Запознайте се с рансъмуер Nemty от фалшив уебсайт на PayPal

В мрежата се появи нов ransomware, наречен Nemty, за който се предполага, че е наследник на GrandCrab или Buran. Зловреден софтуер се разпространява главно от фалшивия уебсайт на PayPal и има редица интересни функции. Подробности за това как работи този ransomware са под разрез.

Нов рансъмуер Nemty, открит от потребител nao_sec 7 септември 2019 г. Зловреден софтуер се разпространява чрез уебсайт маскиран като PayPal, също така е възможно рансъмуерът да проникне в компютър чрез комплекта за експлойт RIG. Нападателите са използвали методи за социално инженерство, за да принудят потребителя да стартира файла cashback.exe, за който се твърди, че е получил от уебсайта на PayPal.Любопитно е също, че Nemty е посочил грешен порт за локалната прокси услуга Tor, която предотвратява изпращането на зловреден софтуер данни към сървъра. Следователно потребителят ще трябва сам да качи криптирани файлове в мрежата Tor, ако възнамерява да плати откупа и да чака декриптиране от нападателите.

Няколко интересни факта за Nemty предполагат, че е разработен от същите хора или от киберпрестъпници, свързани с Buran и GrandCrab.

• Подобно на GandCrab, Nemty има великденско яйце - връзка към снимка на руския президент Владимир Путин с неприлична шега. Наследеният рансъмуер GandCrab имаше изображение със същия текст.
• Езиковите артефакти на двете програми сочат към едни и същи рускоезични автори.
• Това е първият ransomware, който използва 8092-битов RSA ключ. Въпреки че няма смисъл в това: 1024-битов ключ е напълно достатъчен за защита срещу хакване.
• Подобно на Buran, рансъмуерът е написан на Object Pascal и компилиран в Borland Delphi.

Статичен анализ

Изпълнението на зловреден код става на четири етапа. Първата стъпка е да стартирате cashback.exe, PE32 изпълним файл под MS Windows с размер 1198936 байта. Кодът му е написан на Visual C++ и компилиран на 14 октомври 2013 г. Той съдържа архив, който автоматично се разопакова, когато стартирате cashback.exe. Софтуерът използва библиотеката Cabinet.dll и нейните функции FDICreate(), FDIDestroy() и други за получаване на файлове от .cab архива.

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

След разопаковането на архива ще се появят три файла.

След това се стартира temp.exe, PE32 изпълним файл под MS Windows с размер 307200 байта. Кодът е написан на Visual C++ и е пакетиран с MPRESS пакет, пакет, подобен на UPX.

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

Следващата стъпка е ironman.exe. Веднъж стартиран, temp.exe дешифрира вградените данни в temp и го преименува на ironman.exe, 32 байтов PE544768 изпълним файл. Кодът е компилиран в Borland Delphi.

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

Последната стъпка е да рестартирате файла ironman.exe. По време на изпълнение той трансформира своя код и се изпълнява от паметта. Тази версия на ironman.exe е злонамерена и отговаря за криптирането.

Вектор на атака

В момента рансъмуерът Nemty се разпространява чрез уебсайта pp-back.info.

Пълната верига на заразяване може да се види на app.any.run пясък.

Инсталация

Cashback.exe - началото на атаката. Както вече споменахме, cashback.exe разопакова .cab файла, който съдържа. След това създава папка TMP4351$.TMP под формата %TEMP%IXxxx.TMP, където xxx е число от 001 до 999.

След това се инсталира ключ на системния регистър, който изглежда така:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””

Използва се за изтриване на неопаковани файлове. Накрая cashback.exe стартира процеса temp.exe.

Temp.exe е вторият етап от веригата на заразяване

Това е процесът, стартиран от файла cashback.exe, втората стъпка от изпълнението на вируса. Той се опитва да изтегли AutoHotKey, инструмент за стартиране на скриптове в Windows, и да изпълни скрипта WindowSpy.ahk, намиращ се в секцията с ресурси на PE файла.

