• 安全分析与研究:专注于全球最新的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链
  • 安全分析与研究:关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息

追踪NEMTY勒索病毒,利用虚假PayPal网站传播

勒索病毒 pandazhengzheng 6个月前 (10-13) 288次浏览 0个评论 扫描二维码

NEMTY是一款新型的勒索病毒,最早发现它是通过受损的RDP端口感染受害者,分析样本发现此勒索病毒提到了俄罗斯总统和防病毒软件,被安全研究人员称为NEMTY,不到一个月的时候内,已经发现它通过多个渠道进行传播,非常活跃

安全研究人员发现NEMTY勒索病毒最新版本正在通过一个虚假PayPal网站进行传播,同时勒索病毒样本也进行了更新,由此前的1.0版本变为了现在的1.4版本,到目前为止,此勒索病毒已经通过以下三种方式进行传播感染:

1.  RDP端口

2.  RIG漏洞利用工具包

3.  虚假PayPal网站

NEMTY是一款新型的勒索病毒,最早发现它通过受损的RDP端口感染受害者,此勒索病毒提到了俄罗斯总统和防病毒软件,被安全研究人员称为NEMTY,2019年8月21号NEMTY勒索病毒样本被人上传到了app.any.run网站,同时在22号,23号又分别被人上传,可能国外已经有多人被感染,24号安全研究人员公布了此勒索病毒的一些信息,如下所示:

勒索病毒向受害者勒索0.09734 BTC(大约1000美元),在八月底,安全研究人员发现此勒索通过RIG漏洞利用工具包(EK)进行传播,可能NEMTY勒索病毒背后的运营商已经与一些目标系统达成了分销协议,这些系统可能被RIG漏洞攻击套件感染,如下所示:

NEMTY勒索病毒最新变种使用虚假的PayPal网站进行传播,该网站承诺通过支付系统进行购买将返回3-5%,诱导受害者下载运行恶意软件,如下所示:

一些浏览器已经将该网站标记为了危险网站,但用户可能仍然会从这个网站上继续下载和运行恶意软件,该攻击活动被安全研究人员发布到了社交论坛上,并使用AnyRun对样本进行了自动化分析处理,如下所示:

安全研究人员分析了这款最新的NEMTY勒索病毒,发现它是一个新的1.4版本,与此前发现的1.0版本不同,样本中对受感染的地区进行检测时存在一些小的失误

通过对此勒索病毒追踪,发现NEMTY在短短二十天左右的时间内,已经使用三种不同的方式进行传播感染,同时勒索病毒的作者也对此勒索病毒代码进行了更新迭代,速度之快,通过此前的分析发现这款勒索病毒似乎融合了此前GandCrab和Sodinokibi两款勒索病毒的一些特点,其传播渠道变换之快,各企业要提前做好预防措施,以防被感染!

更多精彩内容,欢迎关注微信公众号:安全分析与研究,扫描下方二维码

安全的路很长,贵在坚持!


安全分析与研究, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:追踪NEMTY勒索病毒,利用虚假PayPal网站传播
喜欢 (3)

您必须 登录 才能发表评论!