NEMTY勒索病毒变种，勒索又窃密

前言

NEMTY勒索病毒是一款新型流行勒索病毒，首次发现于2019年8月21号，8月24号国外安全研究人员公布了此勒索病毒的相关信息，笔者在第一时间捕获到此勒索病毒1.0版本的病毒样本，并对样本进行了详细分析，随后这款勒索病毒快速发展，在不到半年的时间里，已经从1.0版本发展到了最新的2.5版本，期间经历1.0,1.4,1.5,1.6,2.0,2.2,2.3,

2.4等各种不同的变种版本，目前这款勒索病毒主要在韩国等地区非常活跃。

在分析这款勒索病毒最初始1.0版的样本的时候，发现这款勒索病毒与此前的GandCrab勒索病毒某些特征非常相似，同时通过逆向分析发现它与后面出现的Sodinokibi勒索病毒也有很多相似之处，这款勒索病毒的背后运营团队很有可能也是俄罗斯勒索病毒开发运营团伙，前段时间笔者在与朋友聊天中得知，此勒索病毒的运营团队可能正在一些地下传播渠道寻找这款勒索病毒的中国代理商，2020年这款勒索病毒会不会在国内流行，需要持续跟踪，目前发现的这款勒索病毒主要采用了以下传播方式，如下所示：

1.RDP端口

2.RIG、RadioEK等漏洞利用工具包

3.虚假PayPal网站

4.垃圾邮件

5.僵尸网络

笔者此前发现了它的一个变种版本2.4，通过了捆绑游戏破解软件的方式进行传播，捕获到的样本是一个压缩包，里面包含的样本，如下所示：

运行Mon.exe之后，如下所示：

Dark Moon是一款Steam平台上的生存策略游戏,Mon.exe会释放其他恶意程序，如下所示：

通过分析发现它会释放NEMTY2.4变种，NEMTY2.4版本变种采用了PowerShell命令行的方式删除磁盘卷影副本，如下所示：

加密后的文件，如下所示：

生成的勒索提示信息文件NEMTY_[随机7个数据或字母]-DECRYPT.txt，内容如下所示：

勒索解密网站，如下所示：

解密需要支付0.13988486(相当于1000美元)的BTC，如下所示：

黑客钱包地址：39nDcLMPB64REAu88Wkr8vcUHFDfbJT9Kn，同时该恶意软件还会释放AZORult窃密软件，盗取受害者主机文件等相关信息，如下所示：

此窃密软件的CC地址：511431mnogoznaallevangel16194.space，通过分析猜测捕获的这款NEMTY2.4版本的变种主要是针对韩国地区的个人游戏用户进行传播勒索，并盗取受害者虚拟钱包帐号，Skype聊天软件、Steam游戏帐号等相关信息

此前发现勒索病毒C&C控制面板后台地址：http://nemty.top/login.php(现已失效),如下所示：

C&C控制面板后台数据显示，如下所示：

最近笔者又发现了NEMTY勒索病毒最新的版本2.5，主要也是在韩国地区比较流行，勒索提示信息，如下所示：

此前写过一篇文章揭露最近几款流行勒索病毒的这种加密并窃密的新玩法，此前发现有两款勒索病毒，在传播的时候不仅仅通过勒索病毒加密受害者主机，还会利用窃密软件盗取受害者主机数据，前不久发现的Zeppelin(Buran)勒索病毒会通过AZORult窃密软件盗取数据，NEMTY2.4勒索病毒同样使用了这款窃密软件，同时Zeppelin(Buran)勒索病毒还会使用Vidar窃密木马。

前不久Sodinokibi勒索病毒已经首次公布受害者数据，开始效仿Maze，如果受害者不支付赎金，就在网上公开受害者大约337MB大小的数据，NEMTY勒索病毒运营团队也打算创建专门的博客网站，用于公布那些拒绝支付赎金的受害者数据，自从Maze勒索病毒开始以公布数据来强迫受害者交付赎金的新策略之后，Sodinokibi勒索病毒和NEMTY勒索病毒也已经开始使用这种策略。

到目前为止已经发现有五款勒索病毒采用勒索并盗窃用户数据，然后再通过公布这些数据逼迫受害者交赎金的这种新的方法进行勒索攻击，这五款勒索病毒分别为：Maze勒索病毒、Sodinokibi勒索病毒、NEMTY勒索病毒、Zeppelin（Buran)勒索病毒、DoppelPaymer勒索病毒，未来这种新型的勒索病毒攻击方式会不会被更多的勒索病毒运营团伙采用，需要持续跟踪关注，2020年勒索病毒攻击应该会更加激烈，各种流行勒索病毒运营团队会使用更多新的攻击方法和策略对企业进行勒索攻击。

2020年才刚刚开始，全球范围内就已经发现了多款新型的勒索病毒，主要针对企业进行勒索攻击，攻击的方法也在不断更新，最近发现的一款勒索病毒还利用驱动对抗杀毒软件，笔者一直在跟踪这些勒索病毒团伙，同时其它各种间谍窃密类软件也是层出不穷，企业要提高安全意识，做好相应的安全防范措施，以防被勒索病毒攻击。