باجافزار جدیدی شناسایی شده است که در فرایند رمزگذاری، پسوند Nemty را به فایلهای سیستم قربانی اضافه میکند. مشابه هر باجافزار دیگری، Nemty نیز Shadow Copyهای فایلهای مورد نظر خود را حذف میکند تا امکان بازیابی اطلاعات از طریق سیستمعامل ویندوز را از بین ببرد.
آیتیمن- به گزارش مرکز افتا،
به نقل از وبسایت BleepingComputer، پس از رمزگذاری فایلها توسط Nemty پیغام باجگیر برای قربانی نمایش داده میشود. در پیغام باجخواهی دستورالعمل نحوه بازیابی دادهها به ازای پرداخت مبلغ باج به کاربر ارائه شده است.
پرتال پرداخت باج در شبکه ناشناس Tor میزبانی میشود و کاربران باید فایل پیکربندی خود را در آن بارگذاری کنند. مبلغ مورد درخواست برای بازگردانی فایلها در نمونه مورد بررسی ۰,۰۹۹۸۱ بیتکوین است. همچنین در صفحه پرتال پرداخت باج یک باکس چت به همراه اطلاعات بیشتر پرداخت نیز ارائه شده است.
نحوه انتشار این باجافزار از طریق پروتکل RDP گزارش شده است. برخلاف ایمیلهای فیشینگ، در استفاده از RDP برای انتشار بدافزار، نیازی به تعامل کاربر نیست و مهاجم کنترل فرایند را خود به عهده دارد. آسیبپذیریهای RDP و اتصالات RDP ناامن اخیرا بیش از پیش مورد توجه مهاجمین قرار گرفته است.