概述

近日，奇安信病毒響應中心發現Nemty勒索家族新變種開始肆虐，目前已經監測到國內有用戶陸續中招，由於新變種暫無解密工具，我們提醒政企用戶多加防範。

Nemty勒索在國內主要通過弱口令爆破的方式進行傳播，本次捕獲到的新變種爲2.2版本，添加的文件名後綴. NEMTY_<random{7}>。相較於之前版本，除了代碼結構的改變，新變種同時提供了Tor瀏覽器和Web瀏覽器兩種溝通模式，而且限定了交易時間，如果三個月內不支付贖金，網站將會停止支付贖金服務可能導致數據永久損失。

簡要分析

Nemty自從被發現以來一直被修改，代碼完成度不高，與流行的勒索家族相比成熟度較低，導致了其受到了地下分發商以及高級會員的懷疑，所以Nemty至今並沒有大規模擴散的現象。但是自從十一月以來，根據奇安信多維度大數據關聯分析，我們發現Nemty開始與Phorpiex殭屍網絡進行合作。Phorpiex主要以分發色情郵件而聞名，在最近的更新中新增了SMB爆破模塊，執行過程中會根據%appdata%目錄下是否存在winsvcs.txt文件來判斷Nemty是否已經下載。

使用的SMB弱口令整理如下

如果爆破成功則會將Nemty傳播到遠程計算機，並重複檢查Nemty進程

樣本執行過程中會創建“just_a_little_game”互斥量

調用CMD刪除卷影

獲取本機相關信息

區域豁免

生成RSA密鑰對

結束指定進程和服務

創建註冊表項寫入相關信息

在每個目錄下生成勒索信，內容如下

之後開始加密文件，排除特定目錄及文件

完成之後向遠程服務器發送信息

勒索網站頁面如下

小結

隨着Nemty的代碼越來越成熟，可以預見未來會有越來越多的地下分發商與之合作，奇安信病毒響應中心會持續對該勒索家族進行追蹤。

安全建議

我們建議政企用戶參考以下建議加強防範

1、 對重要數據和文件按時進行備份
2、 及時給電腦打補丁，修復漏洞
3、 不要點擊來源不明的郵件，不要從不明網站下載軟件（使用奇安信企業軟件管家）
4、 關閉不必要的文件共享以及相關端口，如445，135，139等，如果業務沒有需要的話儘量關閉3389端口或者給3389端口設置白名單配置。
5、 採用高強度的密碼，不要使用弱口令，保證每臺服務器的密碼都不相同，每隔一段時間更換密碼

IOC

文件MD5：

fed493a6653bbe8f6ad456e2e0d1d5d3

錢包地址：

38rz9y1dZPTqM4s27PENRgmbyYeM7vhTii

域名：

nemty.top

nemty10.hk

*本文作者：奇安信威脅情報中心，轉載請註明來自FreeBuf.COM

相關文章