Şəbəkədə GrandCrab və ya Buran-ın varisi olduğu iddia edilən Nemty adlı yeni fidyə proqramı peyda olub. Zərərli proqram əsasən saxta PayPal saytından yayılır və bir sıra maraqlı xüsusiyyətlərə malikdir. Bu ransomware-nin necə işlədiyinə dair təfərrüatlar kəsilməkdədir.
İstifadəçi tərəfindən yeni Nemty ransomware aşkar edilib 7 sentyabr 2019-cu il. Zərərli proqram internet saytı vasitəsilə yayılıb , ransomware-nin RIG istismar dəsti vasitəsilə kompüterə nüfuz etməsi də mümkündür. Təcavüzkarlar sosial mühəndislik metodlarından istifadə edərək istifadəçini PayPal saytından aldığı iddia edilən cashback.exe faylını işə salmağa məcbur ediblər.Həmçinin maraqlıdır ki, Nemty yerli Tor proksi xidməti üçün səhv port göstərib və bu zərərli proqramın göndərilməsinin qarşısını alır. serverə məlumat. Buna görə də, istifadəçi fidyə ödəmək və təcavüzkarlardan şifrənin açılmasını gözləmək niyyətindədirsə, şifrələnmiş faylları Tor şəbəkəsinə özü yükləməli olacaq.
Nemty haqqında bir neçə maraqlı fakt onu eyni insanlar və ya Buran və GrandCrab ilə əlaqəli kibercinayətkarlar tərəfindən hazırlanıb.
- GandCrab kimi Nemtidə də Pasxa yumurtası var - Rusiya prezidenti Vladimir Putinin ədəbsiz zarafatla çəkilmiş şəklinə keçid. Köhnə GandCrab ransomware proqramında eyni mətni olan bir şəkil var idi.
- Hər iki proqramın dil artefaktları eyni rusdilli müəlliflərə işarə edir.
- Bu, 8092 bitlik RSA açarından istifadə edən ilk ransomware proqramıdır. Baxmayaraq ki, bunun mənası yoxdur: 1024 bitlik bir açar haker hücumundan qorunmaq üçün kifayətdir.
- Buran kimi, ransomware də Object Pascal-da yazılmış və Borland Delphi-də tərtib edilmişdir.
Statik analiz
Zərərli kodun icrası dörd mərhələdə baş verir. İlk addım MS Windows altında 32 bayt ölçüsü olan PE1198936 icra edilə bilən faylı cashback.exe-ni işə salmaqdır. Onun kodu Visual C++ dilində yazılmış və 14 oktyabr 2013-cü ildə tərtib edilmişdir. Bu, cashback.exe-ni işə saldığınız zaman avtomatik olaraq açılan arxivi ehtiva edir. Proqram .cab arxivindən faylları əldə etmək üçün Cabinet.dll kitabxanasından və onun FDICreate(), FDIDestroy() və digər funksiyalarından istifadə edir.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Arxivi açdıqdan sonra üç fayl görünəcək.
Daha sonra temp.exe, MS Windows altında 32 bayt ölçüsü olan PE307200 icra edilə bilən faylı işə salınır. Kod Visual C++ dilində yazılmışdır və UPX-ə bənzər paketləyici olan MPRESS paketi ilə paketlənmişdir.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Növbəti addım ironman.exe-dir. Başladıqdan sonra temp.exe daxil edilmiş məlumatı tempdə deşifrə edir və onun adını 32 baytlıq PE544768 icra edilə bilən fayl olan ironman.exe olaraq dəyişdirir. Kod Borland Delphi-də tərtib edilmişdir.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Son addım ironman.exe faylını yenidən başlatmaqdır. İş vaxtı o, kodunu dəyişdirir və yaddaşdan özünü işlədir. Bu ironman.exe versiyası zərərlidir və şifrələmə üçün cavabdehdir.
Hücum vektoru
Hazırda Nemty ransomware proqramı pp-back.info saytı vasitəsilə yayılır.
İnfeksiyanın tam zəncirinə burada baxıla bilər qum qutusu.
Quraşdırma
Cashback.exe - hücumun başlanğıcı. Artıq qeyd edildiyi kimi, cashback.exe tərkibindəki .cab faylını paketdən çıxarır. Sonra o, %TEMP%IXxxx.TMP formasında TMP4351$.TMP qovluğunu yaradır, burada xxx 001-dən 999-a qədər olan rəqəmdir.
Sonra, belə görünən bir qeyd defteri açarı quraşdırılır:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Paketdən çıxarılmamış faylları silmək üçün istifadə olunur. Nəhayət, cashback.exe temp.exe prosesinə başlayır.
Temp.exe infeksiya zəncirinin ikinci mərhələsidir
Bu, virusun icrasının ikinci addımı olan cashback.exe faylı tərəfindən işə salınan prosesdir. O, Windows-da skriptləri işə salmaq üçün alət olan AutoHotKey-i endirməyə və PE faylının resurslar bölməsində yerləşən WindowSpy.ahk skriptini işə salmağa çalışır.
