ProHoster > Blog > İdarə > Saxta PayPal saytından Nemty ransomware ilə tanış olun
Saxta PayPal saytından Nemty ransomware ilə tanış olun
Şəbəkədə GrandCrab və ya Buran-ın varisi olduğu iddia edilən Nemty adlı yeni fidyə proqramı peyda olub. Zərərli proqram əsasən saxta PayPal saytından yayılır və bir sıra maraqlı xüsusiyyətlərə malikdir. Bu ransomware-nin necə işlədiyinə dair təfərrüatlar kəsilməkdədir.
İstifadəçi tərəfindən yeni Nemty ransomware aşkar edilib nao_sec 7 sentyabr 2019-cu il. Zərərli proqram internet saytı vasitəsilə yayılıb PayPal kimi maskalanıb, ransomware-nin RIG istismar dəsti vasitəsilə kompüterə nüfuz etməsi də mümkündür. Təcavüzkarlar sosial mühəndislik metodlarından istifadə edərək istifadəçini PayPal saytından aldığı iddia edilən cashback.exe faylını işə salmağa məcbur ediblər.Həmçinin maraqlıdır ki, Nemty yerli Tor proksi xidməti üçün səhv port göstərib və bu zərərli proqramın göndərilməsinin qarşısını alır. serverə məlumat. Buna görə də, istifadəçi fidyə ödəmək və təcavüzkarlardan şifrənin açılmasını gözləmək niyyətindədirsə, şifrələnmiş faylları Tor şəbəkəsinə özü yükləməli olacaq.
Nemty haqqında bir neçə maraqlı fakt onu eyni insanlar və ya Buran və GrandCrab ilə əlaqəli kibercinayətkarlar tərəfindən hazırlanıb.
GandCrab kimi Nemtidə də Pasxa yumurtası var - Rusiya prezidenti Vladimir Putinin ədəbsiz zarafatla çəkilmiş şəklinə keçid. Köhnə GandCrab ransomware proqramında eyni mətni olan bir şəkil var idi.
Hər iki proqramın dil artefaktları eyni rusdilli müəlliflərə işarə edir.
Bu, 8092 bitlik RSA açarından istifadə edən ilk ransomware proqramıdır. Baxmayaraq ki, bunun mənası yoxdur: 1024 bitlik bir açar haker hücumundan qorunmaq üçün kifayətdir.
Buran kimi, ransomware də Object Pascal-da yazılmış və Borland Delphi-də tərtib edilmişdir.
Statik analiz
Zərərli kodun icrası dörd mərhələdə baş verir. İlk addım MS Windows altında 32 bayt ölçüsü olan PE1198936 icra edilə bilən faylı cashback.exe-ni işə salmaqdır. Onun kodu Visual C++ dilində yazılmış və 14 oktyabr 2013-cü ildə tərtib edilmişdir. Bu, cashback.exe-ni işə saldığınız zaman avtomatik olaraq açılan arxivi ehtiva edir. Proqram .cab arxivindən faylları əldə etmək üçün Cabinet.dll kitabxanasından və onun FDICreate(), FDIDestroy() və digər funksiyalarından istifadə edir.
Daha sonra temp.exe, MS Windows altında 32 bayt ölçüsü olan PE307200 icra edilə bilən faylı işə salınır. Kod Visual C++ dilində yazılmışdır və UPX-ə bənzər paketləyici olan MPRESS paketi ilə paketlənmişdir.
Növbəti addım ironman.exe-dir. Başladıqdan sonra temp.exe daxil edilmiş məlumatı tempdə deşifrə edir və onun adını 32 baytlıq PE544768 icra edilə bilən fayl olan ironman.exe olaraq dəyişdirir. Kod Borland Delphi-də tərtib edilmişdir.
Son addım ironman.exe faylını yenidən başlatmaqdır. İş vaxtı o, kodunu dəyişdirir və yaddaşdan özünü işlədir. Bu ironman.exe versiyası zərərlidir və şifrələmə üçün cavabdehdir.
Hücum vektoru
Hazırda Nemty ransomware proqramı pp-back.info saytı vasitəsilə yayılır.
İnfeksiyanın tam zəncirinə burada baxıla bilər app.any.run qum qutusu.
Quraşdırma
Cashback.exe - hücumun başlanğıcı. Artıq qeyd edildiyi kimi, cashback.exe tərkibindəki .cab faylını paketdən çıxarır. Sonra o, %TEMP%IXxxx.TMP formasında TMP4351$.TMP qovluğunu yaradır, burada xxx 001-dən 999-a qədər olan rəqəmdir.
Sonra, belə görünən bir qeyd defteri açarı quraşdırılır:
Paketdən çıxarılmamış faylları silmək üçün istifadə olunur. Nəhayət, cashback.exe temp.exe prosesinə başlayır.
