信息來源：FreeBuf

概述

Nemty勒索在國內主要通過弱口令爆破的方式進行傳播，本次捕獲到的新變種為2.2版本，添加的文件名后綴. NEMTY_<random{7}>。相較于之前版本，除了代碼結構的改變，新變種同時提供了Tor瀏覽器和Web瀏覽器兩種溝通模式，而且限定了交易時間，如果三個月內不支付贖金，網(wǎng)站將會停止支付贖金服務可能導致數(shù)據(jù)永久損失。

簡要分析

Nemty自從被發(fā)現(xiàn)以來一直被修改，代碼完成度不高，與流行的勒索家族相比成熟度較低，導致了其受到了地下分發(fā)商以及高級會員的懷疑，所以Nemty至今并沒有大規(guī)模擴散的現(xiàn)象。但是自從十一月以來，根據(jù)奇安信多維度大數(shù)據(jù)關聯(lián)分析，我們發(fā)現(xiàn)Nemty開始與Phorpiex僵尸網(wǎng)絡進行合作。Phorpiex主要以分發(fā)色情郵件而聞名，在最近的更新中新增了SMB爆破模塊，執(zhí)行過程中會根據(jù)%appdata%目錄下是否存在winsvcs.txt文件來判斷Nemty是否已經(jīng)下載。

使用的SMB弱口令整理如下

如果爆破成功則會將Nemty傳播到遠程計算機，并重復檢查Nemty進程

樣本執(zhí)行過程中會創(chuàng)建“just_a_little_game”互斥量

調用CMD刪除卷影

獲取本機相關信息

區(qū)域豁免

生成RSA密鑰對

結束指定進程和服務

創(chuàng)建注冊表項寫入相關信息

在每個目錄下生成勒索信，內容如下

之后開始加密文件，排除特定目錄及文件

完成之后向遠程服務器發(fā)送信息

勒索網(wǎng)站頁面如下

小結

隨著Nemty的代碼越來越成熟，可以預見未來會有越來越多的地下分發(fā)商與之合作，奇安信病毒響應中心會持續(xù)對該勒索家族進行追蹤。

安全建議

我們建議政企用戶參考以下建議加強防范

1、 對重要數(shù)據(jù)和文件按時進行備份

2、 及時給電腦打補丁，修復漏洞

3、 不要點擊來源不明的郵件，不要從不明網(wǎng)站下載軟件

4、 關閉不必要的文件共享以及相關端口，如445，135，139等，如果業(yè)務沒有需要的話盡量關閉3389端口或者給3389端口設置白名單配置。

5、 采用高強度的密碼，不要使用弱口令，保證每臺服務器的密碼都不相同，每隔一段時間更換密碼