Запознайте се с рансъмуер Nemty от фалшив уебсайт на PayPal
В мрежата се появи нов ransomware, наречен Nemty, за който се предполага, че е наследник на GrandCrab или Buran. Зловреден софтуер се разпространява главно от фалшивия уебсайт на PayPal и има редица интересни функции. Подробности за това как работи този ransomware са под разрез.
Нов рансъмуер Nemty, открит от потребител nao_sec 7 септември 2019 г. Зловреден софтуер се разпространява чрез уебсайт маскиран като PayPal, също така е възможно рансъмуерът да проникне в компютър чрез комплекта за експлойт RIG. Нападателите са използвали методи за социално инженерство, за да принудят потребителя да стартира файла cashback.exe, за който се твърди, че е получил от уебсайта на PayPal.Любопитно е също, че Nemty е посочил грешен порт за локалната прокси услуга Tor, която предотвратява изпращането на зловреден софтуер данни към сървъра. Следователно потребителят ще трябва сам да качи криптирани файлове в мрежата Tor, ако възнамерява да плати откупа и да чака декриптиране от нападателите.
Няколко интересни факта за Nemty предполагат, че е разработен от същите хора или от киберпрестъпници, свързани с Buran и GrandCrab.
Подобно на GandCrab, Nemty има великденско яйце - връзка към снимка на руския президент Владимир Путин с неприлична шега. Наследеният рансъмуер GandCrab имаше изображение със същия текст.
Езиковите артефакти на двете програми сочат към едни и същи рускоезични автори.
Това е първият ransomware, който използва 8092-битов RSA ключ. Въпреки че няма смисъл в това: 1024-битов ключ е напълно достатъчен за защита срещу хакване.
Подобно на Buran, рансъмуерът е написан на Object Pascal и компилиран в Borland Delphi.
Статичен анализ
Изпълнението на зловреден код става на четири етапа. Първата стъпка е да стартирате cashback.exe, PE32 изпълним файл под MS Windows с размер 1198936 байта. Кодът му е написан на Visual C++ и компилиран на 14 октомври 2013 г. Той съдържа архив, който автоматично се разопакова, когато стартирате cashback.exe. Софтуерът използва библиотеката Cabinet.dll и нейните функции FDICreate(), FDIDestroy() и други за получаване на файлове от .cab архива.
След разопаковането на архива ще се появят три файла.
След това се стартира temp.exe, PE32 изпълним файл под MS Windows с размер 307200 байта. Кодът е написан на Visual C++ и е пакетиран с MPRESS пакет, пакет, подобен на UPX.
Следващата стъпка е ironman.exe. Веднъж стартиран, temp.exe дешифрира вградените данни в temp и го преименува на ironman.exe, 32 байтов PE544768 изпълним файл. Кодът е компилиран в Borland Delphi.
Последната стъпка е да рестартирате файла ironman.exe. По време на изпълнение той трансформира своя код и се изпълнява от паметта. Тази версия на ironman.exe е злонамерена и отговаря за криптирането.
Вектор на атака
В момента рансъмуерът Nemty се разпространява чрез уебсайта pp-back.info.
Пълната верига на заразяване може да се види на app.any.run пясък.
Инсталация
Cashback.exe - началото на атаката. Както вече споменахме, cashback.exe разопакова .cab файла, който съдържа. След това създава папка TMP4351$.TMP под формата %TEMP%IXxxx.TMP, където xxx е число от 001 до 999.
След това се инсталира ключ на системния регистър, който изглежда така:
Използва се за изтриване на неопаковани файлове. Накрая cashback.exe стартира процеса temp.exe.
Temp.exe е вторият етап от веригата на заразяване
Това е процесът, стартиран от файла cashback.exe, втората стъпка от изпълнението на вируса. Той се опитва да изтегли AutoHotKey, инструмент за стартиране на скриптове в Windows, и да изпълни скрипта WindowSpy.ahk, намиращ се в секцията с ресурси на PE файла.
Скриптът WindowSpy.ahk дешифрира временния файл в ironman.exe с помощта на алгоритъма RC4 и паролата IwantAcake. Ключът от паролата се получава с помощта на алгоритъма за хеширане MD5.
temp.exe след това извиква процеса ironman.exe.
Ironman.exe - трета стъпка
Ironman.exe чете съдържанието на файла iron.bmp и създава файл iron.txt с cryptolocker, който ще бъде стартиран след това.
След това вирусът зарежда iron.txt в паметта и го рестартира като ironman.exe. След това iron.txt се изтрива.
ironman.exe е основната част от рансъмуера NEMTY, който криптира файлове на засегнатия компютър. Зловреден софтуер създава mutex, наречен hate.
Първото нещо, което прави, е да определи географското местоположение на компютъра. Nemty отваря браузъра и открива IP на http://api.ipify.org. На линия api.db-ip.com/v2/free[IP]/countryName Държавата се определя от полученото IP и ако компютърът се намира в един от регионите, изброени по-долу, изпълнението на злонамерения код спира:
Русия
Белорусия
Украйна
Казахстан
Таджикистан
Най-вероятно разработчиците не искат да привлекат вниманието на правоприлагащите органи в страните си на пребиваване и следователно не криптират файлове в своите „домашни“ юрисдикции.
Ако IP адресът на жертвата не принадлежи към горния списък, тогава вирусът криптира информацията на потребителя.
За да се предотврати възстановяването на файлове, техните скрити копия се изтриват:
След това създава списък с файлове и папки, които няма да бъдат криптирани, както и списък с файлови разширения.
