የ GrandCrab ወይም Buran ተተኪ ነው ተብሎ የሚገመተው Nemty የተባለ አዲስ ቤዛዌር በአውታረ መረቡ ላይ ታይቷል። ተንኮል አዘል ዌር በዋናነት የሚሰራጩት ከሀሰተኛው የPayPal ድህረ ገጽ ሲሆን በርካታ አስደሳች ባህሪያት አሉት። ይህ ራንሰምዌር እንዴት እንደሚሰራ ዝርዝሮች በመቁረጥ ስር ናቸው።
አዲስ Nemty ransomware በተጠቃሚ ተገኘ
ስለ ኔምቲ ብዙ አስደሳች እውነታዎች እንደተናገሩት በተመሳሳይ ሰዎች ወይም ከቡራን እና ግራንድክራብ ጋር በተገናኙ የሳይበር ወንጀለኞች የተሰራ ነው።
- ልክ እንደ ጋንድክራብ ሁሉ ኔምቲም የትንሳኤ እንቁላል አለው - ከሩሲያው ፕሬዝዳንት ቭላድሚር ፑቲን ፎቶ ጋር የሚያገናኝ አፀያፊ ቀልድ። የጋንድክራብ ራንሰምዌር ተመሳሳይ ጽሑፍ ያለው ምስል ነበረው።
- የሁለቱም ፕሮግራሞች የቋንቋ ቅርሶች ተመሳሳይ ሩሲያኛ ተናጋሪ ደራሲዎችን ያመለክታሉ.
- ይህ 8092-ቢት RSA ቁልፍ ለመጠቀም የመጀመሪያው ቤዛውዌር ነው። ምንም እንኳን በዚህ ውስጥ ምንም ፋይዳ ባይኖረውም: 1024-ቢት ቁልፍ ከጠለፋ ለመከላከል በቂ ነው.
- እንደ ቡራን፣ ቤዛው በ Object Pascal ተጽፎ በቦርላንድ ዴልፊ ተሰብስቧል።
የማይንቀሳቀስ ትንተና
የተንኮል አዘል ኮድ አፈፃፀም በአራት ደረጃዎች ይከናወናል. የመጀመሪያው እርምጃ cashback.exe በ MS Windows ስር PE32 executable ፋይል በ1198936 ባይት መጠን ማስኬድ ነው። የእሱ ኮድ በ Visual C++ የተጻፈ ሲሆን በጥቅምት 14, 2013 የተጠናቀረ ነው። cashback.exe ን ሲያሄዱ በራስ-ሰር የሚፈታ ማህደር ይዟል። ሶፍትዌሩ የ Cabinet.dll ላይብረሪ እና ተግባራቶቹን ከ .cab ማህደር ፋይሎችን ለማግኘት FDICreate() FDDestroy() እና ሌሎችን ይጠቀማል።
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
ማህደሩን ከፈቱ በኋላ, ሶስት ፋይሎች ይታያሉ.
በመቀጠል temp.exe ተጀምሯል፣ PE32 executable ፋይል በ MS Windows ስር 307200 ባይት መጠን ያለው። ኮዱ በ Visual C++ የተፃፈ እና በMPRESS ፓከር የታሸገ ሲሆን ከUPX ጋር ተመሳሳይ ነው።
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
ቀጣዩ ደረጃ ironman.exe ነው. አንዴ ከተከፈተ temp.exe በቴም ውስጥ ያለውን መረጃ ፈትቶ ወደ ironman.exe ሰይሞታል፣ 32 ባይት PE544768 ተፈጻሚ ይሆናል። ኮዱ የተዘጋጀው በቦርላንድ ዴልፊ ነው።
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
የመጨረሻው እርምጃ ironman.exe ፋይልን እንደገና ማስጀመር ነው. በሂደት ላይ, ኮዱን ይለውጣል እና እራሱን ከማህደረ ትውስታ ይሰራል. ይህ የ ironman.exe ስሪት ተንኮል አዘል ነው እና ለመመስጠር ተጠያቂ ነው።
የጥቃት ቬክተር
በአሁኑ ጊዜ የNemty ransomware በpp-back.info ድህረ ገጽ በኩል ይሰራጫል።
የተሟላ የኢንፌክሽን ሰንሰለት በ ላይ ሊታይ ይችላል
ቅንብር
Cashback.exe - የጥቃቱ መጀመሪያ. ቀደም ሲል እንደተገለፀው cashback.exe በውስጡ የያዘውን የ.ካቢ ፋይል ይከፍታል። ከዚያም ማህደር TMP4351$.TMP %TEMP%IXxxx.TMP ይፈጥራል፣ይህም xxx ከ001 እስከ 999 የሆነ ቁጥር ነው።
በመቀጠል የመመዝገቢያ ቁልፍ ተጭኗል፣ይህም ይመስላል።
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP"
ያልታሸጉ ፋይሎችን ለማጥፋት ይጠቅማል። በመጨረሻም, cashback.exe የ temp.exe ሂደቱን ይጀምራል.
