Nemty Ransomware (шифрувальник-вимагач) набирає обертів.
Активність цього крипто-вимагача припала на другу половину серпня 2019 року. Хоч орієнтований на англомовних користувачів, це не заважає поширювати його по всьому світу.
Цей крипто-вимагач шифрує дані користувачів за допомогою AES, а потім вимагає викуп в $1000 (~ 0.099 BTC), щоб повернути файли. До зашифрованих файлів додається розширення: .nemty. Написаний: на C ++ (версія 1.0). Розробка тих же авторів, які раніше поширювали JSWorm.
Записка з вимогою викупу називається: NEMTY-DECRYPT.txt
Початкове поширення проводиться через сайти кібер-підпілля.Може поширюватися шляхом злому через незахищену конфігурацію RDP, за допомогою email-спаму і шкідливих вкладень, обманних завантажень, ботнетів, експлойтів (Rig EK), шкідливої реклами, веб-інжектів, фальшивих оновлень, перепакованих і заражених інсталяторів.
Видаляє тіньові копії файлів, відключає функції відновлення та виправлення Windows на етапі завантаження командами:
vssadmin.exe delete shadows / all / quiet & bcdedit / set {default} bootstatuspolicy ignoreallfailures & bcdedit / set {default} recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete
Служба захисту користувачів (User Account Control – UAC) не оминає, потрібен дозвіл на запуск.
Одна із останніх новин стосувалась сайту PayPal: https://www.bleepingcomputer.com/news/security/fake-paypal-site-spreads-nemty-ransomware/
