āĻ¨ā§āĻŽāĻāĻŋ āĻ¨āĻžāĻŽā§ āĻāĻāĻāĻŋ āĻ¨āĻ¤ā§āĻ¨ āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ āĻāĻŦāĻŋāĻ°ā§āĻā§āĻ¤ āĻšāĻ¯āĻŧā§āĻā§, āĻ¯ā§āĻāĻŋ āĻā§āĻ°ā§āĻ¯āĻžāĻ¨ā§āĻĄāĻā§āĻ°ā§āĻ¯āĻžāĻŦ āĻŦāĻž āĻŦā§āĻ°āĻžāĻ¨ā§āĻ° āĻāĻ¤ā§āĻ¤āĻ°āĻ¸ā§āĻ°āĻŋāĨ¤ āĻŽā§āĻ¯āĻžāĻ˛āĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĻāĻŋ āĻŽā§āĻ˛āĻ¤ āĻā§āĻ¯āĻŧāĻž āĻĒā§āĻĒā§āĻ¯āĻžāĻ˛ ââāĻāĻ¯āĻŧā§āĻŦāĻ¸āĻžāĻāĻ āĻĨā§āĻā§ āĻŦāĻŋāĻ¤āĻ°āĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻāĻ¤ā§ āĻŦā§āĻļ āĻāĻ¯āĻŧā§āĻāĻāĻŋ āĻāĻāĻ°ā§āĻˇāĻŖā§āĻ¯āĻŧ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻāĻ āĻ°âā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĻāĻŋ āĻā§āĻāĻžāĻŦā§ āĻāĻžāĻ āĻāĻ°ā§ āĻ¸ā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻŦāĻŋāĻļāĻĻ āĻŦāĻŋāĻŦāĻ°āĻŖ āĻāĻžāĻāĻžāĻ° āĻ āĻ§ā§āĻ¨ā§ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤
āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻŦāĻŋāĻˇā§āĻā§āĻ¤ āĻ¨āĻ¤ā§āĻ¨ Nemty ransomware
āĻ¨ā§āĻŽāĻāĻŋ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻŦā§āĻļ āĻāĻŋāĻā§ āĻāĻāĻ°ā§āĻˇāĻŖā§āĻ¯āĻŧ āĻ¤āĻĨā§āĻ¯ āĻĨā§āĻā§ āĻāĻžāĻ¨āĻž āĻ¯āĻžāĻ¯āĻŧ āĻ¯ā§ āĻāĻāĻŋ āĻāĻāĻ āĻŦā§āĻ¯āĻā§āĻ¤āĻŋāĻĻā§āĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻŦāĻž āĻŦā§āĻ°āĻžāĻ¨ āĻāĻŦāĻ āĻā§āĻ°ā§āĻ¯āĻžāĻ¨ā§āĻĄāĻā§āĻ°ā§āĻ¯āĻžāĻŦā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¯ā§āĻā§āĻ¤ āĻ¸āĻžāĻāĻŦāĻžāĻ° āĻ āĻĒāĻ°āĻžāĻ§ā§āĻĻā§āĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤
- āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻā§āĻ°ā§āĻ¯āĻžāĻŦā§āĻ° āĻŽāĻ¤ā§, āĻ¨ā§āĻŽāĻāĻŋāĻ° āĻāĻāĻāĻŋ āĻāĻ¸ā§āĻāĻžāĻ° āĻĄāĻŋāĻŽ āĻ°āĻ¯āĻŧā§āĻā§ - āĻāĻāĻāĻŋ āĻ āĻļā§āĻ˛ā§āĻ˛ āĻ°āĻ¸āĻŋāĻāĻ¤āĻž āĻ¸āĻš āĻ°āĻžāĻļāĻŋāĻ¯āĻŧāĻžāĻ¨ āĻ°āĻžāĻˇā§āĻā§āĻ°āĻĒāĻ¤āĻŋ āĻā§āĻ˛āĻžāĻĻāĻŋāĻŽāĻŋāĻ° āĻĒā§āĻ¤āĻŋāĻ¨ā§āĻ° āĻāĻāĻāĻŋ āĻāĻŦāĻŋāĻ° āĻ˛āĻŋāĻā§āĻāĨ¤ āĻāĻ¤ā§āĻ¤āĻ°āĻžāĻ§āĻŋāĻāĻžāĻ°ā§ GandCrab ransomware-āĻ āĻāĻāĻ āĻĒāĻžāĻ ā§āĻ¯ āĻ¸āĻš āĻāĻāĻāĻŋ āĻāĻŋāĻ¤ā§āĻ° āĻāĻŋāĻ˛āĨ¤
- āĻāĻāĻ¯āĻŧ āĻĒā§āĻ°ā§āĻā§āĻ°āĻžāĻŽā§āĻ° āĻāĻžāĻˇāĻž āĻļāĻŋāĻ˛ā§āĻĒāĻāĻ°ā§āĻŽ āĻāĻāĻ āĻ°āĻžāĻļāĻŋāĻ¯āĻŧāĻžāĻ¨-āĻāĻžāĻˇā§ āĻ˛ā§āĻāĻāĻĻā§āĻ° āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻāĻ°ā§āĨ¤
- āĻāĻāĻŋ āĻāĻāĻāĻŋ 8092-āĻŦāĻŋāĻ RSA āĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻĨāĻŽ āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĨ¤ āĻ¯āĻĻāĻŋāĻ āĻāĻ° āĻā§āĻ¨ āĻŽāĻžāĻ¨ā§ āĻ¨ā§āĻ: āĻšā§āĻ¯āĻžāĻāĻŋāĻ āĻĨā§āĻā§ āĻ°āĻā§āĻˇāĻž āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ 1024-āĻŦāĻŋāĻ āĻā§ āĻ¯āĻĨā§āĻˇā§āĻāĨ¤
