জাল পেপাল ওয়েবসাইট থেকে Nemty ransomware এর সাথে দেখা করুন

নেমটি নামে একটি নতুন র্যানসমওয়্যার নেটওয়ার্কে আবির্ভূত হয়েছে, যেটি গ্র্যান্ডক্র্যাব বা বুরানের উত্তরসূরি। ম্যালওয়্যারটি মূলত ভুয়া পেপ্যাল ​​ওয়েবসাইট থেকে বিতরণ করা হয় এবং এতে বেশ কয়েকটি আকর্ষণীয় বৈশিষ্ট্য রয়েছে। এই র‍্যানসমওয়্যারটি কীভাবে কাজ করে সে সম্পর্কে বিশদ বিবরণ কাটার অধীনে রয়েছে।

ব্যবহারকারীর দ্বারা আবিষ্কৃত নতুন Nemty ransomware nao_sec 7 সেপ্টেম্বর, 2019। ম্যালওয়্যারটি একটি ওয়েবসাইটের মাধ্যমে বিতরণ করা হয়েছিল পেপ্যাল ​​হিসাবে ছদ্মবেশী, RIG শোষণ কিটের মাধ্যমে একটি কম্পিউটারে প্রবেশ করা ransomware-এর পক্ষেও সম্ভব। আক্রমণকারীরা সামাজিক প্রকৌশল পদ্ধতি ব্যবহার করে ব্যবহারকারীকে cashback.exe ফাইল চালাতে বাধ্য করেছিল, যা তিনি পেপ্যাল ​​ওয়েবসাইট থেকে পেয়েছেন বলে অভিযোগ রয়েছে। এটাও কৌতূহলজনক যে নেমটি স্থানীয় প্রক্সি পরিষেবা টরের জন্য ভুল পোর্ট নির্দিষ্ট করেছে, যা ম্যালওয়্যার পাঠাতে বাধা দেয়। সার্ভারে ডেটা। অতএব, ব্যবহারকারীকে এনক্রিপ্ট করা ফাইলগুলি টর নেটওয়ার্কে আপলোড করতে হবে যদি সে মুক্তিপণ দিতে চায় এবং আক্রমণকারীদের কাছ থেকে ডিক্রিপশনের জন্য অপেক্ষা করে।

নেমটি সম্পর্কে বেশ কিছু আকর্ষণীয় তথ্য থেকে জানা যায় যে এটি একই ব্যক্তিদের দ্বারা বা বুরান এবং গ্র্যান্ডক্র্যাবের সাথে যুক্ত সাইবার অপরাধীদের দ্বারা তৈরি করা হয়েছিল।

• গ্যান্ডক্র্যাবের মতো, নেমটির একটি ইস্টার ডিম রয়েছে - একটি অশ্লীল রসিকতা সহ রাশিয়ান রাষ্ট্রপতি ভ্লাদিমির পুতিনের একটি ছবির লিঙ্ক। উত্তরাধিকারী GandCrab ransomware-এ একই পাঠ্য সহ একটি চিত্র ছিল।
• উভয় প্রোগ্রামের ভাষা শিল্পকর্ম একই রাশিয়ান-ভাষী লেখকদের নির্দেশ করে।
• এটি একটি 8092-বিট RSA কী ব্যবহার করার জন্য প্রথম র্যানসমওয়্যার। যদিও এর কোন মানে নেই: হ্যাকিং থেকে রক্ষা করার জন্য একটি 1024-বিট কী যথেষ্ট।
• বুরানের মতো, র্যানসমওয়্যারটি অবজেক্ট প্যাসকেলে লেখা এবং বোরল্যান্ড ডেলফিতে সংকলিত।

স্ট্যাটিক বিশ্লেষণ

দূষিত কোডের সম্পাদন চারটি পর্যায়ে ঘটে। প্রথম ধাপ হল 32 বাইট আকারের MS Windows এর অধীনে একটি PE1198936 এক্সিকিউটেবল ফাইল cashback.exe চালানো। এর কোডটি ভিজ্যুয়াল C++ এ লেখা হয়েছিল এবং 14 অক্টোবর, 2013-এ সংকলিত হয়েছিল। এটিতে একটি সংরক্ষণাগার রয়েছে যা আপনি cashback.exe চালালে স্বয়ংক্রিয়ভাবে আনপ্যাক হয়ে যায়। সফ্টওয়্যারটি Cabinet.dll লাইব্রেরি এবং এর কার্যাবলী FDICreate(), FDIDestroy() এবং অন্যান্য ব্যবহার করে .cab আর্কাইভ থেকে ফাইলগুলি পেতে।

