Vol trots kondigen wij als Tesorion aan dat we naar aanleiding van onze decryptor voor Nemty-ransomware associate partner zijn geworden van het project NoMoreRansom. Tesorion is het 17e bedrijf dat een bijdrage levert aan het project.
Nemty is een nieuwe ransomwarefamilie die nog maar net om de hoek komt kijken. We hebben het vermoeden dat het gebruikt wordt om ransomware als een service (RaaS) aan te bieden op het darknet. Nemty vertoont overeenkomsten met de ransomwarefamilies Sudinokibi en GandCrab. FortiGuard Labs analyseerde Nemty in september 2019 voor het eerst. Tesorion Technology heeft Nemty zelf ook geanalyseerd en we hebben een decryptor kunnen ontwikkelen door gebruik te maken van een kwetsbaarheid in de Nemty-code. Eind september 2019 werd er een decryptor voor versie 1.4 aangeboden. Twee weken later kwam er een update voor versie 1.6 en de week daarna werd er een update uitgebracht die ook voor versie 1.5 werkte.
Toen we eenmaal een manier hadden gevonden hoe we onze decryptor werkend konden krijgen en onze eerste blogpost over Nemty hadden gepubliceerd, namen we contact op met Europol omtrent hun project NoMoreRansom. In het begin waren we terughoudend in het beschikbaar stellen van onze decryptor via de website van NoMoreRanson. We wilden niet dat de auteurs van Nemty erachter zouden komen hoe zij de bugs, aan de hand waarvan wij de decryptor voor Nemty 1.4 hadden ontwikkeld, konden oplossen. Tijdens de ontwikkeling van de decryptor voor Nemty 1.5 en 1.6 zijn we met Europol het gesprek aangegaan en samen bedachten we een manier waarop het ‘kraken van de code’ op onze servers uitgevoerd kon worden. Op deze manier konden we een simpele decryptor-binary distribueren die met behulp van de resultaten op onze server gebruikt kon worden om de bestanden op het apparaat van het slachtoffer te ontsleutelen. Een interessant feitje is dat de schrijvers van Nemty onze analyse van hun code hebben opgemerkt. In versie 1.6 vonden we de string: “tesorion, bedankt voor jullie artikel”. Ondanks dat zij de bugs in hun versleuteling inmiddels hebben opgelost, werkt onze decryptor ook voor versie 1.6.
Het Tesorion CSIRT-team heeft de afgelopen weken veel mensen die ten prooi waren gevallen aan Nemty geholpen, maar vanaf deze week is onze universele decryptor voor alle versies van Nemty tot en met versie 1.6 beschikbaar op de website van NoMoreRansom. Nu kunnen slachtoffers van deze ransomware ook zonder ondersteuning van het Tesorion CSIRT-team hun bestanden ontsleutelen. Wij zijn er trots op dat wij met onze decryptor als jongste associate partner een bijdrage mogen leveren aan het project NoMoreRansom.
Publiciteit rondom de decryptor:
- Nemty Ransomware Decryptor Released, Recover Files for Free
- Researchers released a free decryptor for the Nemty Ransomware
- Remove Nemty ransomware
- NEMTY PROJECT ransomware removal instructions
- Nemty Ransomware Included Strongly Worded Message to AV Companies
- Researchers Create Free Nemty Ransomware Decryptor
