产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
Nemty v2.5借Phorpiex僵尸网络传播,可监视剪贴板劫持虚拟币交易
2020-02-13 07:00:11
一、概述
近日,腾讯安全御见威胁情报中心监测到,Nemty勒索病毒最新变种依靠Phorpiex僵尸网络投递再度活跃。NEMTY勒索病毒出现于2019年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。跟僵尸网络的合作使该病毒的传播能力更强,被Nemty勒索病毒加密的文件暂无法解密, 我们建议政企机构注意防范。
Nemty变种病毒加密文件完成后会添加“.NEMTY_random_7个随机字符”扩展名后缀,该病毒在2019年国庆期间与Phorpiex僵尸网络曾有一次合作,导致国内感染量一度爆发增长,多家企业因此受损。
时隔数月后,NEMTY v2.5病毒版本再次与Phorpiex狼狈为奸,导致国内多个省市已有被攻击案例。由于NEMTY勒索病毒使用RSA+AES方式加密文件,暂时无有效解密工具。同时由于Phorpiex僵尸网络具备监视剪贴板劫持虚拟币交易的能力,会导致受害者支付赎金时被Phorpiex打劫,致交易赎金无法支付到Nemty运营团伙提供的地址,从而使受害者损失加倍,我们提醒各政企机构务必提高警惕。
Nemty 勒索病毒的感染趋势
Nemty勒索病毒的影响范围
二、分析
分析国内近期活跃Nemty均为2.5版本的勒索病毒,通过腾讯安图高级威胁追溯系统溯源,本次活跃Nemty家族样本投递地址为IP:92.63.197.190。
27dba86c54407cb0e5891f2dacdc70ef(Nemty 2.5)
a5d962de3761c8ed95e97d49dcde8f12(Nemty 2.5)
进一步溯源后可发现,Nemty勒索病毒由恶意脚本代码执行后下载而来,恶意脚本会使用PowerShell或者Bitsadmin下载名为jp.exe的恶意勒索模块到temp目录执行,该脚本同样被投递在IP地址:92.63.197.190上,phorpiex根据历史分析,也常使用PowerShell或者Bitsadmin恶意命令通过VNC爆破传播。
913e1ce18aa6c620dbf33eeecdbc1085 (脚本下载者)
对IP地址92.63.197.190进一步分析后可知,该IP地址属于Phorpiex僵尸网络资产,其上投递了该僵尸网络使用的多个恶意模块,提取该地址处相应样本脱壳后可知Phorpiex僵尸网络与以往功能大致相同:具备反虚拟机、反调试功能,可感染移动设备,同时具备强大的恶意下发功能,Phorpiex僵尸网络曾从GandCrab4.3版本开始合作辅佐其至5.2终结版本,最终完成勒索20亿美元的绑票大生意,同时该僵尸网络也在国内群发过上千万封勒索恐吓邮件。
Phorpiex僵尸网络反虚拟机、反调试能力:
可感染移动设备:
最终会尝试下发从1-Z的恶意载荷
值得注意的是,由于Phorpiex具备了虚拟货币窃取(剪切板替换)功能,当受害者不慎感染了其下发的Nemty勒索病毒后,如果尝试在受勒索机器上缴纳赎金,则可能导致虚拟币转帐交易被劫持,从而使勒索赎金无法转帐到Nemty运营团伙处(被Phorpiex僵尸网络截胡),无法支付赎金,文件解密自然无法完成。
近期活跃的Nemty2.5版本病毒加密文件后会添加。NEMTY_random_7个随机字符,同时留下名为NEMTY_random7_DECRYPT.txt的勒索信,要求用户到暗网指定地址进行赎金解密交易,随着各类型病毒木马盈利模式一致,虚拟货币的持续升温,各类型病毒均有可能随时附加勒索属性。蠕虫,感染,僵尸网络,挖矿木马,在充分榨干感染目标剩余价值后,都极有可能下发勒索模块进行最后一步敲诈。Nemty与Phorpiex的多次合作绝非偶然,随着窃密勒索的迅速升温,未来各类型窃密木马也终将与勒索病毒不谋而合,给企业数据安全带来前所未有的挑战。
三、安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
个人用户:
1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码;
2、使用腾讯电脑管家拦截病毒
3、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。
IOCs
MD5
27dba86c54407cb0e5891f2dacdc70ef
a5d962de3761c8ed95e97d49dcde8f12
913e1ce18aa6c620dbf33eeecdbc1085
URL:
hxxp://nemty10.hk/public/gate.php
IP:
92.63.197.190
参考链接:
《NEMTY勒索病毒V1.6变种节日期间高发,企业用户须小心防范》
https://mp.weixin.qq.com/s/iJ_xP70Ft4JTkl4_7qx-zw
《GandCrab 4.3勒索病毒再添新特性:蠕虫式主动传播》
https://mp.weixin.qq.com/s/zbqLmCBblvbZQwsM2XJd2Q
在线咨询
方案定制