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

সংরক্ষণাগারটি আনপ্যাক করার পরে, তিনটি ফাইল প্রদর্শিত হবে।

এরপর, temp.exe চালু করা হয়, 32 বাইট আকারের MS Windows এর অধীনে একটি PE307200 এক্সিকিউটেবল ফাইল। কোডটি ভিজ্যুয়াল C++ এ লেখা এবং MPRESS প্যাকারের সাথে প্যাকেজ করা হয়েছে, যা UPX এর মতো একটি প্যাকার।

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

পরবর্তী ধাপ হল ironman.exe. একবার চালু হলে, temp.exe টেম্পে এমবেড করা ডেটা ডিক্রিপ্ট করে এবং ironman.exe-এ নাম পরিবর্তন করে, একটি 32 বাইট PE544768 এক্সিকিউটেবল ফাইল। কোডটি বোরল্যান্ড ডেলফিতে সংকলিত হয়েছে।

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

শেষ ধাপ হল ironman.exe ফাইলটি পুনরায় চালু করা। রানটাইমে, এটি তার কোড রূপান্তরিত করে এবং মেমরি থেকে নিজেকে চালায়। ironman.exe-এর এই সংস্করণটি ক্ষতিকারক এবং এনক্রিপশনের জন্য দায়ী৷

আক্রমণ ভেক্টর

বর্তমানে, Nemty ransomware pp-back.info ওয়েবসাইটের মাধ্যমে বিতরণ করা হয়।

সংক্রমণের সম্পূর্ণ চেইন এ দেখা যেতে পারে app.any.run স্যান্ডবক্স।

বিন্যাস

Cashback.exe - আক্রমণের শুরু। আগেই উল্লেখ করা হয়েছে, cashback.exe এটিতে থাকা .cab ফাইলটিকে আনপ্যাক করে। তারপর এটি %TEMP%IXxxx.TMP ফর্মের একটি TMP4351$.TMP ফোল্ডার তৈরি করে, যেখানে xxx হল 001 থেকে 999 পর্যন্ত একটি সংখ্যা।

এর পরে, একটি রেজিস্ট্রি কী ইনস্টল করা হয়েছে, যা এইরকম দেখাচ্ছে:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””

এটি আনপ্যাক করা ফাইল মুছে ফেলার জন্য ব্যবহৃত হয়। অবশেষে, cashback.exe temp.exe প্রক্রিয়া শুরু করে।

Temp.exe হল সংক্রমণ চেইনের দ্বিতীয় পর্যায়

এটি হল cashback.exe ফাইল দ্বারা চালু করা প্রক্রিয়া, ভাইরাস নির্বাহের দ্বিতীয় ধাপ। এটি উইন্ডোজে স্ক্রিপ্ট চালানোর জন্য একটি টুল AutoHotKey ডাউনলোড করার চেষ্টা করে এবং PE ফাইলের রিসোর্স বিভাগে অবস্থিত WindowSpy.ahk স্ক্রিপ্ট চালানোর চেষ্টা করে।

WindowSpy.ahk স্ক্রিপ্ট RC4 অ্যালগরিদম এবং পাসওয়ার্ড IwantAcake ব্যবহার করে ironman.exe-এ টেম্প ফাইল ডিক্রিপ্ট করে। পাসওয়ার্ড থেকে কী MD5 হ্যাশিং অ্যালগরিদম ব্যবহার করে প্রাপ্ত করা হয়।

temp.exe তারপর ironman.exe প্রক্রিয়াটিকে কল করে।

Ironman.exe - তৃতীয় ধাপ

Ironman.exe iron.bmp ফাইলের বিষয়বস্তু পড়ে এবং একটি ক্রিপ্টলোকার সহ একটি iron.txt ফাইল তৈরি করে যা পরবর্তীতে চালু হবে।

এর পরে, ভাইরাস iron.txt মেমরিতে লোড করে এবং ironman.exe হিসাবে পুনরায় চালু করে। এর পরে, iron.txt মুছে ফেলা হয়।

ironman.exe হল NEMTY ransomware এর প্রধান অংশ, যা প্রভাবিত কম্পিউটারে ফাইল এনক্রিপ্ট করে। ম্যালওয়্যার ঘৃণা নামে একটি মিউটেক্স তৈরি করে।

