باج‌افزار جدیدی شناسایی شده‌است که در فرایند رمزگذاری، پسوند Nemty را به فایل‌های سیستم قربانی اضافه می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، Nemty نیز مانند هر باج‌افزار دیگری Shadow Copyهای فایل‌های موردنظر خود را حذف می‌کند تا امکان بازیابی اطلاعات از طریق سیستم‌عامل ویندوز را از بین ببرد.

پس از رمزگذاری فایل‌ها توسط Nemty پیغام باج مهاجم برای قربانی نمایش داده‌می‌شود. در پیغام باج‌خواهی دستورالعمل نحوه بازیابی داده‌ها به‌ازای پرداخت مبلغ باج به کاربر ارائه شده‌است.

پرتال پرداخت باج در شبکه ناشناس Tor میزبانی می‌شود و کاربران باید فایل پیکربندی خود را در آن بارگذاری کنند. مبلغ مورد درخواست برای بازگردانی فایل‌ها در نمونه مورد بررسی ۰,۰۹۹۸۱ بیت‌کوین است. همچنین در صفحه پرتال پرداخت باج یک باکس چت به همراه اطلاعات بیشتر پرداخت نیز ارائه شده‌است.

نحوه انتشار این باج‌افزار از طریق پروتکل RDP گزارش شده‌است. برخلاف ایمیل‌های فیشینگ، استفاده از RDP برای انتشار بدافزار نیازی به تعامل کاربر ندارد و مهاجم کنترل فرایند را خود به عهده دارد.

آسیب‌پذیری‌های RDP و اتصالات RDP ناامن اخیرا بیش از پیش مورد توجه مهاجمان قرار گرفته‌است.