最近出現了一個新的勒索病毒 Ransomware 家族,會使用副檔名 – Nemty進行加密。根據Bleeping Computer的一份報告,位在紐約的逆向工程師Vitali Kremez認為Nemty可能是通過暴露的遠端桌面連線散播。
雖然利用RDP來派送勒索病毒並非新鮮事,但跟網路釣魚技術比起來,這顯然是種更加危險的散播方法。一旦網路犯罪分子取得了較高的系統權限,就能夠自由進入系統,在使用者不知情下發動攻擊,就如同之前的SAMSAM勒索病毒一樣。
在2017年,惡意份子散播 Crysis勒索病毒到澳洲及紐西蘭中小企業及大型組織所用的方式就是RDP暴力破解攻擊。這類威脅不僅只是影響企業;趨勢科技監測技術從2018年開始就在家用電腦及個人裝置上偵測到超過 3,500萬次的暴力破解攻擊 – 其中有 85%是針對RDP。
刪除系統內被加密檔案的陰影複製
Nemty會植入勒贖通知來告知受害者要如何回復被加密的檔案,同時也會刪除系統內被加密檔案的陰影複製。根據Bleeping Computer自己的測試,Nemty要求了0.09981比特幣的贖金,在本文撰寫時約等於1,000美元。
這筆贖金是通過Tor網路上的支付網站處理。Nemty操作者警告說,到了截止日期仍未支付贖金會讓金額加倍。
根據Kremez的說法,勒索病毒能夠檢查受害者電腦是否位在俄羅斯、白俄羅斯、哈薩克、塔吉克或烏克蘭,不過這些國家的使用者並不會倖免於Nemty攻擊。Nemty會收集使用者的電腦名稱、使用者名稱、作業系統和電腦識別碼並回傳給操作者。
Kremez進一步檢查Nemty的程式碼後注意到一些有趣的事情:它的程式碼包含一個俄羅斯總統照片的連結,一個奇怪的 mutex名稱 – hate,還有一行程式碼關於“f*ckav”。這顯然是解碼base64字串和建立網址的關鍵。
用機器學習驅動的勒索病毒解決方案
當網路犯罪分子利用RDP入侵組織電腦時,他們可以停用防毒產品並在系統上部署勒索病毒。這比網路釣魚技術更加危險,因為勒索病毒攻擊不再需要使用者進行任何操作。使用者和組織都必須要了解最佳實作以降低或消除勒索病毒攻擊的相關風險。
在端點層級, 趨勢科技的Smart Protection Suite提供了如高保真機器學習(Machine learning,ML)、行為監控、應用程式控制及漏洞防護等多種功能來將此威脅的影響降到最低。趨勢科技的Deep Discovery Inspector可以偵測並封鎖網路上的勒索病毒,而趨勢科技Deep Security可以阻止勒索病毒進入企業伺服器 – 無論是實體、虛擬或雲端的伺服器。
結合了深度封包檢測及威脅信譽評比等技術,TippingPoint提供了組織主動式的安全防護,包含了打擊勒索病毒用的工具集。此外,趨勢科技的XGen安全防護技術提供跨世代融合的威脅防禦技術,能夠抵禦端點,網路,資料中心以及雲端環境所面臨的各種威脅。精準、最佳化、環環相扣的XGen防護技術驅動著趨勢科技一系列的防護解決方案:Hybrid Cloud Security(混合式雲端防護),User Protection(使用者防護)和Network Defense(內網防護)
🔴 個人用戶請使用 PC-cillin 雲端版,同時保護行動裝置或電腦 》即刻免費下載試用
入侵指標
| 雜湊值 | 趨勢科技預判式機器學習偵測名稱 | 趨勢科技病毒碼偵測名稱 |
| 703f5f6a5130868a7c3ec06b40b9f37656c86d24 | Troj.Win32.TRX.XXPE50FFF031 | Ransom.Win32.NEMTY.A |
@原文出處:Nemty Ransomware Possibly Spreads Through Exposed Remote Desktop Connections