কম্পিউটারের ভৌগোলিক অবস্থান নির্ধারণ করা হয় প্রথম জিনিসটি। Nemty ব্রাউজার খুলে IP খুঁজে বের করে http://api.ipify.org. অনলাইন api.db-ip.com/v2/free[IP]/countryName দেশটি প্রাপ্ত আইপি থেকে নির্ধারণ করা হয়, এবং যদি কম্পিউটারটি নীচে তালিকাভুক্ত অঞ্চলগুলির মধ্যে একটিতে অবস্থিত থাকে, তাহলে ম্যালওয়্যার কোডের প্রয়োগ বন্ধ হয়ে যায়:

• রাশিয়া
• Byelorussia
• ইউক্রেইন্
• কাজাকস্থান
• তাজিকস্থান

সম্ভবত, বিকাশকারীরা তাদের বসবাসের দেশে আইন প্রয়োগকারী সংস্থার দৃষ্টি আকর্ষণ করতে চায় না এবং তাই তাদের "বাড়ির" এখতিয়ারে ফাইলগুলি এনক্রিপ্ট করে না।

যদি শিকারের আইপি ঠিকানা উপরের তালিকার অন্তর্গত না হয়, তাহলে ভাইরাস ব্যবহারকারীর তথ্য এনক্রিপ্ট করে।

ফাইল পুনরুদ্ধার প্রতিরোধ করতে, তাদের ছায়া কপি মুছে ফেলা হয়:

এটি তখন ফাইল এবং ফোল্ডারগুলির একটি তালিকা তৈরি করে যা এনক্রিপ্ট করা হবে না, সেইসাথে ফাইল এক্সটেনশনগুলির একটি তালিকা।

• জানালা
• $RECYCLE.BIN
• আরএসএ
• NTDETECT.COM
• ইত্যাদি
• MSDOS.SYS
• IO.SYS
• boot.ini AUTOEXEC.BAT ntuser.dat
• desktop.ini
• SYS কনফিগ।
• বুটসেক্ট.বাক
• বুটএমজিআর
• প্রোগ্রাম তথ্য
• অ্যাপ্লিকেশন তথ্য
• osoft
• সাধারণ ফাইল

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY 

অস্পষ্টতা

URL এবং এমবেডেড কনফিগারেশন ডেটা লুকানোর জন্য, Nemty fuckav কীওয়ার্ড সহ একটি base64 এবং RC4 এনকোডিং অ্যালগরিদম ব্যবহার করে।

CryptStringToBinary ব্যবহার করে ডিক্রিপশন প্রক্রিয়াটি নিম্নরূপ

এনক্রিপশন

Nemty তিন-স্তর এনক্রিপশন ব্যবহার করে:

• ফাইলের জন্য AES-128-CBC। 128-বিট AES কী এলোমেলোভাবে তৈরি করা হয় এবং সমস্ত ফাইলের জন্য একই ব্যবহার করা হয়। এটি ব্যবহারকারীর কম্পিউটারে একটি কনফিগারেশন ফাইলে সংরক্ষণ করা হয়। IV এলোমেলোভাবে প্রতিটি ফাইলের জন্য তৈরি করা হয় এবং একটি এনক্রিপ্ট করা ফাইলে সংরক্ষণ করা হয়।
• ফাইল এনক্রিপশনের জন্য RSA-2048 IV। সেশনের জন্য একটি কী জোড়া তৈরি করা হয়। সেশনের জন্য ব্যক্তিগত কী ব্যবহারকারীর কম্পিউটারে একটি কনফিগারেশন ফাইলে সংরক্ষণ করা হয়।
• RSA-8192। মাস্টার পাবলিক কী প্রোগ্রামের মধ্যে তৈরি করা হয় এবং কনফিগারেশন ফাইল এনক্রিপ্ট করতে ব্যবহৃত হয়, যা RSA-2048 সেশনের জন্য AES কী এবং গোপন কী সংরক্ষণ করে।
• Nemty প্রথমে 32 বাইট র্যান্ডম ডেটা তৈরি করে। প্রথম 16 বাইট AES-128-CBC কী হিসাবে ব্যবহৃত হয়।

দ্বিতীয় এনক্রিপশন অ্যালগরিদম হল RSA-2048। কী পেয়ারটি CryptGenKey() ফাংশন দ্বারা তৈরি হয় এবং CryptImportKey() ফাংশন দ্বারা আমদানি করা হয়।

সেশনের জন্য কী জোড়া তৈরি হয়ে গেলে, পাবলিক কীটি এমএস ক্রিপ্টোগ্রাফিক পরিষেবা প্রদানকারীতে আমদানি করা হয়।