Temp.exe infeksiya zəncirinin ikinci mərhələsidir
Bu, virusun icrasının ikinci addımı olan cashback.exe faylı tərəfindən işə salınan prosesdir. O, Windows-da skriptləri işə salmaq üçün alət olan AutoHotKey-i endirməyə və PE faylının resurslar bölməsində yerləşən WindowSpy.ahk skriptini işə salmağa çalışır.
WindowSpy.ahk skripti RC4 alqoritmi və IwantAcake parolundan istifadə edərək ironman.exe-də müvəqqəti faylın şifrəsini açır. Parolun açarı MD5 hashing alqoritmindən istifadə etməklə əldə edilir.
temp.exe sonra ironman.exe prosesini çağırır.
Ironman.exe - üçüncü addım
Ironman.exe iron.bmp faylının məzmununu oxuyur və növbəti işə salınacaq kriptolocker ilə iron.txt faylı yaradır.
Bundan sonra virus yaddaşa iron.txt yükləyir və onu ironman.exe olaraq yenidən işə salır. Bundan sonra iron.txt silinir.
ironman.exe, təsirlənmiş kompüterdəki faylları şifrələyən NEMTY ransomware proqramının əsas hissəsidir. Zərərli proqram nifrət adlı mutex yaradır.
Onun etdiyi ilk şey kompüterin coğrafi yerini müəyyən etməkdir. Nemty brauzeri açır və IP-ni tapır http://api.ipify.org. Onlayn api.db-ip.com/v2/free[IP]/ölkə adı Ölkə qəbul edilən IP-dən müəyyən edilir və əgər kompüter aşağıda sadalanan regionlardan birində yerləşirsə, zərərli proqram kodunun icrası dayanır:
Rusiya
Belarus
Ukrayna
Казахстан
Таджикистан
Çox güman ki, tərtibatçılar yaşadıqları ölkələrin hüquq-mühafizə orqanlarının diqqətini cəlb etmək istəmirlər və buna görə də "ev" yurisdiksiyalarında faylları şifrələmirlər.
Əgər qurbanın İP ünvanı yuxarıdakı siyahıya aid deyilsə, o zaman virus istifadəçinin məlumatlarını şifrələyir.
Faylın bərpasının qarşısını almaq üçün onların kölgə nüsxələri silinir:
Sonra o, şifrələnməyəcək fayl və qovluqların siyahısını, həmçinin fayl uzantılarının siyahısını yaradır.
Windows
$RECYCLE.BIN
rsa
NTDETECT.COM
və s
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
iş masası.ini
SYS CONFIG.
BOOTSECT.BAK
bootmgr
proqram məlumatları
proqram məlumatları
osoft
Ümumi Fayllar
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Qarışıqlıq
URL-ləri və daxil edilmiş konfiqurasiya məlumatlarını gizlətmək üçün Nemty fuckav açar sözü ilə base64 və RC4 kodlaşdırma alqoritmindən istifadə edir.
CryptStringToBinary istifadə edərək deşifrə prosesi aşağıdakı kimidir
Şifrələmə
Nemty üç qatlı şifrələmədən istifadə edir:
Fayllar üçün AES-128-CBC. 128 bitlik AES açarı təsadüfi yaradılır və bütün fayllar üçün eyni şəkildə istifadə olunur. O, istifadəçinin kompüterində konfiqurasiya faylında saxlanılır. IV hər bir fayl üçün təsadüfi yaradılır və şifrələnmiş faylda saxlanılır.
Fayl şifrələməsi üçün RSA-2048 IV. Sessiya üçün açar cütü yaradılır. Sessiya üçün şəxsi açar istifadəçinin kompüterində konfiqurasiya faylında saxlanılır.
RSA-8192. Əsas açıq açar proqrama quraşdırılıb və RSA-2048 sessiyası üçün AES açarı və məxfi açarı saxlayan konfiqurasiya faylını şifrələmək üçün istifadə olunur.
Nemty əvvəlcə 32 bayt təsadüfi məlumat yaradır. İlk 16 bayt AES-128-CBC açarı kimi istifadə olunur.
İkinci şifrələmə alqoritmi RSA-2048-dir. Açar cütü CryptGenKey() funksiyası tərəfindən yaradılır və CryptImportKey() funksiyası tərəfindən idxal edilir.
Sessiya üçün açar cütü yaradıldıqdan sonra açıq açar MS Kriptoqrafiya Xidməti Provayderinə idxal edilir.
Sessiya üçün yaradılan açıq açarın nümunəsi:
Sonra, şəxsi açar CSP-yə idxal olunur.
Sessiya üçün yaradılan xüsusi açarın nümunəsi:
Və sonuncu RSA-8192 gəlir. Əsas açıq açar şifrələnmiş formada (Base64 + RC4) PE faylının .data bölməsində saxlanılır.
Base8192 şifrələməsindən və sikişmə parolu ilə RC64 deşifrəsindən sonra RSA-4 açarı belə görünür.
Nəticədə, bütün şifrələmə prosesi belə görünür:
Bütün faylları şifrələmək üçün istifadə olunacaq 128 bitlik AES açarı yaradın.
