессивное нововведение: добавленный в сентябрьской версии разработчиками код может принудительно завершать запущенные в системе процессы, чтобы в числе прочих можно было шифровать и файлы, открытые жертвой. Основными целями зловреда являются девять программ и служб Windows, в том числе текстовые редакторы WordPad и Microsoft Word, приложение Microsoft Excel, почтовые клиенты Microsoft Outlook и Mozilla Thunderbird, служба SQL и ПО виртуализации VirtualBox.
Как отмечает издание Bleeping Computer, два последних пункта в этом списке дают повод думать, что в качестве потенциальных жертв преступников больше всего интересуют крупные компании и корпорации.
Авторы Nemty постоянно экспериментируют в поиске наиболее эффективных путей доставки вредоноса в целевые системы. На текущий момент они уже протестировали заражение через уязвимые RDP-подключения, а также при помощи фальшивой страницы PayPal. Так как преступники уже пользовались одним из эксплойт-паков — RIG, использующим уязвимости в Internet Explorer, Java, Adobe Flash и Silverlight, — возможно, они прибегнут и к другим наборам эксплойтов.
Эксперты АКБ писали про данный вредонос совсем недавно в следующем контексте:
Вот еще два свежих примера, как вредоносы маскируются под легальные сервисы: новый бэкдор, замеченный в атаках правительственных кибершпионов, использует компонент Windows BITS (Background Intelligent Transfer Service), чтобы скрыть трафик, которым он обменивается с командным сервером; фальшивая веб-страница, очень убедительно замаскированная под официальный сайт PayPal, в настоящее время распространяет программу-вымогатель Nemty.
Еще примеры тут .