نماد سایت اتاق خبر شبکه گستر

باج‌افزاری نه چندان مؤدب که از طریق RDP منتشر می‌شود

باج افزار

باج‌افزار جدیدی در حال انتشار است که پس از رمزگذاری فایل‌های ذخیره شده بر روی سیستم اقدام به الصاق پسوند nemty به آنها می‌کند. موضوعی که سبب نامگذاری این باج‌افزار به Nemty شده است.

اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop – به اختصار RDP – به دستگاه‌های با رمز عبور ضعیف و اجرای فایل مخرب باج‌افزار روش انتشار Nemty گزارش شده است. در یک سال اخیر، بهره گیری از پودمان RDP به یکی از اصلی‌تری روش‌های انتشار باج‌افزارها به خصوص توسط مهاجمان حرفه ای تبدیل شده است. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای کشور (ماهر) نیز به دفعات نسبت به تشدید حملات باج‌افزاری از طریق این پودمان هشدار داده است.

به گزارش شرکت مهندسی شبکه گستر، Nemty در ازای آنچه که بازگرداندن فایل‌ها به حالت اولیه می‌خواند مبلغ 0.09981 بیت‌کوین را از قربانی اخاذی می‌کند.

فرایند پرداخت در سامانه‌ای صورت می‌گیرد که در شبکه ناشناس Tor میزبانی شده است. همچنین قابلیتی برای گفتگوی اینترنتی با مهاجم یا مهاجمان پشت پرده این باج‌افزار در نظر گرفته شده است.

Nemty همچون بسیاری از باج‌افزارهای دیگر اقدام به حذف فایل‌های موسوم به Shadow Copy می‌کند.

ضمن اینکه از رمزگذاری فایل‌های با نام و پسوند DECRYPT.txt و فایل‌های با هر یک از پسوندهای زیر پرهیز می‌کند:

nemty, log, LOG, CAB, cab, CMD, cmd, COM, com, cpl, CPL, exe, EXE, ini, INI, dll, DLL, lnk, LNK, url, URL, ttf, TTF

بخشی از کد Nemty حاوی لینک به تصویری از ولادیمیر پوتین، رییس جمهور روسیه است. البته نوشته‌های روسی درج شده بر روی تصویر نشان می‌دهد که درج لینک نه از روی علاقه که احتمالا از روی نفرت صورت گرفته است.

در بخشی دیگر از کد نیز با عبارتی غیرمؤدبانه به صنعت ضدویروس تاخته شده است.

بسیاری از باج‌افزارهای با اصالت روسی اطمینان حاصل می‌کنند که دستگاه آلوده شده در کشوری از کشورهای عضو سابق اتحاد جماهیر شوروی قرار نداشته باشد. در غیر این صورت اجرای خود را با این هدف که گرفتار قوانین مشترک بین این کشورها نشوند متوقف می‌کنند. Nemty نیز بررسی می‌کند که آیا دستگاه در یکی از کشورهای روسیه، بلاروس، قزاقستان، تاجیکستان و اوکراین قرار دارد یا خیر. اما نه با این قصد که به فایل‌های آنها دست‌درازی نکند. بلکه علاوه بر رمزگذاری، مشخصه‌های بیشتری را از روی دستگاه‌های این کشورها جمع‌آوری می‌کند!

لازم به ذکر است که Nemty با نام‌های زیر قابل شناسایی است:

Bitdefender:
   – Trojan.GenericKD.41613105

McAfee:
   – RDN/Ransom

Sophos:
   – Mal/Generic-S

اطلاعات بیشتر در خصوص Nemty در اینجا قابل دریافت و مطالعه است.

همچون همیشه بکارگیری روش‌های پیشگیرانه در مقابله با باج‌افزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند این بدافزارهای مخرب توصیه می‌شود.

خروج از نسخه موبایل