Скриптът WindowSpy.ahk дешифрира временния файл в ironman.exe с помощта на алгоритъма RC4 и паролата IwantAcake. Ключът от паролата се получава с помощта на алгоритъма за хеширане MD5.

temp.exe след това извиква процеса ironman.exe.

Ironman.exe - трета стъпка

Ironman.exe чете съдържанието на файла iron.bmp и създава файл iron.txt с cryptolocker, който ще бъде стартиран след това.

След това вирусът зарежда iron.txt в паметта и го рестартира като ironman.exe. След това iron.txt се изтрива.

ironman.exe е основната част от рансъмуера NEMTY, който криптира файлове на засегнатия компютър. Зловреден софтуер създава mutex, наречен hate.

Първото нещо, което прави, е да определи географското местоположение на компютъра. Nemty отваря браузъра и открива IP на http://api.ipify.org. На линия api.db-ip.com/v2/free[IP]/countryName Държавата се определя от полученото IP и ако компютърът се намира в един от регионите, изброени по-долу, изпълнението на злонамерения код спира:

• Русия
• Белорусия
• Украйна
• Казахстан
• Таджикистан

Най-вероятно разработчиците не искат да привлекат вниманието на правоприлагащите органи в страните си на пребиваване и следователно не криптират файлове в своите „домашни“ юрисдикции.

Ако IP адресът на жертвата не принадлежи към горния списък, тогава вирусът криптира информацията на потребителя.

За да се предотврати възстановяването на файлове, техните скрити копия се изтриват:

След това създава списък с файлове и папки, които няма да бъдат криптирани, както и списък с файлови разширения.

• прозорци
• $ RECYCLE.BIN
• RSA
• NTDETECT.COM
• NTLDR
• MSDOS.SYS
• IO.SYS
• boot.ini AUTOEXEC.BAT ntuser.dat
• desktop.ini
• CONFIG.SYS
• BOOTSECT.BAK
• Bootmgr
• програмни данни
• данни за приложението
• osoft
• Общи файлове

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY 

Объркване

За да скрие URL адреси и вградени конфигурационни данни, Nemty използва алгоритъм за кодиране base64 и RC4 с ключовата дума fuckav.

Процесът на дешифриране с помощта на CryptStringToBinary е както следва

Шифрование

Nemty използва трислойно криптиране:

• AES-128-CBC за файлове. 128-битовият AES ключ се генерира на случаен принцип и се използва еднакво за всички файлове. Той се съхранява в конфигурационен файл на компютъра на потребителя. IV се генерира на случаен принцип за всеки файл и се съхранява в криптиран файл.
• RSA-2048 за криптиране на файлове IV. Генерира се двойка ключове за сесията. Частният ключ за сесията се съхранява в конфигурационен файл на компютъра на потребителя.
• RSA-8192. Главният публичен ключ е вграден в програмата и се използва за криптиране на конфигурационния файл, който съхранява AES ключа и секретния ключ за сесията RSA-2048.
• Nemty първо генерира 32 байта произволни данни. Първите 16 байта се използват като ключ AES-128-CBC.

Вторият алгоритъм за криптиране е RSA-2048. Двойката ключове се генерира от функцията CryptGenKey() и се импортира от функцията CryptImportKey().

След като двойката ключове за сесията бъде генерирана, публичният ключ се импортира в доставчика на криптографски услуги на MS.

Пример за генериран публичен ключ за сесия:

След това частният ключ се импортира в CSP.

Пример за генериран частен ключ за сесия:

И накрая идва RSA-8192. Основният публичен ключ се съхранява в криптирана форма (Base64 + RC4) в секцията .data на PE файла.

Ключът RSA-8192 след base64 декодиране и RC4 декриптиране с fuckav паролата изглежда така.