- āĻŦā§āĻ°āĻžāĻ¨ā§āĻ° āĻŽāĻ¤ā§, āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĻāĻŋ āĻ āĻŦāĻā§āĻā§āĻ āĻĒā§āĻ¯āĻžāĻ¸āĻā§āĻ˛ā§ āĻ˛ā§āĻāĻž āĻāĻŦāĻ āĻŦā§āĻ°āĻ˛ā§āĻ¯āĻžāĻ¨ā§āĻĄ āĻĄā§āĻ˛āĻĢāĻŋāĻ¤ā§ āĻ¸āĻāĻāĻ˛āĻŋāĻ¤āĨ¤
āĻ¸ā§āĻā§āĻ¯āĻžāĻāĻŋāĻ āĻŦāĻŋāĻļā§āĻ˛ā§āĻˇāĻŖ
āĻĻā§āĻˇāĻŋāĻ¤ āĻā§āĻĄā§āĻ° āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻžāĻ°āĻāĻŋ āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧā§ āĻāĻā§āĨ¤ āĻĒā§āĻ°āĻĨāĻŽ āĻ§āĻžāĻĒ āĻšāĻ˛ 32 āĻŦāĻžāĻāĻ āĻāĻāĻžāĻ°ā§āĻ° MS Windows āĻāĻ° āĻ āĻ§ā§āĻ¨ā§ āĻāĻāĻāĻŋ PE1198936 āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻĢāĻžāĻāĻ˛ cashback.exe āĻāĻžāĻ˛āĻžāĻ¨ā§āĨ¤ āĻāĻ° āĻā§āĻĄāĻāĻŋ āĻāĻŋāĻā§āĻ¯ā§āĻ¯āĻŧāĻžāĻ˛ C++ āĻ āĻ˛ā§āĻāĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻāĻŦāĻ 14 āĻ āĻā§āĻā§āĻŦāĻ°, 2013-āĻ āĻ¸āĻāĻāĻ˛āĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤ āĻāĻāĻŋāĻ¤ā§ āĻāĻāĻāĻŋ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖāĻžāĻāĻžāĻ° āĻ°āĻ¯āĻŧā§āĻā§ āĻ¯āĻž āĻāĻĒāĻ¨āĻŋ cashback.exe āĻāĻžāĻ˛āĻžāĻ˛ā§ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧāĻāĻžāĻŦā§ āĻāĻ¨āĻĒā§āĻ¯āĻžāĻ āĻšāĻ¯āĻŧā§ āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻ¸āĻĢā§āĻāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĻāĻŋ Cabinet.dll āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋ āĻāĻŦāĻ āĻāĻ° āĻāĻžāĻ°ā§āĻ¯āĻžāĻŦāĻ˛ā§ FDICreate(), FDIDestroy() āĻāĻŦāĻ āĻ āĻ¨ā§āĻ¯āĻžāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ .cab āĻāĻ°ā§āĻāĻžāĻāĻ āĻĨā§āĻā§ āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋ āĻĒā§āĻ¤ā§āĨ¤
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
āĻ¸āĻāĻ°āĻā§āĻˇāĻŖāĻžāĻāĻžāĻ°āĻāĻŋ āĻāĻ¨āĻĒā§āĻ¯āĻžāĻ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§, āĻ¤āĻŋāĻ¨āĻāĻŋ āĻĢāĻžāĻāĻ˛ āĻĒā§āĻ°āĻĻāĻ°ā§āĻļāĻŋāĻ¤ āĻšāĻŦā§āĨ¤
āĻāĻ°āĻĒāĻ°, temp.exe āĻāĻžāĻ˛ā§ āĻāĻ°āĻž āĻšāĻ¯āĻŧ, 32 āĻŦāĻžāĻāĻ āĻāĻāĻžāĻ°ā§āĻ° MS Windows āĻāĻ° āĻ
āĻ§ā§āĻ¨ā§ āĻāĻāĻāĻŋ PE307200 āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻĢāĻžāĻāĻ˛āĨ¤ āĻā§āĻĄāĻāĻŋ āĻāĻŋāĻā§āĻ¯ā§āĻ¯āĻŧāĻžāĻ˛ C++ āĻ āĻ˛ā§āĻāĻž āĻāĻŦāĻ MPRESS āĻĒā§āĻ¯āĻžāĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻĒā§āĻ¯āĻžāĻā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§, āĻ¯āĻž UPX āĻāĻ° āĻŽāĻ¤ā§ āĻāĻāĻāĻŋ āĻĒā§āĻ¯āĻžāĻāĻžāĻ°āĨ¤
