ظهر برنامج فدية جديد يسمى Nemty على الشبكة، ومن المفترض أنه خليفة GrandCrab أو Buran. يتم توزيع البرامج الضارة بشكل أساسي من موقع PayPal المزيف وتحتوي على عدد من الميزات المثيرة للاهتمام. التفاصيل حول كيفية عمل برامج الفدية هذه قيد الخفض.
برنامج طلب فدية Nemty جديد اكتشفه المستخدم 7 سبتمبر 2019. تم توزيع البرمجيات الخبيثة من خلال موقع على شبكة الانترنت ، من الممكن أيضًا أن تخترق برامج الفدية جهاز كمبيوتر من خلال مجموعة استغلال RIG. استخدم المهاجمون أساليب الهندسة الاجتماعية لإجبار المستخدم على تشغيل ملف Cashback.exe، الذي يُزعم أنه تلقاه من موقع PayPal الإلكتروني. ومن الغريب أيضًا أن Nemty حدد المنفذ الخاطئ لخدمة الوكيل المحلية Tor، مما يمنع البرامج الضارة من الإرسال البيانات إلى الخادم. ولذلك، سيتعين على المستخدم تحميل الملفات المشفرة إلى شبكة Tor بنفسه إذا كان ينوي دفع الفدية وانتظار فك التشفير من المهاجمين.
تشير العديد من الحقائق المثيرة للاهتمام حول Nemty إلى أنه تم تطويره بواسطة نفس الأشخاص أو بواسطة مجرمي الإنترنت المرتبطين بـ Buran وGrandCrab.
- مثل GandCrab، لدى Nemty بيضة عيد الفصح - رابط لصورة الرئيس الروسي فلاديمير بوتين مع نكتة بذيئة. يحتوي برنامج الفدية GandCrab القديم على صورة بنفس النص.
- تشير القطع الأثرية اللغوية في كلا البرنامجين إلى نفس المؤلفين الناطقين بالروسية.
- هذا هو أول برنامج فدية يستخدم مفتاح RSA 8092 بت. على الرغم من عدم وجود أي نقطة في هذا: مفتاح 1024 بت يكفي للحماية من القرصنة.
- مثل بوران، تمت كتابة برنامج الفدية بلغة Object Pascal وتم تجميعه في Borland Delphi.
التحليل الساكن
يتم تنفيذ التعليمات البرمجية الضارة على أربع مراحل. الخطوة الأولى هي تشغيل Cashback.exe، وهو ملف PE32 قابل للتنفيذ ضمن نظام التشغيل MS Windows بحجم 1198936 بايت. تمت كتابة التعليمات البرمجية الخاصة به في Visual C++ وتم تجميعها في 14 أكتوبر 2013. يحتوي على أرشيف يتم تفريغه تلقائيًا عند تشغيل Cashback.exe. يستخدم البرنامج مكتبة Cabinet.dll ووظائفها FDICreate() وFDIDestroy() وغيرها للحصول على الملفات من أرشيف .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
بعد تفريغ الأرشيف، ستظهر ثلاثة ملفات.
بعد ذلك، يتم تشغيل temp.exe، وهو ملف PE32 قابل للتنفيذ ضمن نظام التشغيل MS Windows بحجم 307200 بايت. تتم كتابة التعليمات البرمجية في Visual C++ ويتم تعبئتها باستخدام حزمة MPRESS، وهي أداة تعبئة مشابهة لـ UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
والخطوة التالية هي Ironman.exe. بمجرد إطلاقه، يقوم temp.exe بفك تشفير البيانات المضمنة في الملف المؤقت وإعادة تسميته إلى Ironman.exe، وهو ملف قابل للتنفيذ بحجم 32 بايت PE544768. يتم تجميع الكود في بورلاند دلفي.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
الخطوة الأخيرة هي إعادة تشغيل ملف Ironman.exe. في وقت التشغيل، يقوم بتحويل التعليمات البرمجية الخاصة به وتشغيل نفسه من الذاكرة. هذا الإصدار من Ironman.exe ضار وهو مسؤول عن التشفير.
