Вымогатель-советофил Nemty научился глушить антивирусы

Опубликовано at 17.09.2019
125 0

Новости от шифровальщика Nemty, который стремительно набирает вес и степень угрозы, сохраняя при этом трепетную любовь к пользователям из республик бывшего СССР.

Разработчики вымогателя Nemty продолжают активно работать над своим вредоносным ПО, стремясь повысить к нему интерес на подпольных форумах. Злоумышленники внесли изменения в характер его действий в системе жертвы. Теперь программа может не только шифровать файлы, но и завершать процессы и службы, мешающие выполнению этой задачи.

Впервые в поле зрения ИБ-специалистов Nemty попал в середине августа. За прошедший месяц вирусописатели успели выпустить новую версию зловреда под номером 1.4, в которой исправили найденные ошибки и добавили стоп-лист. Программа стала сворачивать свою деятельность, если целевая система находилась в России, Белоруссии, Казахстане, Таджикистане или Украине. В сентябре пополнилось число географических регионов из стоп-листа: к ним добавились Азербайджан, Армения, Молдавия и Киргизия.

Любопытное агрессивное нововведение: добавленный в сентябрьской версии разработчиками код может принудительно завершать запущенные в системе процессы, чтобы в числе прочих можно было шифровать и файлы, открытые жертвой. Основными целями зловреда являются девять программ и служб Windows, в том числе текстовые редакторы WordPad и Microsoft Word, приложение Microsoft Excel, почтовые клиенты Microsoft Outlook и Mozilla Thunderbird, служба SQL и ПО виртуализации VirtualBox.

Как отмечает издание Bleeping Computer, два последних пункта в этом списке дают повод думать, что в качестве потенциальных жертв преступников больше всего интересуют крупные компании и корпорации.

Авторы Nemty постоянно экспериментируют в поиске наиболее эффективных путей доставки вредоноса в целевые системы. На текущий момент они уже протестировали заражение через уязвимые RDP-подключения, а также при помощи фальшивой страницы PayPal. Так как преступники уже пользовались одним из эксплойт-паков — RIG, использующим уязвимости в Internet Explorer, Java, Adobe Flash и Silverlight, — возможно, они прибегнут и к другим наборам эксплойтов.

 

Эксперты АКБ писали про данный вредонос совсем недавно в следующем контексте:

Вот еще два свежих примера, как вредоносы маскируются под легальные сервисы: новый бэкдор, замеченный в атаках правительственных кибершпионов, использует компонент Windows BITS (Background Intelligent Transfer Service), чтобы скрыть трафик, которым он обменивается с командным сервером; фальшивая веб-страница, очень убедительно замаскированная под официальный сайт PayPal, в настоящее время распространяет программу-вымогатель Nemty.

Еще примеры тут.

Подписываемся, следим @CyberAgency

Related Post

«Бесплатные скрипты для скрытого майнинга» — Евгений Лифшиц о природе явления

Опубликовано - 12.03.2018 0
Пользователи даже не представляют, насколько широко распространён скрытый майнинг на сайтах. Скрипты для майнинга криптовалюты, которые встраиваются в любой сайт,…

Авиаиндустрия потратила в 2018 году $3,9 млрд на кибербезопасность – это много или катастрофически мало?

Опубликовано - 29.11.2018 0
Все авиакомпании и аэропорты мира в 2018 году инвестировали в сферу кибербезопасности $3,9 млрд, сообщается в отчете SITA, швейцарской многонациональной…