『』不到一年发布10个版本,悉数Nemty勒索软件的发展史
本文插图
根据网络安全公司迈克菲(McAfee)研究人员的说法 , 有关Nemty勒索软件的首条广告出现在一个黑客论坛上 。 发布者自称“Jsworm” , 他不仅回答了帖子下的每一条评论 , 而且总是会在第一时间展示其新版本的价值 。
本文插图
图1.Nemty推销广告
本文插图
图2.积极活跃的Nemty开发人员
Nemty的传播途径
研究人员表示 , Nemty的传播方式主要有以下几种:
- RIG漏洞利用工具包
- Paypal虚拟网站
- RDP攻击
- 僵尸网络(如Phorpiex僵尸网络)
- Loader(如SmokeBot)
本文插图
图3.Nemty传播方式的演变历程
Nemty v1.0简介
1.0版本的Nemty是一个32位二进制文??件 , 正如其开发人员在广告中所说的那样 , 打包程序和恶意软件是都是采用C/C ++语言编写的 。
PE标头中的编译日期为2019年8月20日 。
本文插图
图4.恶意软件样本信息
根据研究人员的说法 , 在执行文件加密之前 , Nemty v1.0首先会从受感染计算机中提取如下信息 , 目的是统计受感染计算机的数量:
- 用户名:使用Windows API GetUserNameA
- 计算机名称:使用Windows API GetComputerNameA
- 硬件配置文件:使用Windows API GetCurrentHwProfileA
本文插图
图5.从受害计算机获取用户名、计算机名和硬件配置文件
在文件加密方面 , Nemty v1.0将使用函数“FindFirstFileW”和“FindNextFileW”获取所有文件 , 但会排除具有如下名称的文件:
本文插图
图6.位于黑名单中的文件
【『』不到一年发布10个版本,悉数Nemty勒索软件的发展史】
本文插图
图7.检查列入黑名单的文件夹和文件名
在加密完一个文件后 , Nemty v1.0便会为其添加了一个“.nemty”扩展名 。
本文插图
图8.添加“.nemty”扩展名
在加密完所有文件之后 , Nemty v1.0将使用硬编码单词“cmd.exe”执行计算机的命令提示符 , 以打开赎金票据 。
本文插图
图9.Nemty v1.0的赎金票据
与其他勒索软件一样 , Nemty v1.0还将在最后执行如下操作:
- 使用vssadmin删除卷影副本
- 使用bcedit和wbadmin禁用启动保护
- 使用类卷影副本删除带有WMIC的Windows目录
推荐阅读
- |Razer 发布雨林狼蛛 V2 轻机械键盘
- cnBeta|惠普今天发布多款笔记本电脑和一些外设产品
- 深圳湾|致敬经典,森海塞尔发布复古限量版 HD25 头戴式耳机
- |120Hz丝滑流畅体验!索尼发布真游戏电视X9100H系列
- 界面新闻|快运规模最大的安能物流发布两款高端产品,正面杠上德邦、顺丰?
- 哈尔滨美食美味|最新消息:四款 iPhone 12 至少推迟两个月发布
- 互联网的放大镜TB|vivo X50Pro发布,小米10瞬间不香了?
- 极客特派员|vivo X9s&Plus发布 照亮你的美
- 提供京东发布“星星之火”计划 全力支持地摊和小店经济
- 直播重磅!千聊讲师APP正式发布,私域直播峰会亮点抢先看!