Situs Situs PayPal Palsu Menginfeksi Korban dengan Nemty Ransomware
- Aktor menciptakan situs web PayPal yang meyakinkan dan menjanjikan pengembalian pengeluaran antara 3% dan 5%.
- Eksekusi yang diunduh oleh para korban bukanlah aplikasi PayPal tetapi sebuah varian dari ransomware Nemty.
- Mereka yang masuk perangkap akan diminta tebusan $ 1000 dalam bentuk Bitcoin kecuali mereka datang dari negara-negara berbahasa Rusia.
Sebagai dilaporkan oleh BleepingComputer, peneliti keamanan "nao_sec" menemukan situs web jahat yang mendistribusikan sampel varian baru ransomware Nemty. Para aktor menggunakan aplikasi PayPal sebagai umpan, memikat korban yang tidak menaruh curiga untuk mengunduhnya dari saluran mereka dan memenangkan hingga 5% dari apa yang mereka belanjakan sebagai imbalan. Situs web itu dibuat persis seperti portal PayPal resmi, sehingga pengunjung yang tidak memperhatikan URL akan tertipu dengan berpikir bahwa mereka telah mendarat di saluran distribusi perangkat lunak yang sah.
Situs Palsu Paypal -> #NEMTY Ransomware
(CC: @malware_traffic, @jeromesegura, @VK_Intel, @BleepinComputer)https://t.co/YC7pVMSFwm pic.twitter.com/yzakaFEzi0
– nao_sec (@nao_sec) 7 September 2019
File jahat yang ditawarkan untuk diunduh bernama "cashback.exe", dan sebagian besar peramban akan memperingatkan pengguna bahwa file yang mereka coba unduh terlihat buruk. Jika pengguna menjawab bahwa mereka mempercayai sumbernya di prompt, mereka akan mendapatkan salinan ransomware Nemty pada sistem mereka. Menurut data VirusTotal, eksekusi berbahaya dilewatkan oleh 32 dari 68 mesin antivirus yang diuji, sehingga kemungkinan Nemty bersarang di sistem host dan mengenkripsi semua file hanya di bawah 50% jika korban menggunakan solusi AV pada awalnya. tempat.
Varian Nemty yang digunakan dalam kampanye ini adalah versi nomor 1.4, dan jumlah uang yang diminta oleh para aktor setara dengan $ 1000 dalam Bitcoin. Ini adalah jumlah standar yang telah kita lihat penjahat yang menggunakan Nemty bertanya, sementara periode pembayaran yang diberikan kepada para korban adalah 48 jam, juga satu standar. Negara-negara yang dikecualikan dari kegiatan infeksi adalah Belarus, Rusia, Kazakhstan, Ukraina, dan Tajikistan. Jika Anda tinggal di salah satu negara itu, atau bahasa sistem Anda disetel ke bahasa yang sesuai, Anda aman dari kampanye ini, tetapi jangan berharap pengembalian 5% dari pengeluaran Anda.
Sumber: Vitali Kremez | TwitterJika Anda terinfeksi oleh varian Nemty, Anda akan melihat bahwa semua file Anda mendapatkan ekstensi ".nemty". Jika itu masalahnya, jangan membayar aktor karena Anda tidak akan memiliki jaminan bahwa Anda akan mendapatkan file Anda kembali. SpyHunter 5, Malwarebytes, dan Reimage semuanya mampu menghapus semua jejak Nemty dari sistem Anda, jadi pastikan untuk menghapusnya sebelum Anda mulai memulihkan dari cadangan. Nemty sangat gigih, dan jika Anda tidak menghapus semua komponennya, file Anda akan dienkripsi ulang. Jika Anda mencari untuk mendapatkan aplikasi PayPal resmi, Anda hanya dapat menemukannya di "paypal.com" atau di toko aplikasi resmi platform Anda.
Apakah Anda menggunakan aplikasi PayPal, atau Anda hanya pergi ke situs web untuk semuanya? Beri tahu kami di komentar di bawah, atau di acara sosial kami, di Facebook dan Twitter.