ناقل الهجوم
حاليًا، يتم توزيع برنامج Nemty Ransomware عبر موقع الويب pp-back.info.
يمكن الاطلاع على السلسلة الكاملة للعدوى على رمل.
تركيب
Cashback.exe - بداية الهجوم. كما ذكرنا من قبل، يقوم Cashback.exe بفك ضغط ملف .cab الذي يحتوي عليه. ثم يقوم بإنشاء مجلد TMP4351$.TMP بالصيغة %TEMP%IXxxx.TMP، حيث xxx هو رقم من 001 إلى 999.
بعد ذلك، يتم تثبيت مفتاح التسجيل، والذي يبدو كالتالي:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
يتم استخدامه لحذف الملفات التي تم فك حزمتها. وأخيراً، يبدأ Cashback.exe عملية temp.exe.
Temp.exe هي المرحلة الثانية في سلسلة العدوى
هذه هي العملية التي أطلقها ملف Cashback.exe، وهي الخطوة الثانية من تنفيذ الفيروس. يحاول تنزيل AutoHotKey، وهي أداة لتشغيل البرامج النصية على Windows، وتشغيل البرنامج النصي WindowSpy.ahk الموجود في قسم الموارد في ملف PE.
يقوم البرنامج النصي WindowSpy.ahk بفك تشفير الملف المؤقت في Ironman.exe باستخدام خوارزمية RC4 وكلمة المرور IwantAcake. يتم الحصول على مفتاح كلمة المرور باستخدام خوارزمية التجزئة MD5.
ثم يقوم temp.exe باستدعاء عملية Ironman.exe.
Ironman.exe - الخطوة الثالثة
يقرأ Ironman.exe محتويات ملف Iron.bmp ويقوم بإنشاء ملف Iron.txt باستخدام أداة cryptolocker التي سيتم تشغيلها بعد ذلك.
بعد ذلك، يقوم الفيروس بتحميل ملف Iron.txt في الذاكرة وإعادة تشغيله كملف Ironman.exe. بعد ذلك، يتم حذف ملف Iron.txt.
يعد Ironman.exe الجزء الرئيسي من برنامج NEMTY Ransomware، الذي يقوم بتشفير الملفات الموجودة على الكمبيوتر المصاب. تقوم البرامج الضارة بإنشاء كائن مزامنة يسمى الكراهية.
أول شيء يفعله هو تحديد الموقع الجغرافي للكمبيوتر. يفتح Nemty المتصفح ويكتشف عنوان IP الخاص به . في الموقع [IP]/countryName يتم تحديد البلد من عنوان IP المستلم، وإذا كان الكمبيوتر موجودًا في إحدى المناطق المذكورة أدناه، فسيتوقف تنفيذ كود البرامج الضارة:
- روسيا
- روسيا البيضاء
- أوكرانيا
- كازاخستان
- طاجيكستان
على الأرجح، لا يرغب المطورون في جذب انتباه وكالات إنفاذ القانون في بلدان إقامتهم، وبالتالي لا يقومون بتشفير الملفات في ولاياتهم القضائية "الوطنية".
إذا كان عنوان IP الخاص بالضحية لا ينتمي إلى القائمة أعلاه، فسيقوم الفيروس بتشفير معلومات المستخدم.
لمنع استرداد الملفات، يتم حذف النسخ الاحتياطية الخاصة بها:
ثم يقوم بإنشاء قائمة بالملفات والمجلدات التي لن يتم تشفيرها، بالإضافة إلى قائمة بامتدادات الملفات.
- نوافذ
- $ RECYCLE.BIN
- آر إس إيه
- NTDETECT.COM
- NTLDR
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- تكوين النظام.
- BOOTSECT.BAK
- Dice: الزهر:
- بيانات البرنامج
- APPDATA
- com.osoft
- الملفات المشتركة
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY التشويش
لإخفاء عناوين URL وبيانات التكوين المضمنة، يستخدم Nemty خوارزمية تشفير base64 وRC4 مع الكلمة الأساسية Fuckav.
