باجافزار جدیدی شناسایی شدهاست که در فرایند رمزگذاری، پسوند Nemty را به فایلهای سیستم قربانی اضافه میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، Nemty نیز مانند هر باجافزار دیگری Shadow Copyهای فایلهای موردنظر خود را حذف میکند تا امکان بازیابی اطلاعات از طریق سیستمعامل ویندوز را از بین ببرد.
پس از رمزگذاری فایلها توسط Nemty پیغام باج مهاجم برای قربانی نمایش دادهمیشود. در پیغام باجخواهی دستورالعمل نحوه بازیابی دادهها بهازای پرداخت مبلغ باج به کاربر ارائه شدهاست.
پرتال پرداخت باج در شبکه ناشناس Tor میزبانی میشود و کاربران باید فایل پیکربندی خود را در آن بارگذاری کنند. مبلغ مورد درخواست برای بازگردانی فایلها در نمونه مورد بررسی ۰,۰۹۹۸۱ بیتکوین است. همچنین در صفحه پرتال پرداخت باج یک باکس چت به همراه اطلاعات بیشتر پرداخت نیز ارائه شدهاست.
نحوه انتشار این باجافزار از طریق پروتکل RDP گزارش شدهاست. برخلاف ایمیلهای فیشینگ، استفاده از RDP برای انتشار بدافزار نیازی به تعامل کاربر ندارد و مهاجم کنترل فرایند را خود به عهده دارد.
آسیبپذیریهای RDP و اتصالات RDP ناامن اخیرا بیش از پیش مورد توجه مهاجمان قرار گرفتهاست.