安全专家发现了一个正在进行的活动,该活动通过伪装成来自秘密情人的邮件来发送Nemty Ransomware。
来自Malwarebytes和X-Force IRIS的研究人员 已经发现 持续的垃圾邮件 广告活动分配在Nemty勒索通过伪装成来自秘密情人的邮件消息。
攻击者使用带有几行主题行和附件文件名的邮件,看起来像是由恋人发送的,他们使用了诸如“不要告诉任何人”,“我爱你”,“给你写信”,“将是我们的秘密, ”和“不能忘记你。”
所有垃圾邮件的;)' 正文仅包含’ 文字表情符号。
所有垃圾邮件都使用ZIP存档作为 附件 使用具有特定格式的文件名 (‘LOVE_YOU _ ###### _ 2020。压缩’)
“每个电子邮件是格式化为仅#分别变更名称的ZIP档案,”读取咨询由IBM X-Force的IRIS公布。
“每个存档中包含的文件的哈希值保持不变,并且与名为LOVE_YOU的高度混淆的JavaScript文件相关联。js,”
发现活动后,LOVE_YOU Javascript 的检测率很低,但正在迅速增加。
恶意Java脚本充当Nemty勒索软件的植入程序,从远程服务器下载最终的有效负载,然后执行它。
在2020年2月28日提供的更新中,IBM研究人员报告说该活动似乎已暂时停止。
Nemty勒索 软件于2019年8月首次出现在威胁领域,该恶意软件的名称是在扩展名添加到加密文件名之后给出的。勒索软件删除加密的卷影副本要制作的文件 不可能执行任何恢复程序。
2019年10月,安全公司 Tesorion的研究 人员开发了一种 解密器 该工具适用于Nemty 1.4和1.6版,他们还发布了适用于1.5版的工具。
Nemty勒索软件运营商在2月宣布,他们将建立一个网站来泄漏被盗的数据 对于 拒绝支付赎金的勒索软件受害者。
*编译:Domino
*来自:SecurityAffairs