SOS :: Security Operation Space
15 октября, вторник, 00:00
|
Hot News:

Шифровальщик Nemty продолжает активно развиваться

16 сентября 2019 г., понедельник, 15:22

Зловред научился останавливать процессы и службы Windows, а также расширил стоп-лист стран бывшего СНГ.

Разработчики вымогателя Nemty продолжают активно работать над своим вредоносным ПО, стремясь повысить к нему интерес на подпольных форумах. Злоумышленники внесли изменения в характер его действий в системе жертвы. Теперь программа может не только шифровать файлы, но и завершать процессы и службы, мешающие выполнению этой задачи.

Впервые в поле зрения ИБ-специалистов Nemty попал в середине августа. За прошедший месяц вирусописатели успели выпустить новую версию зловреда под номером 1.4, в которой исправили найденные ошибки и добавили стоп-лист. Программа стала сворачивать свою деятельность, если целевая система находилась в России, Белоруссии, Казахстане, Таджикистане или Украине.

На днях ИБ-исследователь Виталий Кремез (Vitali Kremez) выяснил, что авторы шифровальщика, не меняя номер версии, внесли очередные коррективы. Пополнилось число географических регионов из стоп-листа: к ним добавились Азербайджан, Армения, Молдавия и Киргизия.

Однако основным нововведением стала функция, которая делает поведение Nemty гораздо более агрессивным. Добавленный разработчиками код может принудительно завершать запущенные в системе процессы, чтобы в числе прочих можно было шифровать и файлы, открытые жертвой. Основными целями зловреда являются девять программ и служб Windows, в том числе текстовые редакторы WordPad и Microsoft Word, приложение Microsoft Excel, почтовые клиенты Microsoft Outlook и Mozilla Thunderbird, служба SQL и ПО виртуализации VirtualBox.

Как отмечает издание Bleeping Computer, два последних пункта в этом списке дают повод думать, что в качестве потенциальных жертв преступников больше всего интересуют крупные компании и корпорации.

Кроме того, по мнению автора Bleeping Computer Ионута Иласку (Ionut Ilascu), есть основания полагать, что злоумышленники не остановятся и в поиске наиболее эффективных путей доставки вредоноса в целевые системы. На текущий момент они уже протестировали заражение через уязвимые RDP-подключения, а также при помощи фальшивой страницы PayPal. Так как преступники уже пользовались одним из эксплойт-паков — RIG, использующим уязвимости в Internet Explorer, Java, Adobe Flash и Silverlight, — возможно, они прибегнут и к другим наборам эксплойтов.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:03
13:15
10:15
09:15
08:15
07:15
06:15
05:38
17:15
15:59
15:15
14:15
12:15
10:15
09:15
08:15
07:15
06:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.355
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.