’n Nuwe losprysware genaamd Nemty het op die netwerk verskyn, wat vermoedelik die opvolger van GrandCrab of Buran is. Die wanware word hoofsaaklik vanaf die vals PayPal-webwerf versprei en het 'n aantal interessante kenmerke. Besonderhede oor hoe hierdie ransomware werk, is onder die knie.
Nuwe Nemty ransomware ontdek deur gebruiker nao_sek 7 September 2019. Die wanware is deur 'n webwerf versprei vermom as PayPal, is dit ook moontlik vir losprysware om 'n rekenaar deur die RIG-ontginningstel te penetreer. Die aanvallers het sosiale ingenieurswese-metodes gebruik om die gebruiker te dwing om die cashback.exe-lêer, wat hy na bewering van die PayPal-webwerf ontvang het, te laat loop.Dit is ook nuuskierig dat Nemty die verkeerde poort vir die plaaslike proxy-diens Tor gespesifiseer het, wat verhoed dat die wanware stuur data na die bediener. Daarom sal die gebruiker self geënkripteerde lêers na die Tor-netwerk moet oplaai as hy van plan is om die losprys te betaal en wag vir dekripsie van die aanvallers.
Verskeie interessante feite oor Nemty dui daarop dat dit ontwikkel is deur dieselfde mense of deur kubermisdadigers wat met Buran en GrandCrab geassosieer word.
Nes GandCrab het Nemty 'n paaseier - 'n skakel na 'n foto van die Russiese president Vladimir Poetin met 'n obsene grap. Die nalatenskap van GandCrab ransomware het 'n beeld met dieselfde teks gehad.
Die taalartefakte van beide programme wys na dieselfde Russiessprekende skrywers.
Dit is die eerste losprysware wat 'n 8092-bis RSA-sleutel gebruik. Alhoewel daar geen sin hierin is nie: 'n 1024-bis-sleutel is genoeg om teen inbraak te beskerm.
Soos Buran, is die ransomware geskryf in Object Pascal en saamgestel in Borland Delphi.
Statiese Analise
Die uitvoering van kwaadwillige kode vind in vier fases plaas. Die eerste stap is om cashback.exe te laat loop, 'n PE32-uitvoerbare lêer onder MS Windows met 'n grootte van 1198936 grepe. Die kode daarvan is in Visual C++ geskryf en op 14 Oktober 2013 saamgestel. Dit bevat 'n argief wat outomaties uitgepak word wanneer jy cashback.exe hardloop. Die sagteware gebruik die Cabinet.dll-biblioteek en sy funksies FDICreate(), FDIDestroy() en ander om lêers van die .cab-argief te verkry.
Nadat u die argief uitgepak het, sal drie lêers verskyn.
Vervolgens word temp.exe geloods, 'n PE32-uitvoerbare lêer onder MS Windows met 'n grootte van 307200 grepe. Die kode is in Visual C++ geskryf en verpak met MPRESS-pakker, 'n pakker soortgelyk aan UPX.
Die volgende stap is ironman.exe. Sodra dit van stapel gestuur is, dekripteer temp.exe die ingebedde data in temp en hernoem dit na ironman.exe, 'n 32 grepe PE544768-uitvoerbare lêer. Die kode is saamgestel in Borland Delphi.
Die laaste stap is om die ironman.exe-lêer te herbegin. Tydens looptyd transformeer dit sy kode en hardloop homself uit die geheue. Hierdie weergawe van ironman.exe is kwaadwillig en is verantwoordelik vir enkripsie.
Aanval vektor
Tans word die Nemty ransomware versprei deur die webwerf pp-back.info.
Die volledige ketting van infeksie kan besigtig word by app.enige.loop sandbox.
installasie
Cashback.exe - die begin van die aanval. Soos reeds genoem, pak cashback.exe die .cab-lêer wat dit bevat uit. Dit skep dan 'n vouer TMP4351$.TMP van die vorm %TEMP%IXxxx.TMP, waar xxx 'n getal van 001 tot 999 is.
Vervolgens word 'n registersleutel geïnstalleer, wat soos volg lyk:
Dit word gebruik om uitgepakte lêers uit te vee. Laastens, cashback.exe begin die temp.exe-proses.
Temp.exe is die tweede fase in die infeksieketting
Dit is die proses wat begin word deur die cashback.exe-lêer, die tweede stap van die virusuitvoering. Dit probeer om AutoHotKey, 'n instrument om skrifte op Windows te laat loop, af te laai en die WindowSpy.ahk-skrip uit te voer wat in die hulpbronne-afdeling van die PE-lêer geleë is.