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ§āĻžāĻĒ āĻšāĻ˛ ironman.exe. āĻāĻāĻŦāĻžāĻ° āĻāĻžāĻ˛ā§ āĻšāĻ˛ā§, temp.exe āĻā§āĻŽā§āĻĒā§ āĻāĻŽāĻŦā§āĻĄ āĻāĻ°āĻž āĻĄā§āĻāĻž āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°ā§ āĻāĻŦāĻ ironman.exe-āĻ āĻ¨āĻžāĻŽ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°ā§, āĻāĻāĻāĻŋ 32 āĻŦāĻžāĻāĻ PE544768 āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻĢāĻžāĻāĻ˛āĨ¤ āĻā§āĻĄāĻāĻŋ āĻŦā§āĻ°āĻ˛ā§āĻ¯āĻžāĻ¨ā§āĻĄ āĻĄā§āĻ˛āĻĢāĻŋāĻ¤ā§ āĻ¸āĻāĻāĻ˛āĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻā§āĨ¤
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
āĻļā§āĻˇ āĻ§āĻžāĻĒ āĻšāĻ˛ ironman.exe āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻāĻžāĻ˛ā§ āĻāĻ°āĻžāĨ¤ āĻ°āĻžāĻ¨āĻāĻžāĻāĻŽā§, āĻāĻāĻŋ āĻ¤āĻžāĻ° āĻā§āĻĄ āĻ°ā§āĻĒāĻžāĻ¨ā§āĻ¤āĻ°āĻŋāĻ¤ āĻāĻ°ā§ āĻāĻŦāĻ āĻŽā§āĻŽāĻ°āĻŋ āĻĨā§āĻā§ āĻ¨āĻŋāĻā§āĻā§ āĻāĻžāĻ˛āĻžāĻ¯āĻŧāĨ¤ ironman.exe-āĻāĻ° āĻāĻ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖāĻāĻŋ āĻā§āĻˇāĻ¤āĻŋāĻāĻžāĻ°āĻ āĻāĻŦāĻ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĻāĻžāĻ¯āĻŧā§ā§ˇ
āĻāĻā§āĻ°āĻŽāĻŖ āĻā§āĻā§āĻāĻ°
āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ā§, Nemty ransomware pp-back.info āĻāĻ¯āĻŧā§āĻŦāĻ¸āĻžāĻāĻā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻŦāĻŋāĻ¤āĻ°āĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
āĻ¸āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻā§āĻāĻ¨ āĻ āĻĻā§āĻāĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§
āĻŦāĻŋāĻ¨ā§āĻ¯āĻžāĻ¸
Cashback.exe - āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻļā§āĻ°ā§āĨ¤ āĻāĻā§āĻ āĻāĻ˛ā§āĻ˛ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§, cashback.exe āĻāĻāĻŋāĻ¤ā§ āĻĨāĻžāĻāĻž .cab āĻĢāĻžāĻāĻ˛āĻāĻŋāĻā§ āĻāĻ¨āĻĒā§āĻ¯āĻžāĻ āĻāĻ°ā§āĨ¤ āĻ¤āĻžāĻ°āĻĒāĻ° āĻāĻāĻŋ %TEMP%IXxxx.TMP āĻĢāĻ°ā§āĻŽā§āĻ° āĻāĻāĻāĻŋ TMP4351$.TMP āĻĢā§āĻ˛ā§āĻĄāĻžāĻ° āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§, āĻ¯ā§āĻāĻžāĻ¨ā§ xxx āĻšāĻ˛ 001 āĻĨā§āĻā§ 999 āĻĒāĻ°ā§āĻ¯āĻ¨ā§āĻ¤ āĻāĻāĻāĻŋ āĻ¸āĻāĻā§āĻ¯āĻžāĨ¤
āĻāĻ° āĻĒāĻ°ā§, āĻāĻāĻāĻŋ āĻ°ā§āĻāĻŋāĻ¸ā§āĻā§āĻ°āĻŋ āĻā§ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§, āĻ¯āĻž āĻāĻāĻ°āĻāĻŽ āĻĻā§āĻāĻžāĻā§āĻā§:
ârundll32.exeâ âC:Windowssystem32advpack.dll,DelNodeRunDLL32 âC:UsersMALWAR~1AppDataLocalTempIXPxxx.TMPââ
āĻāĻāĻŋ āĻāĻ¨āĻĒā§āĻ¯āĻžāĻ āĻāĻ°āĻž āĻĢāĻžāĻāĻ˛ āĻŽā§āĻā§ āĻĢā§āĻ˛āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧāĨ¤ āĻ āĻŦāĻļā§āĻˇā§, cashback.exe temp.exe āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻļā§āĻ°ā§ āĻāĻ°ā§āĨ¤
