Nemty ransomware: nuova versione in diffusione, ma è disponibile il decryptor

Nemty è un nuovo ransomware, individuato in distribuzione la prima volta gli ultimi giorni di Agosto, anche se gli amministratori del malware lo hanno reso noto nei forum del cyber crime ben prima. Il nome deriva direttamente dall'estensione che questo malware aggiunge ai file una volta terminata la routine di criptazione. 

Per approfondire >> L'exploit kit RIG distribuisce un nuovo ransomware: il debutto di Nemty 

Questi  ransomware è "convolato a nozze" con il temibile Exploit kit RIG, usato come strumento di diffusione efficace e di massa per moltissimi malware "di punta" del monto del cyber crime. In questi giorni è stata individuata in diffusione, sempre tramite exploit kit RIG e insieme ad altri malware, una nuova versione di Nemty, la 1.6. 

La buona notizia è che è stato rilasciato un decryptor che permette alle vittime la risoluzione gratuita dell'infezione. 

Prima le buone notizie: disponibile tool gratuito di decriptazione

L'azienda di sicurezza informatica Tesorion ha creato un decryptor che, assicurano, risolve le infezioni delle versioni 1.4 e 1.6 di Nemty: l'implementazione del meccanismo di risoluzione della v.1.5 dovrebbe avvenire nei prossimi giorni. Se così fosse, il ransomware Nemty si può considerare sconfitto, a pochi mesi dal debutto.

Il Decryptor, scaricabile gratuitamente, supporta per adesso un numero limitato di estensioni file, ma i tecnici di Tesorion sono a lavoro anche su questo fronte. 

Ad ora, il tool dovrebbe riuscire a riportare in chiaro le seguenti tipologie di file: avi, bmp, gif, mp3, jpeg, jpg, mov, mp4, mov, mp4, qt, 3gp, mpeg, mpg, doc, docb, dot, ole, pot, pps, ppt, wbk, xlm, xls, xlsb, xlt, pdf, png, tif, tiff, nef, , doc, txt, docm, docx, dotm, dotx, jar, potm, potx, ppsm, ppsx, pptm, pptx, xlsm, xlsx, xltm, xltx, zip.

Il decryptor è ottenibile contattando direttamente la Tesorion. 

La brutta notizia: la versione 1.6 di Nemty

La nuova versione di Nemty (comunque già risolvibile) viene diffusa entro un'ampia campagna di malvertising che reindirizza gli utenti verso l'exploit kit RIG: colpisce sopratutto le aziende che hanno ancora in uso Internet Explorer e Flash Player. E' appunto sfruttando due vulnerabilità di questi software che Nemty riesce ad accedere e infettare una macchina. 

Non si segnalano particolari modifiche rispetto alla versione precedente, a parte un cambiamento nella routine di criptazione. Gli attaccanti utilizzano adesso le librerie crittografiche di Windows al posto dell'implementazione AES da loro stessi programmata.