WindowSpy.ahk skripti RC4 alqoritmi və IwantAcake parolundan istifadə edərək ironman.exe-də müvəqqəti faylın şifrəsini açır. Parolun açarı MD5 hashing alqoritmindən istifadə etməklə əldə edilir.
temp.exe sonra ironman.exe prosesini çağırır.
Ironman.exe - üçüncü addım
Ironman.exe iron.bmp faylının məzmununu oxuyur və növbəti işə salınacaq kriptolocker ilə iron.txt faylı yaradır.
Bundan sonra virus yaddaşa iron.txt yükləyir və onu ironman.exe olaraq yenidən işə salır. Bundan sonra iron.txt silinir.
ironman.exe, təsirlənmiş kompüterdəki faylları şifrələyən NEMTY ransomware proqramının əsas hissəsidir. Zərərli proqram nifrət adlı mutex yaradır.
Onun etdiyi ilk şey kompüterin coğrafi yerini müəyyən etməkdir. Nemty brauzeri açır və IP-ni tapır . Onlayn [IP]/ölkə adı Ölkə qəbul edilən IP-dən müəyyən edilir və əgər kompüter aşağıda sadalanan regionlardan birində yerləşirsə, zərərli proqram kodunun icrası dayanır:
- Rusiya
- Belarus
- Ukrayna
- Казахстан
- Таджикистан
Çox güman ki, tərtibatçılar yaşadıqları ölkələrin hüquq-mühafizə orqanlarının diqqətini cəlb etmək istəmirlər və buna görə də "ev" yurisdiksiyalarında faylları şifrələmirlər.
Əgər qurbanın İP ünvanı yuxarıdakı siyahıya aid deyilsə, o zaman virus istifadəçinin məlumatlarını şifrələyir.
Faylın bərpasının qarşısını almaq üçün onların kölgə nüsxələri silinir:
Sonra o, şifrələnməyəcək fayl və qovluqların siyahısını, həmçinin fayl uzantılarının siyahısını yaradır.
- Windows
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- və s
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- iş masası.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- proqram məlumatları
- proqram məlumatları
- osoft
- Ümumi Fayllar
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Qarışıqlıq
URL-ləri və daxil edilmiş konfiqurasiya məlumatlarını gizlətmək üçün Nemty fuckav açar sözü ilə base64 və RC4 kodlaşdırma alqoritmindən istifadə edir.
CryptStringToBinary istifadə edərək deşifrə prosesi aşağıdakı kimidir
Şifrələmə
Nemty üç qatlı şifrələmədən istifadə edir:
- Fayllar üçün AES-128-CBC. 128 bitlik AES açarı təsadüfi yaradılır və bütün fayllar üçün eyni şəkildə istifadə olunur. O, istifadəçinin kompüterində konfiqurasiya faylında saxlanılır. IV hər bir fayl üçün təsadüfi yaradılır və şifrələnmiş faylda saxlanılır.
- Fayl şifrələməsi üçün RSA-2048 IV. Sessiya üçün açar cütü yaradılır. Sessiya üçün şəxsi açar istifadəçinin kompüterində konfiqurasiya faylında saxlanılır.
- RSA-8192. Əsas açıq açar proqrama quraşdırılıb və RSA-2048 sessiyası üçün AES açarı və məxfi açarı saxlayan konfiqurasiya faylını şifrələmək üçün istifadə olunur.
- Nemty əvvəlcə 32 bayt təsadüfi məlumat yaradır. İlk 16 bayt AES-128-CBC açarı kimi istifadə olunur.
İkinci şifrələmə alqoritmi RSA-2048-dir. Açar cütü CryptGenKey() funksiyası tərəfindən yaradılır və CryptImportKey() funksiyası tərəfindən idxal edilir.
Sessiya üçün açar cütü yaradıldıqdan sonra açıq açar MS Kriptoqrafiya Xidməti Provayderinə idxal edilir.
Sessiya üçün yaradılan açıq açarın nümunəsi:
Sonra, şəxsi açar CSP-yə idxal olunur.
Sessiya üçün yaradılan xüsusi açarın nümunəsi:
Və sonuncu RSA-8192 gəlir. Əsas açıq açar şifrələnmiş formada (Base64 + RC4) PE faylının .data bölməsində saxlanılır.
Base8192 şifrələməsindən və sikişmə parolu ilə RC64 deşifrəsindən sonra RSA-4 açarı belə görünür.
Nəticədə, bütün şifrələmə prosesi belə görünür:
- Bütün faylları şifrələmək üçün istifadə olunacaq 128 bitlik AES açarı yaradın.
- Hər bir fayl üçün IV yaradın.
- RSA-2048 sessiyası üçün açar cütünün yaradılması.
- base8192 və RC64 istifadə edərək mövcud RSA-4 açarının şifrəsinin açılması.
- İlk addımdan AES-128-CBC alqoritmindən istifadə edərək fayl məzmununu şifrələyin.
- RSA-2048 açıq açarı və base64 kodlaşdırmasından istifadə edərək IV şifrələmə.
