Nemty Ransomware关闭公共RaaS操作，私有化

Nemty勒索软件将关闭其公共“勒索软件即服务”（RaaS）运营，并切换到专有的私有运营，在这种私有私有运营中，将根据其专业知识手动选择会员。

Nemty过去一直是公共的RaaS，该服务由勒索软件运营商负责开发勒索软件和付款站点，而分支机构也参与分发和感染受害者。

作为此安排的一部分，勒索软件运营商获得了30％的削减，而会员公司则获得了他们带来的勒索款项的70％。

自2019年夏季开始运行以来  ，由于一次错误  使Tesorion可以  为早期版本创建解密器，jsworm宣布已关闭公共勒索软件即服务，并将其改为私有操作。

在安全研究员Vitali Kremez与BleepingComputer共享的俄罗斯黑客论坛上，jsworm声明“我们不公开”，这意味着该操作正在私有化，将不再公开可参与。

上面的俄语帖子将英语翻译为：

we leave in private. victims have a week to acquire decryptors, then it will be no longer possible. in a week you can close the topic, do not merge the master keys :)

Jsworm的帖子进一步指出，作为此过渡的一部分，他们将不会将公共RaaS的旧主加密密钥迁移到私有RaaS。

要恢复文件，当前操作的受害者将需要购买解密器，然后开关或密钥将不再可用，并且无法解密加密的文件。

我们希望jsworm能够像过去的Crysis，Dharma变体，  TeslaCrypt，FilesLocker和BTCWare这样的其他勒索软件运营商一样，为公共RaaS释放主密钥。

私有化将使运营更加独特

据已经跟踪Nemty一段时间的Kremez称，通过转为私人操作，Nemty将变得更加排他并能够招募更有经验的恶意软件发行商。

这项更改将使他们能够专注于更有利可图的攻击，例如网络入侵和勒索软件的网络范围部署。

在昨天的“我们私下发表”帖子大约两周前，jsworm宣布他们已经完全重写了勒索软件，并将其发布为“ Nemty Revenue 3.1”。

上面的帖子翻译成英文为：

ports did not roll out, but completely rewrote the project under / nodefaultlib NEMTY REVENUE 3.1 build weight is now a measly 24kb (very good for spammers). import of one library - kernel32.dll. dynamic loading of all necessary functions (aka PathFindExtensionW ()). morph pictures for desktop. use only vinapi functions. encryption has not changed (everything is also aes-128 in ctr mode with separate keys for each file (thanks SystemFunction036) and rsa-2048 to protect aes keys). from the very first versions almost everything has been changed. all functions with strings are handwritten or taken from CRT sources. in connection with the update - cleaned the panel from zeros, freed up 4 places. in the panel, you can safely get a fresh build, chat with the victim through a chat with push notifications, see your statistics. all payments automatically get to your wallet through a mixer (verified by crabs). spammers, dediks and networks are required (although there are enough of them, but better is more than less: ^) 

Kremez认为此版本将用于Nemty的更专有的私有操作。

启动了名为Nefilim的第二个项目

2020年3月，启动了名为 Nefilim 的新勒索软件，该勒索软件与Nemty 2.5共享相同的代码。

目前，还不清楚100％是否另一个小组为其项目购买了Nemty勒索软件代码，或者他们是否正在使用jsworm的基础结构来创建带有白色标签的版本。

3月14日，jsworm宣布了这个新项目，并表示他们正在寻找新的会员，这些会员是好的“垃圾邮件发送者”，并且可以访问被破坏的计算机（称为“ dediks”），从而使攻击者可以远程访问网络。

翻译成英文，这篇文章是：

7 zeros removed, there are slots. need spammers and Dediks in good countries. hxxps: //twitter.com/malwrhunterteam/status/1238553586474332160 the second project, which was created so that Michel analyzed it (otherwise he even scored on us ??) and wrote that it is not decryptable without our help. Algos in both projects are the same, except for the encryption of the number of blocks. A. soon iocp ... 

如您所见，他们同时引用了MalwareHunterTeam和Michael Gillespie，后者通常撰写有关Nemty的新样本，而Michael Gillespie先前发布了jsworm原始勒索软件 “ jsworm”的解密程序。

当我们过去询问Nefilim运算符他们如何获得Nemty代码时，他们只是回答：“我们如何获得源代码真的很重要吗？”

Nefilim是勒索软件运营商之一，他们告诉我们他们不会以医院，非营利组织，学校或政府为目标，并且如果偶然发生的话将免费解密。

“我们在选择目标时非常努力。我们从未针对非营利组织，医院，学校，政府组织。
如果我们偶然对其中一个组织进行加密，我们将免费提供解密并删除所有下载的数据。
但是当您也许了解到选择和下载数据的过程使我们不太可能意外加密某些东西。
由于我们认为医院在任何情况下都是不可行的，因此这种大流行并未改变我们对目标的立场。”

自最初发布以来，就发现了一个新版本，称为Nephilim，这是该单词的更常见拼写