একটি অধিবেশনের জন্য একটি উত্পন্ন পাবলিক কী এর একটি উদাহরণ:

এরপরে, ব্যক্তিগত কী CSP-তে আমদানি করা হয়।

একটি সেশনের জন্য একটি জেনারেট করা ব্যক্তিগত কী-এর একটি উদাহরণ:

এবং সর্বশেষ আসে RSA-8192। প্রধান পাবলিক কীটি PE ফাইলের .data বিভাগে এনক্রিপ্ট করা আকারে (Base64 + RC4) সংরক্ষণ করা হয়।

RSA-8192 কী বেস64 ডিকোডিং এবং RC4 ডিক্রিপশনের পরে fuckav পাসওয়ার্ডের মতো দেখাচ্ছে।

ফলস্বরূপ, পুরো এনক্রিপশন প্রক্রিয়াটি এইরকম দেখায়:

• একটি 128-বিট AES কী তৈরি করুন যা সমস্ত ফাইল এনক্রিপ্ট করতে ব্যবহার করা হবে।
• প্রতিটি ফাইলের জন্য একটি IV তৈরি করুন।
• একটি RSA-2048 সেশনের জন্য একটি মূল জোড়া তৈরি করা হচ্ছে।
• base8192 এবং RC64 ব্যবহার করে বিদ্যমান RSA-4 কী-এর ডিক্রিপশন।
• প্রথম ধাপ থেকে AES-128-CBC অ্যালগরিদম ব্যবহার করে ফাইলের বিষয়বস্তু এনক্রিপ্ট করুন।
• RSA-2048 পাবলিক কী এবং base64 এনকোডিং ব্যবহার করে IV এনক্রিপশন।
• প্রতিটি এনক্রিপ্ট করা ফাইলের শেষে একটি এনক্রিপ্ট করা IV যোগ করা হচ্ছে।
• কনফিগারেশনে একটি AES কী এবং RSA-2048 সেশন প্রাইভেট কী যোগ করা হচ্ছে।
• বিভাগে বর্ণিত কনফিগারেশন ডেটা তথ্য সংগ্রহ সংক্রামিত কম্পিউটার সম্পর্কে প্রধান পাবলিক কী RSA-8192 ব্যবহার করে এনক্রিপ্ট করা হয়।
• এনক্রিপ্ট করা ফাইল এই মত দেখায়:

এনক্রিপ্ট করা ফাইলের উদাহরণ:

সংক্রমিত কম্পিউটার সম্পর্কে তথ্য সংগ্রহ

র্যানসমওয়্যার সংক্রামিত ফাইলগুলিকে ডিক্রিপ্ট করার জন্য কী সংগ্রহ করে, যাতে আক্রমণকারী আসলে একটি ডিক্রিপ্টর তৈরি করতে পারে। এছাড়াও, Nemty ব্যবহারকারীর তথ্য যেমন ব্যবহারকারীর নাম, কম্পিউটারের নাম, হার্ডওয়্যার প্রোফাইল সংগ্রহ করে।

সংক্রমিত কম্পিউটারের ড্রাইভ সম্পর্কে তথ্য সংগ্রহ করতে এটি GetLogicalDrives(), GetFreeSpace(), GetDriveType() ফাংশনকে কল করে।

সংগৃহীত তথ্য একটি কনফিগারেশন ফাইলে সংরক্ষণ করা হয়। স্ট্রিংটি ডিকোড করার পরে, আমরা কনফিগারেশন ফাইলে পরামিতিগুলির একটি তালিকা পাই:

একটি সংক্রামিত কম্পিউটারের উদাহরণ কনফিগারেশন:

কনফিগারেশন টেমপ্লেটটি নিম্নরূপ উপস্থাপন করা যেতে পারে:

{"সাধারণ": {"আইপি":"[আইপি]", "দেশ":"[দেশ]", "কম্পিউটারনাম":"[কম্পিউটারনাম]", "ব্যবহারকারীর নাম":"[ব্যবহারকারীর নাম]", "ওএস": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[কী]", "pr_key":"[pr_key]

Nemty %USER%/_NEMTY_.nemty ফাইলে JSON ফর্ম্যাটে সংগৃহীত ডেটা সঞ্চয় করে। FileID 7 অক্ষর দীর্ঘ এবং এলোমেলোভাবে তৈরি করা হয়। যেমন: _NEMTY_tgdLYrd_.nemty. FileID এনক্রিপ্ট করা ফাইলের শেষে যুক্ত করা হয়।