Temp.exe በኢንፌክሽን ሰንሰለት ውስጥ ሁለተኛው ደረጃ ነው
ይህ በ cashback.exe ፋይል የተጀመረው የቫይረስ አፈፃፀም ሁለተኛ ደረጃ ነው። በዊንዶው ላይ ስክሪፕቶችን ለማስኬድ መሳሪያ የሆነውን AutoHotKeyን ለማውረድ ይሞክራል እና በ PE ፋይል ውስጥ የሚገኘውን የ WindowSpy.ahk ስክሪፕት ለማሄድ ይሞክራል።
የ WindowSpy.ahk ስክሪፕት የ RC4 ስልተ ቀመር እና የይለፍ ቃል IwantAcakeን በመጠቀም በ ironman.exe ውስጥ ያለውን የቴምፕ ፋይል ዲክሪፕት ያደርጋል። የይለፍ ቃል ቁልፉ የሚገኘው MD5 hashing algorithm በመጠቀም ነው።
temp.exe ከዚያም ironman.exe ሂደት ይደውሉ.
Ironman.exe - ሶስተኛ ደረጃ
Ironman.exe የ iron.bmp ፋይሉን ይዘቶች ያነባል እና iron.txt ፋይልን ከክሪፕቶሎከር ጋር ይፈጥራል በቀጣይ ይጀምራል።
ከዚህ በኋላ ቫይረሱ iron.txt ወደ ማህደረ ትውስታ ይጭናል እና እንደ ironman.exe እንደገና ያስጀምረዋል. ከዚህ በኋላ, iron.txt ይሰረዛል.
ironman.exe በተጎዳው ኮምፒውተር ላይ ፋይሎችን የሚያመሰጥር የ NEMTY ransomware ዋና አካል ነው። ማልዌር ጥላቻ የሚባል ሙቴክስ ይፈጥራል።
የመጀመሪያው ነገር የኮምፒዩተሩን ጂኦግራፊያዊ አቀማመጥ መወሰን ነው. ኔምቲ ማሰሻውን ከፍቶ አይፒውን አወቀ
- ሩሲያ
- ቤላሩስ
- ዩክሬን
- ካዛኪስታን
- ታጂኪስታን
ምናልባትም ገንቢዎች በሚኖሩበት አገር የሕግ አስከባሪ ኤጀንሲዎችን ትኩረት ለመሳብ አይፈልጉም እና ስለዚህ በ "ቤት" ስልጣናቸው ውስጥ ፋይሎችን አያመሰጥሩም።
የተጎጂው አይፒ አድራሻ ከላይ ካለው ዝርዝር ውስጥ ካልሆነ ቫይረሱ የተጠቃሚውን መረጃ ያመስጥራል።
የፋይል መልሶ ማግኛን ለመከላከል የእነሱ ጥላ ቅጂዎች ይሰረዛሉ፡-
ከዚያ በኋላ የማይመሰጠሩ የፋይሎች እና አቃፊዎች ዝርዝር እንዲሁም የፋይል ቅጥያዎችን ዝርዝር ይፈጥራል።
- መስኮቶች
- $ እንደገና ጥቅም ላይ ማዋል.BIN
- RSA
- NTDETECT.COM
- ወዘተ
- MSDOS.SYS
- አይ.ኤስ.አይ.ኤስ
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG
- BOOTSECT.BAK
- bootmgr
- programdata
- የመተግበሪያ ውሂብ
- osoft
- የተለመዱ ፋይሎች
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
መደበቅ
ዩአርኤሎችን እና የተከተተ የውቅር ውሂብን ለመደበቅ ኔምቲ ቤዝ64 እና RC4 ኢንኮዲንግ አልጎሪዝም በ fuckav ቁልፍ ቃል ይጠቀማል።
CryptStringToBinaryን በመጠቀም የመፍታት ሂደት እንደሚከተለው ነው።
ምስጠራ
ኔምቲ ባለ ሶስት ሽፋን ምስጠራን ይጠቀማል፡-
- AES-128-CBC ለፋይሎች. ባለ 128-ቢት AES ቁልፍ በዘፈቀደ የመነጨ ነው እና ለሁሉም ፋይሎች አንድ አይነት ጥቅም ላይ ይውላል። በተጠቃሚው ኮምፒውተር ላይ ባለው የውቅር ፋይል ውስጥ ተከማችቷል። IV ለእያንዳንዱ ፋይል በዘፈቀደ የተፈጠረ እና በተመሰጠረ ፋይል ውስጥ ይከማቻል።