Hər bir fayl üçün IV yaradın.
RSA-2048 sessiyası üçün açar cütünün yaradılması.
base8192 və RC64 istifadə edərək mövcud RSA-4 açarının şifrəsinin açılması.
İlk addımdan AES-128-CBC alqoritmindən istifadə edərək fayl məzmununu şifrələyin.
RSA-2048 açıq açarı və base64 kodlaşdırmasından istifadə edərək IV şifrələmə.
Hər bir şifrələnmiş faylın sonuna şifrəli IV əlavə edilməsi.
Konfiqurasiyaya AES açarının və RSA-2048 sessiyasının şəxsi açarının əlavə edilməsi.
Bölmədə təsvir edilən konfiqurasiya məlumatları İnformasiya toplanması yoluxmuş kompüter haqqında RSA-8192 əsas açıq açarı istifadə edərək şifrələnir.
Şifrələnmiş fayl belə görünür:
Şifrələnmiş fayllara nümunə:
Yoluxmuş kompüter haqqında məlumatların toplanması
Fidyə proqramı yoluxmuş faylların şifrəsini açmaq üçün açarlar toplayır, beləliklə, təcavüzkar həqiqətən deşifrə yarada bilər. Bundan əlavə, Nemty istifadəçi adı, kompüter adı, aparat profili kimi istifadəçi məlumatlarını toplayır.
O, yoluxmuş kompüterin diskləri haqqında məlumat toplamaq üçün GetLogicalDrives(), GetFreeSpace(), GetDriveType() funksiyalarını çağırır.
Toplanmış məlumatlar konfiqurasiya faylında saxlanılır. Sətri deşifrə etdikdən sonra konfiqurasiya faylında parametrlərin siyahısını alırıq:
Yoluxmuş kompüterin konfiqurasiya nümunəsi:
Konfiqurasiya şablonu aşağıdakı kimi təqdim edilə bilər:
Nemty toplanmış məlumatları JSON formatında %USER%/_NEMTY_.nemty faylında saxlayır. FileID 7 simvol uzunluğundadır və təsadüfi yaradılır. Məsələn: _NEMTY_tgdLYrd_.nemty. FileID də şifrələnmiş faylın sonuna əlavə olunur.
Fidyə mesajı
Faylları şifrələdikdən sonra _NEMTY_[FileID]-DECRYPT.txt faylı iş masasında aşağıdakı məzmunla görünür:
Faylın sonunda yoluxmuş kompüter haqqında şifrələnmiş məlumat var.
Daha sonra Nemty konfiqurasiya məlumatlarını 127.0.0.1:9050 ünvanına göndərməyə çalışır və orada işləyən Tor brauzer proksisini tapmağı gözləyir. Bununla belə, standart olaraq Tor proksisi 9150 portunu dinləyir və 9050 portu Linux-da Tor daemon və ya Windows-da Expert Bundle tərəfindən istifadə olunur. Beləliklə, təcavüzkarın serverinə heç bir məlumat göndərilmir. Bunun əvəzinə istifadəçi fidyə mesajında verilmiş link vasitəsilə Tor şifrəsinin açılması xidmətinə daxil olaraq konfiqurasiya faylını əl ilə endirə bilər.
Tor proxy-yə qoşulma:
HTTP GET 127.0.0.1:9050/public/gate?data= üçün sorğu yaradır
Burada TORlocal proxy tərəfindən istifadə edilən açıq TCP portlarını görə bilərsiniz:
Bundan sonra təcavüzkar fidyə ödəməyi tələb edir. Ödəniş edilmədikdə qiymət iki dəfə artırılır.
Nəticə
Hazırda fidyə ödəmədən Nemty tərəfindən şifrələnmiş faylların şifrəsini açmaq mümkün deyil. Ransomware proqramının bu versiyası Buran ransomware və köhnəlmiş GandCrab ilə ümumi xüsusiyyətlərə malikdir: Borland Delphi-də tərtib və eyni mətnli şəkillər. Bundan əlavə, bu, 8092 bitlik RSA açarından istifadə edən ilk şifrələyicidir, bu da yenə heç bir məna kəsb etmir, çünki qorunma üçün 1024 bitlik açar kifayətdir. Nəhayət və maraqlısı odur ki, yerli Tor proxy xidməti üçün səhv portdan istifadə etməyə çalışır.
Bununla belə, həllər Acronis Yedəkləmə и Acronis True Image Nemty ransomware proqramının istifadəçi kompüterlərinə və məlumatlarına çatmasının qarşısını alır və provayderlər müştərilərini qoruya bilər. Acronis Yedek Bulud... Tam Kibermüdafiə yalnız ehtiyat nüsxəsini deyil, həm də istifadə edərək qoruma təmin edir Acronis Aktiv Qoruma, süni intellektə və davranış evristikasına əsaslanan xüsusi texnologiya, hətta hələ naməlum zərərli proqramları zərərsizləşdirməyə imkan verir.