মুক্তিপণ বার্তা

ফাইলগুলি এনক্রিপ্ট করার পরে, _NEMTY_[FileID]-DECRYPT.txt ফাইলটি নিম্নলিখিত বিষয়বস্তু সহ ডেস্কটপে উপস্থিত হয়:

ফাইলের শেষে সংক্রমিত কম্পিউটার সম্পর্কে এনক্রিপ্ট করা তথ্য রয়েছে।

নেটওয়ার্ক যোগাযোগ

ironman.exe প্রক্রিয়া ঠিকানা থেকে Tor ব্রাউজার বিতরণ ডাউনলোড করে https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip এবং এটি ইনস্টল করার চেষ্টা করে।

Nemty তারপর 127.0.0.1:9050 এ কনফিগারেশন ডেটা পাঠানোর চেষ্টা করে, যেখানে এটি একটি কার্যকরী টর ব্রাউজার প্রক্সি খুঁজে পাওয়ার আশা করে। যাইহোক, ডিফল্টরূপে টর প্রক্সি পোর্ট 9150 এ শোনে এবং পোর্ট 9050 লিনাক্সে টর ডেমন বা উইন্ডোজে এক্সপার্ট বান্ডেল ব্যবহার করে। সুতরাং, আক্রমণকারীর সার্ভারে কোন তথ্য পাঠানো হয় না। পরিবর্তে, ব্যবহারকারী মুক্তিপণ বার্তায় প্রদত্ত লিঙ্কের মাধ্যমে টর ডিক্রিপশন পরিষেবাতে গিয়ে ম্যানুয়ালি কনফিগারেশন ফাইলটি ডাউনলোড করতে পারেন।

টর প্রক্সিতে সংযোগ করা হচ্ছে:

HTTP GET একটি অনুরোধ তৈরি করে 127.0.0.1:9050/public/gate?data=

এখানে আপনি TORlocal প্রক্সি দ্বারা ব্যবহৃত খোলা TCP পোর্টগুলি দেখতে পাবেন:

টর নেটওয়ার্কে নেমটি ডিক্রিপশন পরিষেবা:

আপনি ডিক্রিপশন পরিষেবা পরীক্ষা করার জন্য একটি এনক্রিপ্ট করা ছবি (jpg, png, bmp) আপলোড করতে পারেন।

এর পরে, হামলাকারী মুক্তিপণ দিতে বলে। পরিশোধ না করার ক্ষেত্রে মূল্য দ্বিগুণ করা হয়।

উপসংহার

এই মুহুর্তে, মুক্তিপণ প্রদান ছাড়া Nemty দ্বারা এনক্রিপ্ট করা ফাইলগুলি ডিক্রিপ্ট করা সম্ভব নয়৷ র‍্যানসমওয়্যারের এই সংস্করণে বুরান র‍্যানসমওয়্যার এবং পুরানো গ্যান্ডক্র্যাবের সাথে সাধারণ বৈশিষ্ট্য রয়েছে: বোরল্যান্ড ডেলফিতে সংকলন এবং একই পাঠ্য সহ চিত্রগুলি। উপরন্তু, এটিই প্রথম এনক্রিপ্টর যেটি একটি 8092-বিট RSA কী ব্যবহার করে, যেটি আবার কোনো অর্থবোধ করে না, যেহেতু একটি 1024-বিট কী সুরক্ষার জন্য যথেষ্ট। অবশেষে, এবং আকর্ষণীয়ভাবে, এটি স্থানীয় টর প্রক্সি পরিষেবার জন্য ভুল পোর্ট ব্যবহার করার চেষ্টা করে।

যাইহোক, সমাধান অ্যাক্রোনিস ব্যাকআপ и Acronis সত্য চিত্র Nemty ransomware কে ব্যবহারকারীর পিসি এবং ডেটা পৌঁছাতে বাধা দেয় এবং প্রদানকারীরা তাদের ক্লায়েন্টদের রক্ষা করতে পারে অ্যাক্রোনিস ব্যাকআপ ক্লাউড. সম্পূর্ণ সাইবার সুরক্ষা ব্যাকআপ না শুধুমাত্র, কিন্তু ব্যবহার করে সুরক্ষা প্রদান করে অ্যাক্রোনিস সক্রিয় সুরক্ষা, কৃত্রিম বুদ্ধিমত্তা এবং আচরণগত হিউরিস্টিকসের উপর ভিত্তি করে একটি বিশেষ প্রযুক্তি যা আপনাকে এখনও অজানা ম্যালওয়্যারকে নিরপেক্ষ করতে দেয়৷

উত্স: www.habr.com