- RSA-2048 ለፋይል ምስጠራ IV. ለክፍለ-ጊዜው ቁልፍ ጥንድ ተፈጥሯል. የክፍለ ጊዜው የግል ቁልፍ በተጠቃሚው ኮምፒውተር ላይ ባለው የውቅር ፋይል ውስጥ ተከማችቷል።
- አርኤስኤ-8192. ዋናው የህዝብ ቁልፍ በፕሮግራሙ ውስጥ ተገንብቷል እና የማዋቀሪያውን ፋይል ለማመስጠር ይጠቅማል፣ ይህም የ AES ቁልፍ እና ሚስጥራዊ ቁልፍ ለ RSA-2048 ክፍለ ጊዜ ያከማቻል።
- Nemty በመጀመሪያ 32 ባይት የዘፈቀደ መረጃ ያመነጫል። የመጀመሪያዎቹ 16 ባይት እንደ AES-128-CBC ቁልፍ ጥቅም ላይ ይውላሉ።
ሁለተኛው የኢንክሪፕሽን አልጎሪዝም RSA-2048 ነው። የቁልፍ ጥምር የሚመነጨው በCryptGenKey() ተግባር ሲሆን የመጣው በCryptImportKey() ተግባር ነው።
አንዴ የክፍለ ጊዜው ቁልፍ ጥንድ ከተፈጠረ፣የወል ቁልፉ ወደ MS ክሪፕቶግራፊክ አገልግሎት አቅራቢ ይመጣል።
ለአንድ ክፍለ ጊዜ የመነጨ የህዝብ ቁልፍ ምሳሌ፡-
በመቀጠል, የግል ቁልፉ ወደ ሲ.ኤስ.ፒ.
ለአንድ ክፍለ ጊዜ የመነጨ የግል ቁልፍ ምሳሌ፡-
እና የመጨረሻው የሚመጣው RSA-8192 ነው። ዋናው የህዝብ ቁልፍ በተመሰጠረ ቅጽ (Base64 + RC4) በ PE ፋይል የውሂብ ክፍል ውስጥ ተከማችቷል።
የ RSA-8192 ቁልፍ ከ base64 ዲኮዲንግ እና RC4 ዲክሪፕት በ fuckav ይለፍ ቃል ይህን ይመስላል።
በውጤቱም, አጠቃላይ የምስጠራ ሂደቱ ይህን ይመስላል.
- ሁሉንም ፋይሎች ለማመሳጠር የሚያገለግል ባለ 128-ቢት AES ቁልፍ ይፍጠሩ።
- ለእያንዳንዱ ፋይል IV ይፍጠሩ.
- ለ RSA-2048 ክፍለ ጊዜ የቁልፍ ጥንድ መፍጠር።
- ቤዝ8192 እና RC64 በመጠቀም ያለውን የRSA-4 ቁልፍ መፍታት።
- ከመጀመሪያው እርምጃ AES-128-CBC ስልተ ቀመር በመጠቀም የፋይል ይዘቶችን ያመስጥሩ።
- RSA-2048 የህዝብ ቁልፍ እና ቤዝ64 ኢንኮዲንግ በመጠቀም IV ምስጠራ።
- ኢንክሪፕት የተደረገ IV በእያንዳንዱ የተመሰጠረ ፋይል መጨረሻ ላይ ማከል።
- የAES ቁልፍ እና RSA-2048 ክፍለ ጊዜ የግል ቁልፍን ወደ ውቅሩ ማከል።
- በክፍል ውስጥ የተገለፀው የውቅር ውሂብ
የመረጃ ስብስብ ስለተበከለው ኮምፒዩተር ዋናውን የህዝብ ቁልፍ RSA-8192 በመጠቀም የተመሰጠረ ነው። - የተመሰጠረው ፋይል ይህን ይመስላል።
የተመሰጠሩ ፋይሎች ምሳሌ፡-
ስለተበከለው ኮምፒዩተር መረጃ መሰብሰብ
ራንሰምዌር የተበከሉ ፋይሎችን ዲክሪፕት ለማድረግ ቁልፎችን ይሰበስባል፣ ስለዚህ አጥቂው በትክክል ዲክሪፕተር መፍጠር ይችላል። በተጨማሪም ኔምቲ እንደ የተጠቃሚ ስም ፣ የኮምፒተር ስም ፣ የሃርድዌር መገለጫ ያሉ የተጠቃሚ መረጃዎችን ይሰበስባል።
ስለተበከለው ኮምፒውተር ድራይቮች መረጃ ለመሰብሰብ GetLogicalDrives()፣ GetFreeSpace()፣ GetDriveType() ተግባራትን ይጠራል።
