追踪NEMTY勒索病毒，利用虚假PayPal网站传播

NEMTY是一款新型的勒索病毒，最早发现它是通过受损的RDP端口感染受害者，分析样本发现此勒索病毒提到了俄罗斯总统和防病毒软件，被安全研究人员称为NEMTY，不到一个月的时候内，已经发现它通过多个渠道进行传播，非常活跃

安全研究人员发现NEMTY勒索病毒最新版本正在通过一个虚假PayPal网站进行传播，同时勒索病毒样本也进行了更新，由此前的1.0版本变为了现在的1.4版本，到目前为止，此勒索病毒已经通过以下三种方式进行传播感染：

1. RDP端口

2. RIG漏洞利用工具包

3. 虚假PayPal网站

NEMTY是一款新型的勒索病毒，最早发现它通过受损的RDP端口感染受害者，此勒索病毒提到了俄罗斯总统和防病毒软件，被安全研究人员称为NEMTY，2019年8月21号NEMTY勒索病毒样本被人上传到了app.any.run网站，同时在22号，23号又分别被人上传，可能国外已经有多人被感染，24号安全研究人员公布了此勒索病毒的一些信息，如下所示：

此勒索病毒向受害者勒索0.09734 BTC(大约1000美元)，在八月底，安全研究人员发现此勒索通过RIG漏洞利用工具包(EK)进行传播，可能NEMTY勒索病毒背后的运营商已经与一些目标系统达成了分销协议，这些系统可能被RIG漏洞攻击套件感染，如下所示：

NEMTY勒索病毒最新变种使用虚假的PayPal网站进行传播，该网站承诺通过支付系统进行购买将返回3-5%，诱导受害者下载运行恶意软件，如下所示：

一些浏览器已经将该网站标记为了危险网站，但用户可能仍然会从这个网站上继续下载和运行恶意软件，该攻击活动被安全研究人员发布到了社交论坛上，并使用AnyRun对样本进行了自动化分析处理，如下所示：

安全研究人员分析了这款最新的NEMTY勒索病毒，发现它是一个新的1.4版本，与此前发现的1.0版本不同，样本中对受感染的地区进行检测时存在一些小的失误

通过对此勒索病毒追踪，发现NEMTY在短短二十天左右的时间内，已经使用三种不同的方式进行传播感染，同时勒索病毒的作者也对此勒索病毒代码进行了更新迭代，速度之快，通过此前的分析发现这款勒索病毒似乎融合了此前GandCrab和Sodinokibi两款勒索病毒的一些特点，其传播渠道变换之快，各企业要提前做好预防措施，以防被感染！

NEMTY勒索病毒精彩回顾