꿈을꾸는 파랑새

오늘은 Nemty Ransomware(넴티 랜섬웨어) 감염 증상 및 예방 방법에 대해 알아보겠습니다. 해당 랜섬웨어 이름이 아마도 이집트 신화에서 뱃사공의 수호신 넴티(Nemty)에 나오지 않았나 싶습니다. 해당 랜섬웨어는 RDP를 사용할 수 있는 백신 솔루션들을 도발하는 것이 특징입니다. 그리고 덤으로 러시아 대통령인 푸틴 대통령이 나오면 해당 푸틴 대통령 사진에 러시아 어로 글이 적혀져 있지만, 러시아 어를 할 줄 모르는 관계로 러시아 어는 번역은 생략합니다. 개인적으로 그냥 욕인 것 같습니다.
그리고 기본적으로 랜섬웨어들과 같이 암호화를 진행하고 나면 윈도우 시스템복원지점인 섀도우 복사본을 삭제하여 Windows 운영 체제에서 생성 한 데이터 버전을 복구할 가능성을 줄여버립니다. 기본적으로 랜섬웨어에 감염이 되고 복구가 되는데 드는 비트코인은 몸값은 0.09981 BTC 입니다. 대충 1,000 달러 정도입니다. 암호화를 풀려면 익명성을 위해 Tor 브라우저 네트워크에서 호스팅 되며 사용자는 구성 파일을 올리기 해야 합니다.
상호 배타적 (mutex) 객체는 프로그램이 한 번에 하나의 실행 스레드에 액세스하여 리소스를 제어할 수 있도록 하는 플래그입니다.
Nemty Ransomware(Nemty 랜섬웨어)의 코드에서는 블라디미르 푸틴 의 사진이 있는 링크를 합니다. 그리고 코드에서는 백신프로그램 업계에 대한 직접적인 메시지가 있습니다. 예를 들어 Fxxx욕이 들어가 져 있습니다. 그리고 해당 랜섬웨어는 러시아(Russia), 벨로루시(Belarus), 카자흐스탄(Kazakhstan), 타지키스탄(Tajikistan),우크라이나(Ukraine) 컴퓨터 사용자들은 감염되지 않는 것이 특징입니다. 즉 해당 윈도우 언어 설정이 해당 러시아, 벨로루시, 카자흐스탄, 타지키스탄, 우크라이나 일 경우에는 감염되지 않습니다. 그리고 악성코드에 감염되면 컴퓨터 이름, 사용자 이름, 운영 체제 및 컴퓨터 ID가 포함된 공격자에게 데이터를 전송을 합니다. 그리고 RDP 연결을 활용하기 때문에 공격자가 더는 피해자가 악성코드에 감염되기 기다릴 필요가 줄어듭니다.
해당 랜섬웨어에 감염이 되면 랜섬웨어 노트는 다음과 같습니다.

Nemty Ransomware(넴티 랜섬웨어) 랜섬 노트Nemty Ransomware(넴티 랜섬웨어) 랜섬 노트

---=== NEMTY PROJECT ===---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has extension .nemty
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will not cooperate with us.
It's not in our interests.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.
In practise - time is much more valuable than money.
[+] How to get access on website? [+]
1) Download and install TOR browser from this site: https://torproject.org/
2) Open our website: zjoxyw5mkacojk5ptn2iprkivg5clow72mjkyk5ttubzxprjjnwapkad.onion/pay
When you open our website, follow the instructions and you will get your files back.
입니다.
랜섬웨어가 제외하는 폴더와 파일은 다음과 같습니다.
$RECYCLE.BIN,rsa,NTDETECT.COM,ntldr,MSDOS.SYS,IO.SYS,boot.ini,AUTOEXEC.BAT,ntuser.dat,desktop.ini,CONFIG.SYS,RECYCLER,BOOTSECT.BAK,bootmgr,programdata,appdata,windows,Microsoft,Common Files,nemty,log,cab,cmd,com,cpl,exe,ini,INI,dll,lnk,url,ttf,DECRYPT.txt입니다.
그리고 앞서 이야기한 것처럼 새도우 복사복을 삭제를 하는 명령어를 실행합니다.
cmd.exe/c vssadmin.exe delete shadows/all/quiet & bcdedit/set{default}bootstatuspolicy ignoreallfailures&bcdedit /set {default}recoveryenabled no&wbadmin delete catalog -quiet & wmic shadowcopy delete
푸틴 대통령 사진 링크는 다음과 같습니다.
ht??s://pbs.twimg.com/media/Dn4vwaRW0AY-tUu.jpg:large
그러면 다음과 같은 푸틴 대통령 사진이 나오는 것을 볼 수가 있습니다.

Nemty Ransomware(넴티 랜섬웨어) 푸틴 대통령 사진Nemty Ransomware(넴티 랜섬웨어) 푸틴 대통령 사진

그리고 암호화하는 파일 목록은 다음과 같습니다.
PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB SQL. .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD .DWG .DXF GIS.GPX .KML .KMZ .ASP .ASPX .CER .CFM. .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN ​​.PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF.  .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA 동영상 파일 .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG RM .SRT .SWF .VD .WM .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO. .SYS .CFG
일단 랜섬웨어에 감염이 되지 않으려면 기본적으로 윈도우 업데이트, 자신이 Java를 사용하고 있다면 해당 프로그램은 최신 갱신, AdobeFlashPlayer 도 마찬가지로 최신업데이트, 자신이 사용하는 모든 프로그램은 최신 업데이트로 해서 사용을 하시면 됩니다. 그리고 출처가 불분명한 사이트에서는 파일을 다운로드 및 실행 동영상 다운로드 실행을 하는 것은 자제해야 합니다. 즉 기본적인 보안수칙을 지키면 감염을 최소화할 수가 있습니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band