የተሰበሰበው መረጃ በማዋቀሪያ ፋይል ውስጥ ተከማችቷል. ሕብረቁምፊውን ከገለፅን በኋላ በማዋቀሪያው ፋይል ውስጥ ያሉትን መለኪያዎች ዝርዝር እናገኛለን-
የተበከለ ኮምፒውተር ምሳሌ ማዋቀር፡-
የቅንብር አብነት እንደሚከተለው ሊወከል ይችላል፡
{"አጠቃላይ"፡ {"IP"፡"[IP]"፣ "ሀገር":"[ሀገር]"፣ "የኮምፒውተር ስም":"[የኮምፒውተር ስም]"፣ "የተጠቃሚ ስም":"[የተጠቃሚ ስም]"፣"OS"፡ "[OS]"፣ "isRU":false፣ "ስሪት":"1.4"፣ "CompID":"{[CompID]}"፣ "FileID":"_NEMTY_[FileID]_", "UserID":" የተጠቃሚ መታወቂያ]", "ቁልፍ":"[ቁልፍ]", "pr_key":"[pr_key]
Nemty የተሰበሰበውን መረጃ በJSON ቅርጸት በ%USER%/_NEMTY_.nemty ፋይል ያከማቻል። ፋይል መታወቂያ 7 ቁምፊዎች ይረዝማል እና በዘፈቀደ የመነጨ ነው። ለምሳሌ፡- _NEMTY_tgdLYrd_.nemty። የፋይል መታወቂያው በተመሰጠረው ፋይል መጨረሻ ላይም ተያይዟል።
የቤዛ መልእክት
ፋይሎቹን ካመሰጠረ በኋላ፣ ፋይሉ _NEMTY_[FileID] -DECRYPT.txt ከሚከተለው ይዘት ጋር በዴስክቶፕ ላይ ይታያል።
በፋይሉ መጨረሻ ላይ ስለተበከለው ኮምፒውተር የተመሰጠረ መረጃ አለ።
የአውታረ መረብ ግንኙነት
የአይረንማን.exe ሂደት የቶር ማሰሻ ስርጭቱን ከአድራሻው ያወርዳል
ኔምቲ ወደ 127.0.0.1:9050 የውቅረት ዳታ ለመላክ ይሞክራል፣ እዚያም የሚሰራ የቶር አሳሽ ፕሮክሲ ያገኛል። ነገር ግን በነባሪነት የቶር ፕሮክሲ ወደብ 9150 ያዳምጣል፣እና ወደብ 9050 በቶር ዴሞን በሊኑክስ ወይም በዊንዶውስ ኤክስፐርት ቅርቅብ ጥቅም ላይ ይውላል። ስለዚህ ምንም ውሂብ ወደ አጥቂው አገልጋይ አይላክም። በምትኩ ተጠቃሚው የቶር ዲክሪፕት አገልግሎትን በቤዛው መልእክት ውስጥ በተሰጠው ማገናኛ በመጎብኘት የማዋቀሪያ ፋይሉን በእጅ ማውረድ ይችላል።
ከቶር ፕሮክሲ ጋር መገናኘት፡-
HTTP GET ጥያቄን ይፈጥራል 127.0.0.1:9050/public/gate?data=
እዚህ በTORlocal proxy የሚጠቀሙባቸውን ክፍት የTCP ወደቦች ማየት ትችላለህ፡-
የኔምቲ ዲክሪፕሽን አገልግሎት በቶር ኔትወርክ ላይ፡-
ምስጠራ አገልግሎቱን ለመፈተሽ የተመሰጠረ ፎቶ (jpg፣ png፣ bmp) መስቀል ይችላሉ።
ከዚህ በኋላ አጥቂው ቤዛ ለመክፈል ይጠይቃል። ካልተከፈለ ዋጋው በእጥፍ ይጨምራል።
መደምደሚያ
በአሁኑ ጊዜ ቤዛ ሳይከፍሉ በኔምቲ የተመሰጠሩ ፋይሎችን ዲክሪፕት ማድረግ አይቻልም። ይህ የራንሰምዌር ስሪት ከቡራን ራንሰምዌር እና ጊዜው ያለፈበት GandCrab፡ በቦርላንድ ዴልፊ ውስጥ የተቀናበረ እና ተመሳሳይ ጽሑፍ ያላቸው ምስሎች ጋር የጋራ ባህሪያት አሉት። በተጨማሪም, ይህ 8092-ቢት RSA ቁልፍን የሚጠቀም የመጀመሪያው ኢንክሪፕተር ነው, ይህም እንደገና, ምንም ትርጉም አይሰጥም, ምክንያቱም 1024-ቢት ቁልፍ ለመከላከያ በቂ ነው. በመጨረሻም፣ እና የሚገርመው፣ ለአካባቢው የቶር ፕሮክሲ አገልግሎት የተሳሳተ ወደብ ለመጠቀም ይሞክራል።
ይሁን እንጂ መፍትሄዎች
ምንጭ: hab.com