Serviciul Tehnologia Informației și Securitate Cibernetică informează despre o nouă amenințare cibernetică, Nemty Ransomware 1.0

O nouă amenințare de tip ransomware, numită Nemty Ransomware, a fost descoperită recent de către cercetătorii malware de la FortiGuard Labs. Nemty are scopul de a cripta datele personale stocate pe dispozitive dar și de a șterge copiile de rezervă ale acestora pentru a face imposibilă orice procedură de recuperare a lor.

Ransomware-ul este un program malițios care criptează fișierele stocate pe dispozitivele victimei, iar pentru decriptarea acestora, răufăcătorii solicită o răscumpărare ce este aproape întotdeauna de tip monetar. Plata este solicitată în monedă digitală, găzduită de rețaua TOR pentru anonimat, iar pentru efectuarea plății, victima primește un fișier de configurare ce conține identitatea victimei și cheia de decriptare a fișierelor.

Potrivit cercetătorilor, Nemty Ransomware are încorporat în codul său binar o structură foarte cunoscută, deoarece a fost folosită și de ransomware-ul GandGrab, iar procedeul de distribuție folosește aceiași metodă ca Sodinokibi, un malware care are asemănări puternice cu GandGrab.

Denumirea de Nemty Ransomware vine de la extensia pe care o adaugă la numele fișierelor criptate. Pe tot parcursul execuției, structura ransomware-ului Nemty este criptată folosindu-se o combinație de codare simplă a algoritmului base64 și criptarea RC4.

La momentul de față, cercetătorii de la FortiGuard Labs au publicat un raport ce conține analiza tehnică deplină. Aici este stipulat faptul că Nemty Ransomware utilizează o combinație de AES-128 în modul CBC, RSA-2048 și RSA-8192 neobișnuit pentru criptarea fișierelor și protecția cheilor.

Printre cauzele declanșării acestui program malițios se numără accesarea de către utilizatori a atașamentelor transmise prin intermediul email-urilor spam sau de la surse necunoscute, instalarea unor aplicații software nelicențiate, descărcarea de fișiere de pe site-urile web compromise, conectarea diferitor dispozitive de stocare externe infectate, etc.

În asemenea circumstanțe, Serviciul Tehnologia Informației și Securitate Cibernetică vine cu următoarele recomandări de securitate:

1. Faceți copii de siguranță a datelor aflate pe dispozitivele de calcul stocându-le pe un disc separat sau Cloud;
2. Nu deschideți atașamente de la email-uri spam sau necunoscute;
3. Nu deschideți linkurile care apar în email-urile spam sau în mesajele text venite din surse necunoscute și dubioase;
4. Folosiți un software antivirus și actualizați-l în mod regulat;
5. Mențineți browserul la zi și aplicați corecții de securitate;
6. Nu acordați privilegii de administrator aplicațiilor care nu inspiră încredere.