- Hər bir şifrələnmiş faylın sonuna şifrəli IV əlavə edilməsi.
- Konfiqurasiyaya AES açarının və RSA-2048 sessiyasının şəxsi açarının əlavə edilməsi.
- Bölmədə təsvir edilən konfiqurasiya məlumatları yoluxmuş kompüter haqqında RSA-8192 əsas açıq açarı istifadə edərək şifrələnir.
- Şifrələnmiş fayl belə görünür:
Şifrələnmiş fayllara nümunə:
Yoluxmuş kompüter haqqında məlumatların toplanması
Fidyə proqramı yoluxmuş faylların şifrəsini açmaq üçün açarlar toplayır, beləliklə, təcavüzkar həqiqətən deşifrə yarada bilər. Bundan əlavə, Nemty istifadəçi adı, kompüter adı, aparat profili kimi istifadəçi məlumatlarını toplayır.
O, yoluxmuş kompüterin diskləri haqqında məlumat toplamaq üçün GetLogicalDrives(), GetFreeSpace(), GetDriveType() funksiyalarını çağırır.
Toplanmış məlumatlar konfiqurasiya faylında saxlanılır. Sətri deşifrə etdikdən sonra konfiqurasiya faylında parametrlərin siyahısını alırıq:
Yoluxmuş kompüterin konfiqurasiya nümunəsi:
Konfiqurasiya şablonu aşağıdakı kimi təqdim edilə bilər:
{"Ümumi": {"IP":"[IP]", "Ölkə":"[Ölkə]", "KompüterAdı":"[KompüterAdı]", "İstifadəçi adı":"[İstifadəçi adı]", "ƏS": "[OS]", "isRU":false, "versiya":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "açar":"[açar]", "pr_key":"[pr_key]
Nemty toplanmış məlumatları JSON formatında %USER%/_NEMTY_.nemty faylında saxlayır. FileID 7 simvol uzunluğundadır və təsadüfi yaradılır. Məsələn: _NEMTY_tgdLYrd_.nemty. FileID də şifrələnmiş faylın sonuna əlavə olunur.
Fidyə mesajı
Faylları şifrələdikdən sonra _NEMTY_[FileID]-DECRYPT.txt faylı iş masasında aşağıdakı məzmunla görünür:
Faylın sonunda yoluxmuş kompüter haqqında şifrələnmiş məlumat var.
Şəbəkə rabitəsi
ironman.exe prosesi Tor brauzerinin paylanmasını ünvandan endirir və onu quraşdırmağa çalışır.
Daha sonra Nemty konfiqurasiya məlumatlarını 127.0.0.1:9050 ünvanına göndərməyə çalışır və orada işləyən Tor brauzer proksisini tapmağı gözləyir. Bununla belə, standart olaraq Tor proksisi 9150 portunu dinləyir və 9050 portu Linux-da Tor daemon və ya Windows-da Expert Bundle tərəfindən istifadə olunur. Beləliklə, təcavüzkarın serverinə heç bir məlumat göndərilmir. Bunun əvəzinə istifadəçi fidyə mesajında verilmiş link vasitəsilə Tor şifrəsinin açılması xidmətinə daxil olaraq konfiqurasiya faylını əl ilə endirə bilər.
Tor proxy-yə qoşulma:
HTTP GET 127.0.0.1:9050/public/gate?data= üçün sorğu yaradır
Burada TORlocal proxy tərəfindən istifadə edilən açıq TCP portlarını görə bilərsiniz:
Tor şəbəkəsində Nemty şifrələmə xidməti:
Şifrə açma xidmətini sınamaq üçün şifrələnmiş fotoşəkili (jpg, png, bmp) yükləyə bilərsiniz.
Bundan sonra təcavüzkar fidyə ödəməyi tələb edir. Ödəniş edilmədikdə qiymət iki dəfə artırılır.
Nəticə
Hazırda fidyə ödəmədən Nemty tərəfindən şifrələnmiş faylların şifrəsini açmaq mümkün deyil. Ransomware proqramının bu versiyası Buran ransomware və köhnəlmiş GandCrab ilə ümumi xüsusiyyətlərə malikdir: Borland Delphi-də tərtib və eyni mətnli şəkillər. Bundan əlavə, bu, 8092 bitlik RSA açarından istifadə edən ilk şifrələyicidir, bu da yenə heç bir məna kəsb etmir, çünki qorunma üçün 1024 bitlik açar kifayətdir. Nəhayət və maraqlısı odur ki, yerli Tor proxy xidməti üçün səhv portdan istifadə etməyə çalışır.
Bununla belə, həllər и Nemty ransomware proqramının istifadəçi kompüterlərinə və məlumatlarına çatmasının qarşısını alır və provayderlər müştərilərini qoruya bilər. ... Tam yalnız ehtiyat nüsxəsini deyil, həm də istifadə edərək qoruma təmin edir , süni intellektə və davranış evristikasına əsaslanan xüsusi texnologiya, hətta hələ naməlum zərərli proqramları zərərsizləşdirməyə imkan verir.
Mənbə: www.habr.com