прозорци
$ RECYCLE.BIN
RSA
NTDETECT.COM
NTLDR
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
CONFIG.SYS
BOOTSECT.BAK
Bootmgr
програмни данни
данни за приложението
osoft
Общи файлове
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Объркване
За да скрие URL адреси и вградени конфигурационни данни, Nemty използва алгоритъм за кодиране base64 и RC4 с ключовата дума fuckav.
Процесът на дешифриране с помощта на CryptStringToBinary е както следва
Шифрование
Nemty използва трислойно криптиране:
AES-128-CBC за файлове. 128-битовият AES ключ се генерира на случаен принцип и се използва еднакво за всички файлове. Той се съхранява в конфигурационен файл на компютъра на потребителя. IV се генерира на случаен принцип за всеки файл и се съхранява в криптиран файл.
RSA-2048 за криптиране на файлове IV. Генерира се двойка ключове за сесията. Частният ключ за сесията се съхранява в конфигурационен файл на компютъра на потребителя.
RSA-8192. Главният публичен ключ е вграден в програмата и се използва за криптиране на конфигурационния файл, който съхранява AES ключа и секретния ключ за сесията RSA-2048.
Nemty първо генерира 32 байта произволни данни. Първите 16 байта се използват като ключ AES-128-CBC.
Вторият алгоритъм за криптиране е RSA-2048. Двойката ключове се генерира от функцията CryptGenKey() и се импортира от функцията CryptImportKey().
След като двойката ключове за сесията бъде генерирана, публичният ключ се импортира в доставчика на криптографски услуги на MS.
Пример за генериран публичен ключ за сесия:
След това частният ключ се импортира в CSP.
Пример за генериран частен ключ за сесия:
И накрая идва RSA-8192. Основният публичен ключ се съхранява в криптирана форма (Base64 + RC4) в секцията .data на PE файла.
Ключът RSA-8192 след base64 декодиране и RC4 декриптиране с fuckav паролата изглежда така.
В резултат на това целият процес на криптиране изглежда така:
Генерирайте 128-битов AES ключ, който ще се използва за криптиране на всички файлове.
Създайте IV за всеки файл.
Създаване на двойка ключове за RSA-2048 сесия.
Дешифриране на съществуващ ключ RSA-8192 с помощта на base64 и RC4.
Шифровайте съдържанието на файла с помощта на алгоритъма AES-128-CBC от първата стъпка.
IV криптиране с помощта на публичен ключ RSA-2048 и кодиране base64.
Добавяне на криптиран IV в края на всеки криптиран файл.
Добавяне на AES ключ и частен ключ за сесия RSA-2048 към конфигурацията.
Конфигурационни данни, описани в раздел Събиране на информация за заразения компютър са криптирани с помощта на основния публичен ключ RSA-8192.
Шифрованият файл изглежда така:
Пример за криптирани файлове:
Събиране на информация за заразения компютър
Рансъмуерът събира ключове за декриптиране на заразени файлове, така че атакуващият може действително да създаде декриптор. Освен това Nemty събира потребителски данни като потребителско име, име на компютър, хардуерен профил.
Той извиква функциите GetLogicalDrives(), GetFreeSpace(), GetDriveType(), за да събере информация за устройствата на заразения компютър.
Събраната информация се съхранява в конфигурационен файл. След като декодирахме низа, получаваме списък с параметри в конфигурационния файл:
Примерна конфигурация на заразен компютър:
Конфигурационният шаблон може да бъде представен по следния начин:
Nemty съхранява събраните данни във формат JSON във файла %USER%/_NEMTY_.nemty. FileID е дълъг 7 знака и се генерира на случаен принцип. Например: _NEMTY_tgdLYrd_.nemty. FileID също се добавя към края на шифрования файл.
Съобщение за откуп
След шифроване на файловете, файлът _NEMTY_[FileID]-DECRYPT.txt се появява на работния плот със следното съдържание:
В края на файла има криптирана информация за заразения компютър.
След това Nemty се опитва да изпрати конфигурационни данни до 127.0.0.1:9050, където очаква да намери работещ прокси сървър на браузъра Tor. По подразбиране обаче Tor проксито слуша на порт 9150, а порт 9050 се използва от Tor демона на Linux или Expert Bundle на Windows. По този начин не се изпращат данни към сървъра на атакуващия. Вместо това, потребителят може да изтегли конфигурационния файл ръчно, като посети услугата за декриптиране Tor чрез връзката, предоставена в съобщението за откуп.
Свързване към Tor прокси:
HTTP GET създава заявка до 127.0.0.1:9050/public/gate?data=
Тук можете да видите отворените TCP портове, които се използват от TORlocal прокси:
Услуга за декриптиране на Nemty в мрежата Tor:
Можете да качите криптирана снимка (jpg, png, bmp), за да тествате услугата за дешифриране.
След това нападателят иска да плати откуп. При неплащане цената се удвоява.
Заключение
В момента не е възможно да се дешифрират файлове, криптирани от Nemty, без да се плати откуп. Тази версия на ransomware има общи характеристики с Buran ransomware и остарелия GandCrab: компилация в Borland Delphi и изображения със същия текст. Освен това това е първият шифратор, който използва 8092-битов RSA ключ, което отново няма смисъл, тъй като 1024-битов ключ е достатъчен за защита. И накрая, и интересно, той се опитва да използва грешен порт за локалната прокси услуга Tor.
Въпреки това, решения Acronis Backup и Acronis True Image предотвратяване на рансъмуера Nemty от достигане до потребителски компютри и данни, а доставчиците могат да защитят своите клиенти с Acronis Backup Cloud. Пълна Киберзащита осигурява не само архивиране, но и използване на защита Acronis Active Protection, специална технология, базирана на изкуствен интелект и поведенческа евристика, която ви позволява да неутрализирате дори все още неизвестен зловреден софтуер.