Die WindowSpy.ahk-skrip dekripteer die tydelike lêer in ironman.exe deur die RC4-algoritme en die wagwoord IwantAcake te gebruik. Die sleutel van die wagwoord word verkry met behulp van die MD5 hashing-algoritme.
temp.exe roep dan die ironman.exe-proses.
Ironman.exe - derde stap
Ironman.exe lees die inhoud van die iron.bmp-lêer en skep 'n iron.txt-lêer met 'n cryptolocker wat volgende geloods sal word.
Hierna laai die virus iron.txt in die geheue en herbegin dit as ironman.exe. Hierna word iron.txt uitgevee.
ironman.exe is die hoofdeel van die NEMTY ransomware, wat lêers op die geaffekteerde rekenaar enkripteer. Wanware skep 'n mutex genaamd haat.
Die eerste ding wat dit doen is om die geografiese ligging van die rekenaar te bepaal. Nemty maak die blaaier oop en vind die IP op http://api.ipify.org. Op die webwerf api.db-ip.com/v2/free[IP]/countryName Die land word bepaal uit die ontvangde IP, en as die rekenaar in een van die streke hieronder gelys is, stop die uitvoering van die wanware-kode:
Rusland
Wit-Rusland
Oekraïne
Kazakhstan
Tajikistan
Heel waarskynlik, ontwikkelaars wil nie die aandag trek van wetstoepassingsagentskappe in hul lande van verblyf nie, en enkripteer dus nie lêers in hul "tuis" jurisdiksies nie.
As die slagoffer se IP-adres nie aan die lys hierbo behoort nie, enkripteer die virus die gebruiker se inligting.
Om lêerherwinning te voorkom, word hul skadu-kopieë uitgevee:
Dit skep dan 'n lys van lêers en vouers wat nie geïnkripteer sal word nie, sowel as 'n lys van lêeruitbreidings.
vensters
$RESYCLE.BIN
RSA
NTDETECT.COM
ens
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
lessenaar.ini
SYS CONFIG.
BOOTSECT.BAK
bootmgr
programdata
toepassingdata
osoft
Algemene lêers
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Verduistering
Om URL's en ingebedde konfigurasiedata te versteek, gebruik Nemty 'n base64 en RC4 enkoderingsalgoritme met die fuckav sleutelwoord.
Die dekripsieproses met behulp van CryptStringToBinary is soos volg
Enkripsie
Nemty gebruik drie-laag enkripsie:
AES-128-CBC vir lêers. Die 128-bis AES-sleutel word lukraak gegenereer en word dieselfde vir alle lêers gebruik. Dit word in 'n konfigurasielêer op die gebruiker se rekenaar gestoor. Die IV word ewekansig vir elke lêer gegenereer en in 'n geënkripteerde lêer gestoor.
RSA-2048 vir lêerenkripsie IV. 'n Sleutelpaar vir die sessie word gegenereer. Die private sleutel vir die sessie word in 'n konfigurasielêer op die gebruiker se rekenaar gestoor.
RSA-8192. Die hoof publieke sleutel is in die program ingebou en word gebruik om die konfigurasielêer te enkripteer, wat die AES-sleutel en geheime sleutel vir die RSA-2048-sessie stoor.
Nemty genereer eers 32 grepe ewekansige data. Die eerste 16 grepe word as die AES-128-CBC-sleutel gebruik.
Die tweede enkripsie-algoritme is RSA-2048. Die sleutelpaar word gegenereer deur die CryptGenKey()-funksie en ingevoer deur die CryptImportKey()-funksie.
Sodra die sleutelpaar vir die sessie gegenereer is, word die publieke sleutel in die MS Cryptographic Service Provider ingevoer.
'n Voorbeeld van 'n gegenereerde publieke sleutel vir 'n sessie:
Vervolgens word die private sleutel in die CSP ingevoer.
'n Voorbeeld van 'n gegenereerde private sleutel vir 'n sessie:
En laaste kom RSA-8192. Die hoof publieke sleutel word in geënkripteerde vorm (Base64 + RC4) in die .data-afdeling van die PE-lêer gestoor.
Die RSA-8192 sleutel na base64 dekodering en RC4 dekripsie met die fuckav wagwoord lyk so.
As gevolg hiervan lyk die hele enkripsieproses soos volg:
Genereer 'n 128-bis AES-sleutel wat gebruik sal word om alle lêers te enkripteer.
Skep 'n IV vir elke lêer.