Temp.exe āĻšāĻ˛ āĻ¸āĻāĻā§āĻ°āĻŽāĻŖ āĻā§āĻāĻ¨ā§āĻ° āĻĻā§āĻŦāĻŋāĻ¤ā§āĻ¯āĻŧ āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧ
āĻāĻāĻŋ āĻšāĻ˛ cashback.exe āĻĢāĻžāĻāĻ˛ āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻžāĻ˛ā§ āĻāĻ°āĻž āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž, āĻāĻžāĻāĻ°āĻžāĻ¸ āĻ¨āĻŋāĻ°ā§āĻŦāĻžāĻšā§āĻ° āĻĻā§āĻŦāĻŋāĻ¤ā§āĻ¯āĻŧ āĻ§āĻžāĻĒāĨ¤ āĻāĻāĻŋ āĻāĻāĻ¨ā§āĻĄā§āĻā§ āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻā§āĻ˛ AutoHotKey āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§ āĻāĻŦāĻ PE āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ°āĻŋāĻ¸ā§āĻ°ā§āĻ¸ āĻŦāĻŋāĻāĻžāĻā§ āĻ āĻŦāĻ¸ā§āĻĨāĻŋāĻ¤ WindowSpy.ahk āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§āĨ¤
WindowSpy.ahk āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ RC4 āĻ
ā§āĻ¯āĻžāĻ˛āĻāĻ°āĻŋāĻĻāĻŽ āĻāĻŦāĻ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ IwantAcake āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ ironman.exe-āĻ āĻā§āĻŽā§āĻĒ āĻĢāĻžāĻāĻ˛ āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°ā§āĨ¤ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻĨā§āĻā§ āĻā§ MD5 āĻšā§āĻ¯āĻžāĻļāĻŋāĻ āĻ
ā§āĻ¯āĻžāĻ˛āĻāĻ°āĻŋāĻĻāĻŽ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
temp.exe āĻ¤āĻžāĻ°āĻĒāĻ° ironman.exe āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋāĻā§ āĻāĻ˛ āĻāĻ°ā§āĨ¤
Ironman.exe - āĻ¤ā§āĻ¤ā§āĻ¯āĻŧ āĻ§āĻžāĻĒ
Ironman.exe iron.bmp āĻĢāĻžāĻāĻ˛ā§āĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻĒāĻĄāĻŧā§ āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻā§āĻ°āĻŋāĻĒā§āĻāĻ˛ā§āĻāĻžāĻ° āĻ¸āĻš āĻāĻāĻāĻŋ iron.txt āĻĢāĻžāĻāĻ˛ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§ āĻ¯āĻž āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§āĻ¤ā§ āĻāĻžāĻ˛ā§ āĻšāĻŦā§āĨ¤
āĻāĻ° āĻĒāĻ°ā§, āĻāĻžāĻāĻ°āĻžāĻ¸ iron.txt āĻŽā§āĻŽāĻ°āĻŋāĻ¤ā§ āĻ˛ā§āĻĄ āĻāĻ°ā§ āĻāĻŦāĻ ironman.exe āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻāĻžāĻ˛ā§ āĻāĻ°ā§āĨ¤ āĻāĻ° āĻĒāĻ°ā§, iron.txt āĻŽā§āĻā§ āĻĢā§āĻ˛āĻž āĻšāĻ¯āĻŧāĨ¤
ironman.exe āĻšāĻ˛ NEMTY ransomware āĻāĻ° āĻĒā§āĻ°āĻ§āĻžāĻ¨ āĻ āĻāĻļ, āĻ¯āĻž āĻĒā§āĻ°āĻāĻžāĻŦāĻŋāĻ¤ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°ā§ āĻĢāĻžāĻāĻ˛ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°ā§āĨ¤ āĻŽā§āĻ¯āĻžāĻ˛āĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻā§āĻŖāĻž āĻ¨āĻžāĻŽā§ āĻāĻāĻāĻŋ āĻŽāĻŋāĻāĻā§āĻā§āĻ¸ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĨ¤
āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°ā§āĻ° āĻā§āĻā§āĻ˛āĻŋāĻ āĻ
āĻŦāĻ¸ā§āĻĨāĻžāĻ¨ āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻĒā§āĻ°āĻĨāĻŽ āĻāĻŋāĻ¨āĻŋāĻ¸āĻāĻŋāĨ¤ Nemty āĻŦā§āĻ°āĻžāĻāĻāĻžāĻ° āĻā§āĻ˛ā§ IP āĻā§āĻāĻā§ āĻŦā§āĻ° āĻāĻ°ā§
- āĻ°āĻžāĻļāĻŋāĻ¯āĻŧāĻž
- Byelorussia
- āĻāĻāĻā§āĻ°ā§āĻāĻ¨ā§
- āĻāĻžāĻāĻžāĻāĻ¸ā§āĻĨāĻžāĻ¨
- āĻ¤āĻžāĻāĻŋāĻāĻ¸ā§āĻĨāĻžāĻ¨
āĻ¸āĻŽā§āĻāĻŦāĻ¤, āĻŦāĻŋāĻāĻžāĻļāĻāĻžāĻ°ā§āĻ°āĻž āĻ¤āĻžāĻĻā§āĻ° āĻŦāĻ¸āĻŦāĻžāĻ¸ā§āĻ° āĻĻā§āĻļā§ āĻāĻāĻ¨ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻāĻžāĻ°ā§ āĻ¸āĻāĻ¸ā§āĻĨāĻžāĻ° āĻĻā§āĻˇā§āĻāĻŋ āĻāĻāĻ°ā§āĻˇāĻŖ āĻāĻ°āĻ¤ā§ āĻāĻžāĻ¯āĻŧ āĻ¨āĻž āĻāĻŦāĻ āĻ¤āĻžāĻ āĻ¤āĻžāĻĻā§āĻ° "āĻŦāĻžāĻĄāĻŧāĻŋāĻ°" āĻāĻāĻ¤āĻŋāĻ¯āĻŧāĻžāĻ°ā§ āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°ā§ āĻ¨āĻžāĨ¤
āĻ¯āĻĻāĻŋ āĻļāĻŋāĻāĻžāĻ°ā§āĻ° āĻāĻāĻĒāĻŋ āĻ āĻŋāĻāĻžāĻ¨āĻž āĻāĻĒāĻ°ā§āĻ° āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĻ° āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻāĻ¤ āĻ¨āĻž āĻšāĻ¯āĻŧ, āĻ¤āĻžāĻšāĻ˛ā§ āĻāĻžāĻāĻ°āĻžāĻ¸ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¤āĻĨā§āĻ¯ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°ā§āĨ¤
āĻĢāĻžāĻāĻ˛ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻĒā§āĻ°āĻ¤āĻŋāĻ°ā§āĻ§ āĻāĻ°āĻ¤ā§, āĻ¤āĻžāĻĻā§āĻ° āĻāĻžāĻ¯āĻŧāĻž āĻāĻĒāĻŋ āĻŽā§āĻā§ āĻĢā§āĻ˛āĻž āĻšāĻ¯āĻŧ:
āĻāĻāĻŋ āĻ¤āĻāĻ¨ āĻĢāĻžāĻāĻ˛ āĻāĻŦāĻ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°āĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§ āĻ¯āĻž āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻšāĻŦā§ āĻ¨āĻž, āĻ¸ā§āĻāĻ¸āĻžāĻĨā§ āĻĢāĻžāĻāĻ˛ āĻāĻā§āĻ¸āĻā§āĻ¨āĻļāĻ¨āĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĨ¤
- āĻāĻžāĻ¨āĻžāĻ˛āĻž
- $RECYCLE.BIN
- āĻāĻ°āĻāĻ¸āĻ
- NTDETECT.COM
- āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS āĻāĻ¨āĻĢāĻŋāĻāĨ¤
- āĻŦā§āĻāĻ¸ā§āĻā§āĻ.āĻŦāĻžāĻ
- āĻŦā§āĻāĻāĻŽāĻāĻŋāĻāĻ°
- āĻĒā§āĻ°ā§āĻā§āĻ°āĻžāĻŽ āĻ¤āĻĨā§āĻ¯
- āĻ ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻā§āĻļāĻ¨ āĻ¤āĻĨā§āĻ¯
- osoft
- āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻĢāĻžāĻāĻ˛
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
āĻ āĻ¸ā§āĻĒāĻˇā§āĻāĻ¤āĻž
