信息來(lái)源：FreeBuf

概述

Nemty勒索在國(guó)內(nèi)主要通過(guò)弱口令爆破的方式進(jìn)行傳播，本次捕獲到的新變種為2.2版本，添加的文件名后綴. NEMTY_<random{7}>。相較于之前版本，除了代碼結(jié)構(gòu)的改變，新變種同時(shí)提供了Tor瀏覽器和Web瀏覽器兩種溝通模式，而且限定了交易時(shí)間，如果三個(gè)月內(nèi)不支付贖金，網(wǎng)站將會(huì)停止支付贖金服務(wù)可能導(dǎo)致數(shù)據(jù)永久損失。

簡(jiǎn)要分析

Nemty自從被發(fā)現(xiàn)以來(lái)一直被修改，代碼完成度不高，與流行的勒索家族相比成熟度較低，導(dǎo)致了其受到了地下分發(fā)商以及高級(jí)會(huì)員的懷疑，所以Nemty至今并沒(méi)有大規(guī)模擴(kuò)散的現(xiàn)象。但是自從十一月以來(lái)，根據(jù)奇安信多維度大數(shù)據(jù)關(guān)聯(lián)分析，我們發(fā)現(xiàn)Nemty開(kāi)始與Phorpiex僵尸網(wǎng)絡(luò)進(jìn)行合作。Phorpiex主要以分發(fā)色情郵件而聞名，在最近的更新中新增了SMB爆破模塊，執(zhí)行過(guò)程中會(huì)根據(jù)%appdata%目錄下是否存在winsvcs.txt文件來(lái)判斷Nemty是否已經(jīng)下載。

使用的SMB弱口令整理如下

如果爆破成功則會(huì)將Nemty傳播到遠(yuǎn)程計(jì)算機(jī)，并重復(fù)檢查Nemty進(jìn)程

樣本執(zhí)行過(guò)程中會(huì)創(chuàng)建“just_a_little_game”互斥量

調(diào)用CMD刪除卷影

獲取本機(jī)相關(guān)信息

區(qū)域豁免

生成RSA密鑰對(duì)

結(jié)束指定進(jìn)程和服務(wù)

創(chuàng)建注冊(cè)表項(xiàng)寫(xiě)入相關(guān)信息

在每個(gè)目錄下生成勒索信，內(nèi)容如下

之后開(kāi)始加密文件，排除特定目錄及文件

完成之后向遠(yuǎn)程服務(wù)器發(fā)送信息

勒索網(wǎng)站頁(yè)面如下

小結(jié)

隨著Nemty的代碼越來(lái)越成熟，可以預(yù)見(jiàn)未來(lái)會(huì)有越來(lái)越多的地下分發(fā)商與之合作，奇安信病毒響應(yīng)中心會(huì)持續(xù)對(duì)該勒索家族進(jìn)行追蹤。

安全建議

我們建議政企用戶參考以下建議加強(qiáng)防范

1、 對(duì)重要數(shù)據(jù)和文件按時(shí)進(jìn)行備份

2、 及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞

3、 不要點(diǎn)擊來(lái)源不明的郵件，不要從不明網(wǎng)站下載軟件

4、 關(guān)閉不必要的文件共享以及相關(guān)端口，如445，135，139等，如果業(yè)務(wù)沒(méi)有需要的話盡量關(guān)閉3389端口或者給3389端口設(shè)置白名單配置。

5、 采用高強(qiáng)度的密碼，不要使用弱口令，保證每臺(tái)服務(wù)器的密碼都不相同，每隔一段時(shí)間更換密碼