一个来自Nemty勒索病毒家族的样本代码中隐藏了针对反病毒行业措辞强烈的信息。
通过对威胁的研究,Bleeping Computer发现勒索软件删除了加密文件的影子副本。这一操作可防止受害者自行恢复文件数据。在完成加密程序后,恶意加密软件将显示赎金票据,引导受害者访问在Tor网络上托管的支付门户网站,并提交0.09981BTC(价值1010.74美元)的赎金以换取相应的解密工具。
然而,这款勒索病毒与家族其他成员不同的是,在它的代码中隐藏了一些信息。首先,Bleeping Computer发现样本采用“hate”作为互斥量对象的名称。其次,研究人员注意到Nemty如何使用针对反病毒行业的措辞强烈的消息作为解密base64字符串并创建URL的密钥的名称。
看看其他病毒隐藏的信息
Nemty并不是唯一的在代码中隐藏信息的恶意程序。例如,2015年的12月,Emsisoft在分析一款Radamant勒索软件变种时,发现其命令和控制(C&C)服务器的可执行文件和域名使用了对安全公司表示不满的字符串。几个月后,在2016年6月,这家反病毒软件提供商偶然发现一个病毒样本中包含针对研究人员的侮辱性的启示录。 这与Bleeping Computer报道Black Shades 加密勒索软件样本大致相同,该软件使用隐藏的信息嘲讽正在分析它的研究人员。
如何预防Nemty 勒索软件
在类似Nemty勒索软件发起真正的攻击之前,安全行业专家通过制定并实施事件响应计划加强企业的防范能力。
管理者应持续关注员工的教育,通过引入安全意识培训计划帮助员工学习关于钓鱼攻击,勒索软件和其他威胁的知识。
来源:https://blog.csdn.net/laowu8615/article/details/100119432