URL āĻāĻŦāĻ āĻāĻŽāĻŦā§āĻĄā§āĻĄ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĄā§āĻāĻž āĻ˛ā§āĻāĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯, Nemty fuckav āĻā§āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻ¸āĻš āĻāĻāĻāĻŋ base64 āĻāĻŦāĻ RC4 āĻāĻ¨āĻā§āĻĄāĻŋāĻ āĻ ā§āĻ¯āĻžāĻ˛āĻāĻ°āĻŋāĻĻāĻŽ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĨ¤
CryptStringToBinary āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋ āĻ¨āĻŋāĻŽā§āĻ¨āĻ°ā§āĻĒ
āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨
Nemty āĻ¤āĻŋāĻ¨-āĻ¸ā§āĻ¤āĻ° āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§:
- āĻĢāĻžāĻāĻ˛ā§āĻ° āĻāĻ¨ā§āĻ¯ AES-128-CBCāĨ¤ 128-āĻŦāĻŋāĻ AES āĻā§ āĻāĻ˛ā§āĻŽā§āĻ˛ā§āĻāĻžāĻŦā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ āĻāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°ā§ āĻāĻāĻāĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛ā§ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ IV āĻāĻ˛ā§āĻŽā§āĻ˛ā§āĻāĻžāĻŦā§ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻĢāĻžāĻāĻ˛ā§ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
- āĻĢāĻžāĻāĻ˛ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ RSA-2048 IVāĨ¤ āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻā§ āĻā§āĻĄāĻŧāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻā§āĻ¤āĻŋāĻāĻ¤ āĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°ā§ āĻāĻāĻāĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛ā§ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
- RSA-8192āĨ¤ āĻŽāĻžāĻ¸ā§āĻāĻžāĻ° āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§ āĻĒā§āĻ°ā§āĻā§āĻ°āĻžāĻŽā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧ, āĻ¯āĻž RSA-2048 āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ AES āĻā§ āĻāĻŦāĻ āĻā§āĻĒāĻ¨ āĻā§ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°ā§āĨ¤
- Nemty āĻĒā§āĻ°āĻĨāĻŽā§ 32 āĻŦāĻžāĻāĻ āĻ°ā§āĻ¯āĻžāĻ¨ā§āĻĄāĻŽ āĻĄā§āĻāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĨ¤ āĻĒā§āĻ°āĻĨāĻŽ 16 āĻŦāĻžāĻāĻ AES-128-CBC āĻā§ āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧāĨ¤
āĻĻā§āĻŦāĻŋāĻ¤ā§āĻ¯āĻŧ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻ
ā§āĻ¯āĻžāĻ˛āĻāĻ°āĻŋāĻĻāĻŽ āĻšāĻ˛ RSA-2048āĨ¤ āĻā§ āĻĒā§āĻ¯āĻŧāĻžāĻ°āĻāĻŋ CryptGenKey() āĻĢāĻžāĻāĻļāĻ¨ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¤ā§āĻ°āĻŋ āĻšāĻ¯āĻŧ āĻāĻŦāĻ CryptImportKey() āĻĢāĻžāĻāĻļāĻ¨ āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻŽāĻĻāĻžāĻ¨āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻā§ āĻā§āĻĄāĻŧāĻž āĻ¤ā§āĻ°āĻŋ āĻšāĻ¯āĻŧā§ āĻā§āĻ˛ā§, āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§āĻāĻŋ āĻāĻŽāĻāĻ¸ āĻā§āĻ°āĻŋāĻĒā§āĻā§āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ¤ā§ āĻāĻŽāĻĻāĻžāĻ¨āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
