Разработчики вымогателя Nemty продолжают активно работать над своим вредоносным ПО, стремясь повысить к нему интерес на подпольных форумах. Злоумышленники внесли изменения в характер его действий в системе жертвы. Теперь программа может не только шифровать файлы, но и завершать процессы и службы, мешающие выполнению этой задачи.

Впервые в поле зрения ИБ-специалистов Nemty попал в середине августа. За прошедший месяц вирусописатели успели выпустить новую версию зловреда под номером 1.4, в которой исправили найденные ошибки и добавили стоп-лист. Программа стала сворачивать свою деятельность, если целевая система находилась в России, Белоруссии, Казахстане, Таджикистане или Украине.

На днях ИБ-исследователь Виталий Кремез (Vitali Kremez) выяснил, что авторы шифровальщика, не меняя номер версии, внесли очередные коррективы. Пополнилось число географических регионов из стоп-листа: к ним добавились Азербайджан, Армения, Молдавия и Киргизия.

Однако основным нововведением стала функция, которая делает поведение Nemty гораздо более агрессивным. Добавленный разработчиками код может принудительно завершать запущенные в системе процессы, чтобы в числе прочих можно было шифровать и файлы, открытые жертвой. Основными целями зловреда являются девять программ и служб Windows, в том числе текстовые редакторы WordPad и Microsoft Word, приложение Microsoft Excel, почтовые клиенты Microsoft Outlook и Mozilla Thunderbird, служба SQL и ПО виртуализации VirtualBox.

Как отмечает издание Bleeping Computer, два последних пункта в этом списке дают повод думать, что в качестве потенциальных жертв преступников больше всего интересуют крупные компании и корпорации.

Кроме того, по мнению автора Bleeping Computer Ионута Иласку (Ionut Ilascu), есть основания полагать, что злоумышленники не остановятся и в поиске наиболее эффективных путей доставки вредоноса в целевые системы. На текущий момент они уже протестировали заражение через уязвимые RDP-подключения, а также при помощи фальшивой страницы PayPal. Так как преступники уже пользовались одним из эксплойт-паков — RIG, использующим уязвимости в Internet Explorer, Java, Adobe Flash и Silverlight, — возможно, они прибегнут и к другим наборам эксплойтов.

Категории: Аналитика, Вредоносные программы