Пользователям RDP угрожает вымогатель Nemty. Помимо шифрования данных, зловред определяет географическую принадлежность зараженных компьютеров, отправляя операторам системные данные машин из России, Беларуси, Казахстана, Таджикистана и Украины.
Технические возможности Nemty.
Программа шифрует пользовательские данные, добавляя им расширение *.nemty, и удаляет теневые тома Windows, после чего жертва не может восстановиться из резервной копии. За возвращение информации преступники требуют 0,09981 BTC, отправляя пользователей, желающих заплатить выкуп, на сайт в сети Tor.
Изучавшие устройство Nemty обратили внимание на несколько необычных артефактов. Так, вирусописатели обозначили отвечающий за теневые тома мьютекс как hate, а для расшифровки base64-запросов и генерации URL преступники использовали ключ fuckav, что можно расценивать как заявление в адрес антивирусных экспертов.
Незащищенные RDP-соединения под угрозой.
Nemty распространяется через уязвимые RDP-подключения. Этот канал пользуется популярностью у вымогателей — удаленные соединения атакуют шифровальщики SamSam, Scarab и Matrix, а зловред CommonRansom требует у пользователей предоставить ему доступ для возвращения данных в исходный вид.
По словам ИБ-экспертов, у незащищенного RDP-хоста нет шансов избежать атаки. Как показало исследование, злоумышленники обнаруживают такие машины за 90 секунд и пытаются взломать их по десять раз в минуту.
Технические возможности Nemty.
Программа шифрует пользовательские данные, добавляя им расширение *.nemty, и удаляет теневые тома Windows, после чего жертва не может восстановиться из резервной копии. За возвращение информации преступники требуют 0,09981 BTC, отправляя пользователей, желающих заплатить выкуп, на сайт в сети Tor.
Изучавшие устройство Nemty обратили внимание на несколько необычных артефактов. Так, вирусописатели обозначили отвечающий за теневые тома мьютекс как hate, а для расшифровки base64-запросов и генерации URL преступники использовали ключ fuckav, что можно расценивать как заявление в адрес антивирусных экспертов.
Незащищенные RDP-соединения под угрозой.
Nemty распространяется через уязвимые RDP-подключения. Этот канал пользуется популярностью у вымогателей — удаленные соединения атакуют шифровальщики SamSam, Scarab и Matrix, а зловред CommonRansom требует у пользователей предоставить ему доступ для возвращения данных в исходный вид.
По словам ИБ-экспертов, у незащищенного RDP-хоста нет шансов избежать атаки. Как показало исследование, злоумышленники обнаруживают такие машины за 90 секунд и пытаются взломать их по десять раз в минуту.
