Nemty Ransomware

Nemty - это программа-вымогатель с необычайно сложным алгоритмом шифрования. Эта вредоносная программа шифрует файлы пользователя и требует деньги за то, чтобы их можно было снова разблокировать. Возможно, она связана с другими известными программами-вымогателями, но мы не знаем наверняка.

Nemty, также известный как NEMTY PROJECT - это вредоносная программа типа ransomware. Вирус, который ставит шифр на все файлы, хранящиеся на зараженных машинах, и позволяет восстановить их только в том случае, если жертва заплатит определенную сумму выкупа.

Nemty появился не так давно. Впервые он был замечен в дикой природе в августе 2019 года. Из-за некоторых сходств в коде и поведении, исследователи считают, что Nemty может быть связан с GandCrab и Sodinokibi, хотя прямая корреляция не доказана. В любом случае, можно предположить, что это очень продвинутая вредоносная программа.

Кроме того, код вредоносной программы, по-видимому, включает партнерский идентификатор, который может указывать на то, что Nemty доступен как Ransomware as a Service. Если эта информация верна, Nemty может стать очень распространенной вредоносной программой благодаря своей легкодоступности.

Общее описание Nemty ransomware

Nemty ransomware активно совершенствуется его создателями. Фактически, уже выпущено несколько версий вируса, и ничто не указывает на то, что это развитие должно прекратиться в ближайшее время.

Среди прочих усовершенствований, создатели угрозы применили очень сильный алгоритм шифрования. Он настолько силен, что ни одна вредоносная программа до Nemty не использовала ничего подобного. Используемый здесь RSA-8192 - это 8192-битное шифрование, которое считается избыточным для использования во вредоносных программах. Несмотря на то, что этот протокол шифрования затрудняет расшифровку данных, он также имеет свои сложности. Например, он приводит к увеличению времени шифрования и генерации ключей и шифрует только 1024 байта за раз.

Несмотря на это, исследователям удалось создать дешифраторы, работающие с версиями 1.4, 1.5 и 1.6 вредоносной программы, например, инструмент расшифровки Avast Nemty. Это означает, что жертвы, подвергшиеся атаке вышеупомянутой версии вредоносной программы, могут восстановить свою информацию без необходимости платить выкуп злоумышленникам.

Без таких дешифровщиков, как инструмент Avast Nemty, жертвам пришлось бы заплатить злоумышленникам выкуп в размере около $1000 в эквиваленте биткоина. Выкуп можно заплатить через платежный портал, который размещен в сети TOR. А если он не будет выплачен вовремя, сумма удваивается до эквивалента в $2000.

Мы не знаем наверняка, кто стоит за Nemty. Вредоносная программа содержит код, который проверяет, является ли жертва жителем одной из следующих стран: Россия, Беларусь, Казахстан, Таджикистан или Украина.

Однако жертвы из вышеперечисленных стран все равно могут подвергнуться атаке этой программы-выкупа. Это странно, поскольку обычно вирусы, проверяющие происхождение жертв, прекращают выполнение, чтобы не привлекать внимания местных правоохранительных структур.

В случае с Nemty пользователи со всего мира находятся под угрозой заражения.

Однако в коде есть и другие интересные странности, указывающие на происхождение вируса из СССР. Код содержит ссылку на аналогичную картинку, которая была в коде GandCrab. Только на этот раз она содержит наложение портрета российского президента. В коде этой вредоносной программы можно найти и другие странные вещи. Например, если копнуть достаточно глубоко, то можно найти прямое послание специалистам по кибербезопасности, в котором в менее вежливой форме говорится о том, чтобы они "не лезли не в свое дело".

Еще одним доказательством того, что создатели вредоносной программы являются выходцами из СССР, является то, что страница оплаты написана на русском языке. Возможно, создатели на самом деле русские или они пытаются подбросить ложный след и ввести исследователей в заблуждение.

Процесс выполнения Nemty

Процесс выполнения Nemty ransomware относительно типичен для этого типа вредоносного ПО. После того как исполняемый файл попадает в зараженную систему и запускается, начинается основная вредоносная деятельность. Как и многие другие семейства ransomware, Nemty удаляет файлы теневых копий. Он также останавливает и убивает процессы из жестко заданного списка. Вредоносная программа создает текстовый файл с запиской о выкупе в каждой папке с зашифрованными файлами.

Интересно то, что Nemty, как и Sodinokibi, создает ключ реестра, в котором хранит такие значения, как открытый ключ и расширение файла для зашифрованных файлов.

Распространение Nemty

Первоначально для распространения Nemty использовались наборы эксплойтов RIG и Radio EK. Кроме того, авторы вредоносного ПО использовали спам-рассылки для распространения вируса в основном в Корее и Китае. Именно в этих двух странах происходило основное количество заражений Nemty.

Однако с выходом новых версий вредоносной программы авторы угроз начали использовать новые методы распространения. Возможно, они пытались расширить сферу действия вредоносной программы и получить возможность заразить больше жертв.

Одним из таких методов является поддельный веб-сайт PayPal, который обещает сэкономить деньги за счет необычайно высокого cashback. Веб-сайт выглядит идентично настоящему PayPal и предлагает пользователям загрузить файл под названием "cashback.exe". Хотя ничего не подозревающие жертвы могут подумать, что они загружают приложение PayPal, на самом деле они устанавливают и запускают программу Nemty ransomware.

Кроме того, более поздние версии вредоносной программы распространяются с помощью ботнета Trik. По всей видимости, авторы Nemty заключили партнерство с людьми, стоящими за Trik, чтобы увеличить радиус своего действия.

Как обнаружить Nemty?

Чтобы определить, является ли рассматриваемый образец Nemty или нет, можно посмотреть на изменения, которые он внес в реестр. Если процесс создал значения с именами "cfg", "pbkey" или "fid" в ключе HKEY_CURRENT_USER\Software\NEMTY, можно быть уверенным, что данный образец является Nemty.

Заключение

Постоянная эволюция методов распространения, а также регулярные обновления доказывают, что это вредоносное ПО находится на стадии активного развития. Впервые появившись в 2019 году, Nemty является молодой угрозой, которая уже демонстрирует признаки сложного вредоносного ПО.

В сочетании с потенциальным использованием бизнес-модели Ransomware as a Service, которая делает это вредоносное ПО доступным для многих субъектов угроз по всему миру, эти факторы требуют, чтобы к этой угрозе не относились легкомысленно.

Одна из главных опасностей этой программы Ransomware заключается в методах доставки, выбранных злоумышленниками. В то время как почтовый спам помогает легко охватить миллионы потенциальных жертв, активное использование наборов эксплойтов позволяет злоумышленникам контролировать каждый шаг заражения.

Поэтому особенно важно, чтобы исследователи безопасности смогли оценить эту программу-вымогатель и продолжить разработку контрмер и шифровальщиков, таких как Avast Nemty.

Поделиться с друзьями
SEC-1275-1