『』不到一年发布10个版本,悉数Nemty勒索软件的发展史( 二 )
本文插图
图10.删除卷影、禁用引导保护并删除目录
Nemty的后续版本
研究人员表示 , 自第一个版本以来 , Nemty的开发人员截至目前已经发布了9个不同的版本 。
Nemty v1.4
在1.4版本中 , 开发人员做了如下更改:
- 互斥锁检查
- 语言检查(独联体国家被排除)
本文插图
图11.语言检查
Nemty v1.5
与Nemty v1.4相比 , Nemty v1.5包含如下更改:
- 有关受感染计算机的信息被存储在注册表中
- 长久驻留机制
- 能够终止进程和服务(使用“taskkill /im”和“net stop”)
- 新的互斥锁
- 硬编码的图片被更换
- C2面板可公开访问
- 黑名单新增了4个国家
本文插图
图12.被保存在注册表中的信息
本文插图
图13.目标进程和服务列表以及新增的4个国家
Nemty v1.6
与Nemty v1.5相比 , Nemty v1.6仅实现了一个更改——新的加密算法 。
本文插图
图14.新的加密例程
Nemty v1.6的第二版
在这个版本中 , Nemty v1.6的版本号没有被更换 , 但确实新增了如下更改:
- 使用了新的vssadmin实用程序
- 添加了新的目标进程和服务
- FakeNet功能(新的公共IP地址检索方法)
本文插图
图15.新增的目标进程和服务
Nemty v2.0
在这个版本中 , 开发人员决定删除某些功能 , 并添加了新的加密例程:
- FakeNet功能被删除
- 结合使用RC4算法和CryptoAP
- 改进了密钥生成过程
- 赎金票据文字从“NEMTY PROJECT”修改为“NEMTY REVENGE” , 并增加了一句“Don’t trust anyone. Even your dog”
本文插图
图16.Nemty v2.0赎金票据
Nemty v2.2
在这个版本中 , Nemty开发人员仅进行了两个较小的更改:
- 互斥锁名称更改
- 新的赎金票据
本文插图
图17.Nemty v2.2赎金票据
Nemty v2.3
在这个版本中 , 研究人员发现了一些重大变化:
- 新的互斥锁值
- 用于获取公共IP的服务从hxxps://api.ipify.org更改为hxxps://www.myexternalip.com/raw
- 新的Windows操作系统检查方式
- 配置字段被更改(某些字段被删除 , 一些新字段被添加)
- 用户代理被更改为了“Naruto Uzumake”
- 新增了许多目标进程
- 添加了PowerShell执行
- 在配置单元HKEY_CURRENT_USER的注册表项“Run”中添加了一个名为“daite drobovik”的新子项 , 以实现长久驻留
- 赎金票据再次更改
本文插图
图18.Nemty v2.3赎金票据
Nemty v2.4
在这个版本中 , 仅有赎金票据发生了变化 。
推荐阅读
- |Razer 发布雨林狼蛛 V2 轻机械键盘
- cnBeta|惠普今天发布多款笔记本电脑和一些外设产品
- 深圳湾|致敬经典,森海塞尔发布复古限量版 HD25 头戴式耳机
- |120Hz丝滑流畅体验!索尼发布真游戏电视X9100H系列
- 界面新闻|快运规模最大的安能物流发布两款高端产品,正面杠上德邦、顺丰?
- 哈尔滨美食美味|最新消息:四款 iPhone 12 至少推迟两个月发布
- 互联网的放大镜TB|vivo X50Pro发布,小米10瞬间不香了?
- 极客特派员|vivo X9s&Plus发布 照亮你的美
- 提供京东发布“星星之火”计划 全力支持地摊和小店经济
- 直播重磅!千聊讲师APP正式发布,私域直播峰会亮点抢先看!