Пользователям RDP угрожает вымогатель Nemty. Помимо шифрования данных, зловред определяет географическую принадлежность зараженных компьютеров, отправляя операторам системные данные машин из  России, Беларуси, Казахстана, Таджикистана и Украины.

Технические возможности Nemty

Программа шифрует пользовательские данные, добавляя им расширение *.nemty, и удаляет теневые тома Windows, после чего жертва не может восстановиться из резервной копии. За возвращение информации преступники требуют 0,09981 BTC (около 68 тыс. рублей по курсу на день публикации), отправляя пользователей, желающих заплатить выкуп, на сайт в сети Tor.

Изучавшие устройство Nemty обратили внимание на несколько необычных артефактов. Так, вирусописатели обозначили отвечающий за теневые тома мьютекс как hate, а для расшифровки base64-запросов и генерации URL преступники использовали ключ fuckav, что можно расценивать как заявление в адрес антивирусных экспертов.

Незащищенные RDP-соединения под угрозой

Nemty распространяется через уязвимые RDP-подключения. Этот канал пользуется популярностью у вымогателей — удаленные соединения атакуют шифровальщики SamSam, Scarab и Matrix, а зловред CommonRansom требует у пользователей предоставить ему доступ для возвращения данных в исходный вид.

По словам ИБ-экспертов, у незащищенного RDP-хоста нет шансов избежать атаки. Как показало исследование, злоумышленники обнаруживают такие машины за 90 секунд и пытаются взломать их по десять раз в минуту.

Категории: Вредоносные программы