В резултат на това целият процес на криптиране изглежда така:

• Генерирайте 128-битов AES ключ, който ще се използва за криптиране на всички файлове.
• Създайте IV за всеки файл.
• Създаване на двойка ключове за RSA-2048 сесия.
• Дешифриране на съществуващ ключ RSA-8192 с помощта на base64 и RC4.
• Шифровайте съдържанието на файла с помощта на алгоритъма AES-128-CBC от първата стъпка.
• IV криптиране с помощта на публичен ключ RSA-2048 и кодиране base64.
• Добавяне на криптиран IV в края на всеки криптиран файл.
• Добавяне на AES ключ и частен ключ за сесия RSA-2048 към конфигурацията.
• Конфигурационни данни, описани в раздел Събиране на информация за заразения компютър са криптирани с помощта на основния публичен ключ RSA-8192.
• Шифрованият файл изглежда така:

Пример за криптирани файлове:

Събиране на информация за заразения компютър

Рансъмуерът събира ключове за декриптиране на заразени файлове, така че атакуващият може действително да създаде декриптор. Освен това Nemty събира потребителски данни като потребителско име, име на компютър, хардуерен профил.

Той извиква функциите GetLogicalDrives(), GetFreeSpace(), GetDriveType(), за да събере информация за устройствата на заразения компютър.

Събраната информация се съхранява в конфигурационен файл. След като декодирахме низа, получаваме списък с параметри в конфигурационния файл:

Примерна конфигурация на заразен компютър:

Конфигурационният шаблон може да бъде представен по следния начин:

{"Общи": {"IP":"[IP]", "Държава":"[Държава]", "Име на компютър":"[Име на компютър]", "Потребителско име":"[Потребителско име]", "ОС": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[ключ]", "pr_key":"[pr_key]

Nemty съхранява събраните данни във формат JSON във файла %USER%/_NEMTY_.nemty. FileID е дълъг 7 знака и се генерира на случаен принцип. Например: _NEMTY_tgdLYrd_.nemty. FileID също се добавя към края на шифрования файл.

Съобщение за откуп

След шифроване на файловете, файлът _NEMTY_[FileID]-DECRYPT.txt се появява на работния плот със следното съдържание:

В края на файла има криптирана информация за заразения компютър.

Мрежова комуникация

Процесът ironman.exe изтегля разпространението на браузъра Tor от адреса https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip и се опитва да го инсталира.

След това Nemty се опитва да изпрати конфигурационни данни до 127.0.0.1:9050, където очаква да намери работещ прокси сървър на браузъра Tor. По подразбиране обаче Tor проксито слуша на порт 9150, а порт 9050 се използва от Tor демона на Linux или Expert Bundle на Windows. По този начин не се изпращат данни към сървъра на атакуващия. Вместо това, потребителят може да изтегли конфигурационния файл ръчно, като посети услугата за декриптиране Tor чрез връзката, предоставена в съобщението за откуп.

Свързване към Tor прокси:

HTTP GET създава заявка до 127.0.0.1:9050/public/gate?data=

Тук можете да видите отворените TCP портове, които се използват от TORlocal прокси:

Услуга за декриптиране на Nemty в мрежата Tor:

Можете да качите криптирана снимка (jpg, png, bmp), за да тествате услугата за дешифриране.

След това нападателят иска да плати откуп. При неплащане цената се удвоява.

Заключение

В момента не е възможно да се дешифрират файлове, криптирани от Nemty, без да се плати откуп. Тази версия на ransomware има общи характеристики с Buran ransomware и остарелия GandCrab: компилация в Borland Delphi и изображения със същия текст. Освен това това е първият шифратор, който използва 8092-битов RSA ключ, което отново няма смисъл, тъй като 1024-битов ключ е достатъчен за защита. И накрая, и интересно, той се опитва да използва грешен порт за локалната прокси услуга Tor.

Въпреки това, решения Acronis Backup и Acronis True Image предотвратяване на рансъмуера Nemty от достигане до потребителски компютри и данни, а доставчиците могат да защитят своите клиенти с Acronis Backup Cloud. Пълна Киберзащита осигурява не само архивиране, но и използване на защита Acronis Active Protection, специална технология, базирана на изкуствен интелект и поведенческа евристика, която ви позволява да неутрализирате дори все още неизвестен зловреден софтуер.

Източник: www.habr.com