Bản cập nhật mới của mã độc mã hoá tống tiền Nemty cho phép nó tắt các tiến trình và dịch vụ đang hoạt động

Trong thời gian gần đây, biến thể mã độc mã hoá tống tiền (ransomware) Nemty đang được tích cực phát tán. Bên cạnh đó, tác giả của mã độc mã hoá tống tiền này có vẻ cũng đang nỗ lực nhằm biến mã độc này thành một mã độc hiệu quả và tinh vi hơn để phát tán khi liên tục cập nhật những tính năng độc hại mới cho mã độc này.

Bản cập nhật mới của mã độc mã hoá tống tiền Nemty cho phép nó tắt các tiến trình và dịch vụ đang hoạt động - CyberSec365.org

Tính năng tắt các tiến trình và dịch vụ đang chạy

Theo Vitali Kremez, một nhà nghiên cứu bảo mật, cho biết tác giả của mã độc mã hoá tống tiền Nemty mới đây đã cập nhật tính năng tự động tắt tất cả tiến trình và dịch vụ đang chạy trên máy nạn nhân cho mã độc này. Tuy nhiên, số phiên bản của mã độc vẫn được tác giả giữ nguyên không thay đổi.

Cụ thể, Vitali cho biết phiên bản mới nhất của mã độc này đã được tác giả thêm vào các đoạn mã nhằm tiêu diệt các tiến trình và dịch vụ hiện đang hoạt động trên thiết bị nạn nhân. Từ đó, mã độc có thể tiến hành mã hoá toàn bộ các tệp tin đang được sử dụng bởi các chương trình hiện hữu đó.

Bản cập nhật mới của mã độc mã hoá tống tiền Nemty cho phép nó tắt các tiến trình và dịch vụ đang hoạt động - CyberSec365.org

Khi tiến hành tìm hiểu vào các đoạn code mới của mã độc Nemty, các nhà nghiên cứu đã tìm thấy các tiến trình được mã độc này nhắm mục tiêu để tiêu diệt bao gồm ứng dụng WordPad, Bộ Microsoft Word, Excel, Outlook, Onenote, Oracle, ứng dụng duyệt mail Thnderbird, SQL và ứng dụng chạy máy ảo VỉtualBox.

Bản cập nhật mới của mã độc mã hoá tống tiền Nemty cho phép nó tắt các tiến trình và dịch vụ đang hoạt động - CyberSec365.org

Bổ sung thêm danh sách các quốc gia không tấn công

Kremez cũng cho biết mã độc mã hoá tống tiền Nemty cũng bổ sung vào danh sách "không tiến hành tấn công" một số quốc gia. Danh sách đầy đủ hiện nay bao gồm: Nga, Belarus, Kazakhstan, Tajikistan, Ukraine, Azerbaijan, Armenia, Kyrgyzstan và Moldova.

Đối với các phiên bản trước, khi phát hiện các máy tính mục tiêu thuộc các quốc gia trong danh sách, mã độc vẫn sẽ tiến hành mã hoá dữ liệu và gởi về máy chủ C&C (điều khiển và kiểm soát) kèm một ghi chú. Tuy nhiên, ở bản cập nhật này, khi phát hiện máy tính thuộc các quốc gia trong danh sách, mã độc sẽ huỷ mọi hoạt động của mình.

Bản cập nhật mới của mã độc mã hoá tống tiền Nemty cho phép nó tắt các tiến trình và dịch vụ đang hoạt động - CyberSec365.org

Thêm nhiều cách lây nhiễm mới

Ở những phiên bản đầu tiên của mình, Mã độc mã hoá tống tiền Nemty được phát tán thông qua bộ công cụ khai thác Rig EK. Tuy nhiên, với những phiên bản gần đây, tác giả đã tiến hành phát tán Nemty thông qua các website giả mạo

Vào đầu tuần trước, một chiến dịch phát tán mã độc mã hoá tống tiền Nemty đã được phát hiện bởi nhà nghiên cứu bảo mật Nao_sec

Hiện tại, mã độc mã hoá tống tiền Nemty có vẻ chưa đạt được những gì mà nó mong muốn. Tuy nhiên, các nhà nghiên cứu bảo mật cảnh báo rằng với sự làm việc chăm chỉ của tác giả, Nemty nhiều khả năng sẽ trở thành các mối đe doạ lớn cho các doanh nghiệp trong tương lai