2019年12月2日、ASEC 分析チームはNEMTYランサムウェアのバージョンが2.0から2.2にアップデートされて拡散したことを発見した。「履歴書」または「不当電子商取引違反行為案内」を装った拡散方式を含め、感染除外国、感染対象、感染除外ファイル、フォルダ等すべてが既存のNEMTY REVENGE 2.0と同一である。
[拡散ファイル名]
- \カン・ジュギョン\履歴書\ポートフォリオ.hwp.exe
- \カン・ジュギョン\履歴書\履歴書.hwp.exe
- \イ・シウ\___\___.hwp.exe
- \チャン・ミンウ\___\___.hwp.exe
既存のバージョンと異なる点は、以下のようにミューテックス名が変更されたことである。
- NEMTY 2.0 ミューテックス名:just_a_game
- NEMTY 2.2 ミューテックス名:just_a_little_game
2019.11.20 PDF文書を装って拡散しているNEMTY2.0ランサムウェア
変更されたランサムノート(脅迫メッセージ)は、以下の [図1] の通りである。
Nemtyランサムウェアは、今年に入ってすでに2回もアップデートされた。今までのところ拡散方式は同じだが、今後どのように変更されるか不明なため、ユーザーの注意が必要である。そして、ランサムウェアをアップデートして国内をターゲットに拡散が続いているため、ユーザーは疑わしい電子メールおよび添付ファイルを開くときは注意が必要である。
現在、V3 では、このようなランサムウェアを次のような診断名で診断している。
[ファイル診断]
Trojan/Win32.MalPe (2019.12.02.04)
[メモリ診断]
Win-Trojan/MalPeP.mexp
[行為診断]
Malware/MDP.SystemManipulation.M1751
Categories: マルウェアの情報