عملية فك التشفير باستخدام CryptStringToBinary هي كما يلي
التشفير
يستخدم Nemty تشفيرًا ثلاثي الطبقات:
- AES-128-CBC للملفات. يتم إنشاء مفتاح AES 128 بت بشكل عشوائي ويتم استخدامه بنفس الطريقة لجميع الملفات. يتم تخزينه في ملف التكوين على جهاز الكمبيوتر الخاص بالمستخدم. يتم إنشاء IV بشكل عشوائي لكل ملف ويتم تخزينه في ملف مشفر.
- RSA-2048 لتشفير الملفات IV. يتم إنشاء زوج مفاتيح للجلسة. يتم تخزين المفتاح الخاص للجلسة في ملف تكوين على كمبيوتر المستخدم.
- آر إس إيه-8192. المفتاح العام الرئيسي مدمج في البرنامج ويستخدم لتشفير ملف التكوين الذي يخزن مفتاح AES والمفتاح السري لجلسة RSA-2048.
- يقوم Nemty أولاً بإنشاء 32 بايت من البيانات العشوائية. يتم استخدام أول 16 بايت كمفتاح AES-128-CBC.
خوارزمية التشفير الثانية هي RSA-2048. يتم إنشاء زوج المفاتيح بواسطة الدالة CryptGenKey() ويتم استيراده بواسطة الدالة CryptImportKey().
بمجرد إنشاء زوج المفاتيح للجلسة، يتم استيراد المفتاح العام إلى موفر خدمة تشفير MS.
مثال على المفتاح العام الذي تم إنشاؤه لجلسة ما:
بعد ذلك، يتم استيراد المفتاح الخاص إلى CSP.
مثال على المفتاح الخاص الذي تم إنشاؤه لجلسة ما:
ويأتي أخيرًا RSA-8192. يتم تخزين المفتاح العام الرئيسي في شكل مشفر (Base64 + RC4) في قسم .data في ملف PE.
يبدو مفتاح RSA-8192 بعد فك تشفير Base64 وفك تشفير RC4 باستخدام كلمة مرور Fuckav هكذا.
ونتيجة لذلك، تبدو عملية التشفير بأكملها كما يلي:
- قم بإنشاء مفتاح AES 128 بت الذي سيتم استخدامه لتشفير جميع الملفات.
- قم بإنشاء IV لكل ملف.
- إنشاء زوج مفاتيح لجلسة RSA-2048.
- فك تشفير مفتاح RSA-8192 موجود باستخدام base64 وRC4.
- تشفير محتويات الملف باستخدام خوارزمية AES-128-CBC من الخطوة الأولى.
- تشفير IV باستخدام المفتاح العام RSA-2048 وترميز Base64.
- إضافة IV مشفر إلى نهاية كل ملف مشفر.
- إضافة مفتاح AES ومفتاح خاص لجلسة RSA-2048 إلى ملف التكوين.
- بيانات التكوين الموضحة في القسم حول جهاز الكمبيوتر المصاب يتم تشفيرها باستخدام المفتاح العام الرئيسي RSA-8192.
- يبدو الملف المشفر كما يلي:
مثال على الملفات المشفرة:
جمع المعلومات حول جهاز الكمبيوتر المصاب
يقوم برنامج الفدية بجمع المفاتيح لفك تشفير الملفات المصابة، حتى يتمكن المهاجم من إنشاء برنامج فك التشفير. بالإضافة إلى ذلك، تقوم Nemty بجمع بيانات المستخدم مثل اسم المستخدم واسم الكمبيوتر وملف تعريف الأجهزة.
فهو يستدعي وظائف GetLogicalDrives() وGetFreeSpace() وGetDriveType() لجمع معلومات حول محركات الأقراص للكمبيوتر المصاب.
