近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事 件時發(fā)現(xiàn)一個名為 Nemty 的勒索軟件。 Nemty 勒索軟件最早在 2019 年 8 月被發(fā)現(xiàn)， 其傳播方式主要為 RDP 暴力破解。與目前 最普遍的釣魚郵件傳播相比，RDP 連接對 攻擊者來說更加方便，他們不需要等待受 害者“主動上鉤”，就能進(jìn)行后續(xù)操作。

      勒索軟件 Nemty 執(zhí)行后，首先會加 密計(jì)算機(jī)上的文件，創(chuàng)建加密文件的加密 副本，并追加名為“.nemty”的后綴。創(chuàng) 建 兩 封 相 同 的 名 為“NEMTY-DECRYPT. txt”的勒索信，勒索信中包含下載并安裝TOR 瀏覽器、聯(lián)系網(wǎng)站地址和勒索說明等。 調(diào)用命令行命令來防止受害者恢復(fù)已加密 的文件，具體操作為刪除卷影副本、禁用 修復(fù)、刪除本地計(jì)算機(jī)的備份目錄等。勒 索軟件 Nemty 會避開以下國家和地區(qū)進(jìn)行 文件加密：俄羅斯、白俄羅斯、哈薩克斯坦、 塔吉克斯坦共和國和烏克蘭。目前被加密 的文件在得到密鑰前暫時無法解密。

      安天提醒廣大用戶，及時備份重要文 件，且文件備份應(yīng)與主機(jī)隔離；及時安裝 更新補(bǔ)丁，避免一切勒索軟件利用漏洞感 染計(jì)算機(jī)；對非可信來源的郵件保持警惕，避免打開附件或點(diǎn)擊郵件中的鏈接；盡量 避免打開社交媒體分享的來源不明的鏈 接，給信任網(wǎng)站添加書簽并通過書簽訪問； 避免使用弱口令或統(tǒng)一的密碼；確保所有 的計(jì)算機(jī)在使用遠(yuǎn)程桌面服務(wù)時采取 VPN 連接等安全方式，如果業(yè)務(wù)上無需使用遠(yuǎn) 程桌面服務(wù)，建議將其關(guān)閉；可以使用反 病毒軟件（如安天智甲）掃描郵件附件， 確認(rèn)安全后再運(yùn)行。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對該 類勒索病毒的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了 對該勒索病毒的查殺。