Skep 'n sleutelpaar vir 'n RSA-2048-sessie.
Dekripsie van 'n bestaande RSA-8192-sleutel met behulp van base64 en RC4.
Enkripteer lêerinhoud met die AES-128-CBC-algoritme vanaf die eerste stap.
IV-enkripsie met RSA-2048 publieke sleutel en base64-kodering.
Voeg 'n geënkripteerde IV by aan die einde van elke geënkripteerde lêer.
Voeg 'n AES-sleutel en RSA-2048-sessie private sleutel by die konfigurasie.
Konfigurasiedata beskryf in afdeling Versameling van inligting oor die besmette rekenaar word geïnkripteer met die hoof publieke sleutel RSA-8192.
Die geënkripteerde lêer lyk soos volg:
Voorbeeld van geïnkripteer lêers:
Versamel inligting oor die besmette rekenaar
Die losprysware versamel sleutels om besmette lêers te dekripteer, sodat die aanvaller eintlik 'n dekripteerder kan skep. Daarbenewens versamel Nemty gebruikersdata soos gebruikersnaam, rekenaarnaam, hardewareprofiel.
Dit roep die GetLogicalDrives(), GetFreeSpace(), GetDriveType() funksies om inligting oor die aandrywers van die besmette rekenaar in te samel.
Die versamelde inligting word in 'n konfigurasielêer gestoor. Nadat ons die string gedekodeer het, kry ons 'n lys parameters in die konfigurasielêer:
Voorbeeld opstelling van 'n besmette rekenaar:
Die konfigurasie sjabloon kan soos volg voorgestel word:
Nemty stoor die versamelde data in JSON-formaat in die lêer %USER%/_NEMTY_.nemty. Lêer-ID is 7 karakters lank en lukraak gegenereer. Byvoorbeeld: _NEMTY_tgdLYrd_.nemty. Die lêer-ID word ook aan die einde van die geënkripteerde lêer aangeheg.
Losprysboodskap
Nadat die lêers geënkripteer is, verskyn die lêer _NEMTY_[FileID]-DECRYPT.txt op die lessenaar met die volgende inhoud:
Aan die einde van die lêer is daar geïnkripteer inligting oor die besmette rekenaar.
Nemty probeer dan om konfigurasiedata na 127.0.0.1:9050 te stuur, waar hy verwag om 'n werkende Tor-blaaier-instaanbediener te vind. Die Tor-instaanbediener luister egter by verstek op poort 9150, en poort 9050 word deur die Tor-demon op Linux of Expert Bundle op Windows gebruik. Geen data word dus na die aanvaller se bediener gestuur nie. In plaas daarvan kan die gebruiker die konfigurasielêer handmatig aflaai deur die Tor-dekripsiediens te besoek via die skakel wat in die losprysboodskap verskaf word.
Koppel aan Tor-instaanbediener:
HTTP GET skep 'n versoek na 127.0.0.1:9050/public/gate?data=
Hier kan u die oop TCP-poorte sien wat deur die TORlocal-instaanbediener gebruik word:
Nemty-dekripsiediens op die Tor-netwerk:
Jy kan 'n geënkripteerde foto (jpg, png, bmp) oplaai om die dekripsiediens te toets.
Hierna vra die aanvaller om 'n losprys te betaal. In geval van wanbetaling word die prys verdubbel.
Gevolgtrekking
Op die oomblik is dit nie moontlik om lêers wat deur Nemty geënkripteer is te dekripteer sonder om 'n losprys te betaal nie. Hierdie weergawe van ransomware het algemene kenmerke met die Buran ransomware en die verouderde GandCrab: samestelling in Borland Delphi en beelde met dieselfde teks. Daarbenewens is dit die eerste enkripteerder wat 'n 8092-bis RSA-sleutel gebruik, wat weereens geen sin maak nie, aangesien 'n 1024-bis-sleutel voldoende is vir beskerming. Laastens, en interessant genoeg, probeer dit om die verkeerde poort vir die plaaslike Tor-instaanbediener te gebruik.
Maar oplossings Acronis-rugsteun и Acronis True Image verhoed dat die Nemty losprysware gebruikersrekenaars en data bereik, en verskaffers kan hul kliënte beskerm met Acronis Backup Cloud. Vol Kuberbeskerming bied nie net rugsteun nie, maar ook beskerming deur gebruik te maak Acronis aktiewe beskerming, 'n spesiale tegnologie gebaseer op kunsmatige intelligensie en gedragsheuristiek wat jou toelaat om selfs nog onbekende wanware te neutraliseer.