يتم تخزين المعلومات التي تم جمعها في ملف التكوين. بعد فك تشفير السلسلة، نحصل على قائمة المعلمات في ملف التكوين:
مثال لتكوين جهاز كمبيوتر مصاب:
يمكن تمثيل قالب التكوين على النحو التالي:
{"عام": {"IP": "[IP]"، "البلد": "[البلد]"، "اسم الكمبيوتر": "[اسم الكمبيوتر]"، "اسم المستخدم": "[اسم المستخدم]"، "نظام التشغيل": "[OS]"، "isRU":false، "version": "1.4"، "CompID": "{[CompID]}"، "FileID": "_NEMTY_[FileID]_"، "UserID": "[ معرف المستخدم]"، "مفتاح": "[مفتاح]"، "pr_key": "[pr_key]
يقوم Nemty بتخزين البيانات المجمعة بتنسيق JSON في الملف %USER%/_NEMTY_.nemty. يتكون معرف الملف من 7 أحرف ويتم إنشاؤه بشكل عشوائي. على سبيل المثال: _NEMTY_tgdLYrd_.nemty. يتم أيضًا إلحاق FileID بنهاية الملف المشفر.
رسالة فدية
بعد تشفير الملفات، يظهر الملف _NEMTY_[FileID]-DECRYPT.txt على سطح المكتب بالمحتوى التالي:
وفي نهاية الملف توجد معلومات مشفرة حول الكمبيوتر المصاب.
شبكة التواصل
تقوم عملية Ironman.exe بتنزيل توزيع متصفح Tor من العنوان ويحاول تثبيته.
يحاول Nemty بعد ذلك إرسال بيانات التكوين إلى 127.0.0.1:9050، حيث يتوقع العثور على وكيل متصفح Tor فعال. ومع ذلك، يستمع وكيل Tor افتراضيًا على المنفذ 9150، ويتم استخدام المنفذ 9050 بواسطة برنامج Tor الخفي على Linux أو Expert Bundle على Windows. وبالتالي، لا يتم إرسال أية بيانات إلى خادم المهاجم. وبدلاً من ذلك، يمكن للمستخدم تنزيل ملف التكوين يدويًا من خلال زيارة خدمة فك تشفير Tor عبر الرابط المقدم في رسالة الفدية.
الاتصال بوكيل Tor:
يقوم HTTP GET بإنشاء طلب إلى 127.0.0.1:9050/public/gate?data=
هنا يمكنك رؤية منافذ TCP المفتوحة التي يستخدمها وكيل TORlocal:
خدمة فك التشفير Nemty على شبكة Tor :
يمكنك تحميل صورة مشفرة (jpg، png، bmp) لاختبار خدمة فك التشفير.
وبعد ذلك يطلب المهاجم دفع فدية. وفي حالة عدم الدفع يتم مضاعفة السعر.
اختتام
في الوقت الحالي، ليس من الممكن فك تشفير الملفات المشفرة بواسطة Nemty دون دفع فدية. يحتوي هذا الإصدار من برامج الفدية على ميزات مشتركة مع برامج الفدية Buran وGandCrab القديمة: تجميع في Borland Delphi وصور بنفس النص. بالإضافة إلى ذلك، هذا هو أول برنامج تشفير يستخدم مفتاح RSA 8092 بت، والذي، مرة أخرى، ليس له أي معنى، لأن مفتاح 1024 بت يكفي للحماية. وأخيرًا، ومن المثير للاهتمام، أنه يحاول استخدام المنفذ الخاطئ لخدمة وكيل Tor المحلية.
ومع ذلك، الحلول и منع برنامج Nemty Ransomware من الوصول إلى أجهزة الكمبيوتر الشخصية والبيانات الخاصة بالمستخدمين، ويمكن لمقدمي الخدمات حماية عملائهم باستخدام . ممتلىء لا يوفر النسخ الاحتياطي فحسب، بل يوفر أيضًا الحماية باستخدام ، وهي تقنية خاصة تعتمد على الذكاء الاصطناعي والاستدلال السلوكي الذي يسمح لك بتحييد البرامج الضارة غير المعروفة حتى الآن.
المصدر: www.habr.com