باجافزار جدیدی در حال انتشار است که پس از رمزگذاری فایلهای ذخیره شده بر روی سیستم اقدام به الصاق پسوند nemty به آنها میکند. موضوعی که سبب نامگذاری این باجافزار به Nemty شده است.
اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop – به اختصار RDP – به دستگاههای با رمز عبور ضعیف و اجرای فایل مخرب باجافزار روش انتشار Nemty گزارش شده است. در یک سال اخیر، بهره گیری از پودمان RDP به یکی از اصلیتری روشهای انتشار باجافزارها به خصوص توسط مهاجمان حرفه ای تبدیل شده است. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای کشور (ماهر) نیز به دفعات نسبت به تشدید حملات باجافزاری از طریق این پودمان هشدار داده است.
به گزارش شرکت مهندسی شبکه گستر، Nemty در ازای آنچه که بازگرداندن فایلها به حالت اولیه میخواند مبلغ 0.09981 بیتکوین را از قربانی اخاذی میکند.
فرایند پرداخت در سامانهای صورت میگیرد که در شبکه ناشناس Tor میزبانی شده است. همچنین قابلیتی برای گفتگوی اینترنتی با مهاجم یا مهاجمان پشت پرده این باجافزار در نظر گرفته شده است.
Nemty همچون بسیاری از باجافزارهای دیگر اقدام به حذف فایلهای موسوم به Shadow Copy میکند.
ضمن اینکه از رمزگذاری فایلهای با نام و پسوند DECRYPT.txt و فایلهای با هر یک از پسوندهای زیر پرهیز میکند:
nemty, log, LOG, CAB, cab, CMD, cmd, COM, com, cpl, CPL, exe, EXE, ini, INI, dll, DLL, lnk, LNK, url, URL, ttf, TTF
بخشی از کد Nemty حاوی لینک به تصویری از ولادیمیر پوتین، رییس جمهور روسیه است. البته نوشتههای روسی درج شده بر روی تصویر نشان میدهد که درج لینک نه از روی علاقه که احتمالا از روی نفرت صورت گرفته است.
در بخشی دیگر از کد نیز با عبارتی غیرمؤدبانه به صنعت ضدویروس تاخته شده است.
بسیاری از باجافزارهای با اصالت روسی اطمینان حاصل میکنند که دستگاه آلوده شده در کشوری از کشورهای عضو سابق اتحاد جماهیر شوروی قرار نداشته باشد. در غیر این صورت اجرای خود را با این هدف که گرفتار قوانین مشترک بین این کشورها نشوند متوقف میکنند. Nemty نیز بررسی میکند که آیا دستگاه در یکی از کشورهای روسیه، بلاروس، قزاقستان، تاجیکستان و اوکراین قرار دارد یا خیر. اما نه با این قصد که به فایلهای آنها دستدرازی نکند. بلکه علاوه بر رمزگذاری، مشخصههای بیشتری را از روی دستگاههای این کشورها جمعآوری میکند!
لازم به ذکر است که Nemty با نامهای زیر قابل شناسایی است:
Bitdefender:
– Trojan.GenericKD.41613105
McAfee:
– RDN/Ransom
Sophos:
– Mal/Generic-S
اطلاعات بیشتر در خصوص Nemty در اینجا قابل دریافت و مطالعه است.
همچون همیشه بکارگیری روشهای پیشگیرانه در مقابله با باجافزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند این بدافزارهای مخرب توصیه میشود.