新的恶意软件Nemty Ransomware出现在威胁场景中

华盟君引言“上周末，一款名为Nemty的新勒索软件出现在威胁场景中，它通过受损的RDP连接传播。”

上周末，恶意软件研究人员发现了一种名为Nemty勒索软件的新勒索软件。勒索软件的名称出现在它添加到加密文件名的扩展名之后，恶意代码还删除了它们的影子副本，使任何恢复过程都不可能进行。

下面是加密过程完成后由Nemty勒索软件释放的赎金通知。攻击者要求通过托管在Tor网络上的门户支付0.09981 BTC赎金(约1000美元)。

在BleepingComputer的测试中，赎金需求为0.09981 BTC，目前约为1000美元。最先报道该消息的BleepingComputer报道。

“为了匿名，支付门户托管在Tor网络上，用户必须上传自己的配置文件。”

受害者可以上传他们的配置文件，然后，勒索软件背后的操作人员将提供到另一个网站的链接，该网站附带聊天功能和更多关于需求的信息。

流行的恶意软件研究人员维塔利·克雷米兹(Vitali Kremez)发现，Nemty勒索软件对互斥对象使用了一个不同寻常的名称“恨”。

该代码还包括一个指向俄罗斯总统普京的图像的链接，以及向反病毒行业发送的一条信息。

克列米兹在Nemty的代码中注意到的另一件奇怪的事情是，他链接到了一张普京的照片，标题是:“我把你加到(侮辱)名单上了，但现在只是用铅笔。”“继续BleepingComputer。

“起初，这段代码中的引用看起来很奇怪，但再看看Nemty是如何工作的，就会发现它是解码base64字符串和创建url的关键，这向反病毒行业传递了一条直接的信息。”

恶意软件还会检查勒索软件是否感染了俄罗斯、白俄罗斯、哈萨克斯坦、塔吉克斯坦和乌克兰的计算机，但与其他威胁不同的是，这些信息不会被用来阻止加密过程。

根据Kremez的说法，勒索软件是通过受损的远程桌面连接被删除的。