āĻāĻāĻāĻŋ āĻ
āĻ§āĻŋāĻŦā§āĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻāĻ¤ā§āĻĒāĻ¨ā§āĻ¨ āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§ āĻāĻ° āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ:
āĻāĻ°āĻĒāĻ°ā§, āĻŦā§āĻ¯āĻā§āĻ¤āĻŋāĻāĻ¤ āĻā§ CSP-āĻ¤ā§ āĻāĻŽāĻĻāĻžāĻ¨āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
āĻāĻāĻāĻŋ āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻā§āĻ¨āĻžāĻ°ā§āĻ āĻāĻ°āĻž āĻŦā§āĻ¯āĻā§āĻ¤āĻŋāĻāĻ¤ āĻā§-āĻāĻ° āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ:
āĻāĻŦāĻ āĻ¸āĻ°ā§āĻŦāĻļā§āĻˇ āĻāĻ¸ā§ RSA-8192āĨ¤ āĻĒā§āĻ°āĻ§āĻžāĻ¨ āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§āĻāĻŋ PE āĻĢāĻžāĻāĻ˛ā§āĻ° .data āĻŦāĻŋāĻāĻžāĻā§ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻāĻāĻžāĻ°ā§ (Base64 + RC4) āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
RSA-8192 āĻā§ āĻŦā§āĻ¸64 āĻĄāĻŋāĻā§āĻĄāĻŋāĻ āĻāĻŦāĻ RC4 āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ā§āĻ° āĻĒāĻ°ā§ fuckav āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄā§āĻ° āĻŽāĻ¤ā§ āĻĻā§āĻāĻžāĻā§āĻā§āĨ¤
āĻĢāĻ˛āĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻĒā§āĻ°ā§ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋ āĻāĻāĻ°āĻāĻŽ āĻĻā§āĻāĻžāĻ¯āĻŧ:
- āĻāĻāĻāĻŋ 128-āĻŦāĻŋāĻ AES āĻā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨ āĻ¯āĻž āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻĢāĻžāĻāĻ˛ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻŦā§āĨ¤
- āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ IV āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨āĨ¤
- āĻāĻāĻāĻŋ RSA-2048 āĻ¸ā§āĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻŽā§āĻ˛ āĻā§āĻĄāĻŧāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻā§āĻā§āĨ¤
- base8192 āĻāĻŦāĻ RC64 āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻŦāĻŋāĻĻā§āĻ¯āĻŽāĻžāĻ¨ RSA-4 āĻā§-āĻāĻ° āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒāĻļāĻ¨āĨ¤
- āĻĒā§āĻ°āĻĨāĻŽ āĻ§āĻžāĻĒ āĻĨā§āĻā§ AES-128-CBC āĻ ā§āĻ¯āĻžāĻ˛āĻāĻ°āĻŋāĻĻāĻŽ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°ā§āĻ¨āĨ¤
- RSA-2048 āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§ āĻāĻŦāĻ base64 āĻāĻ¨āĻā§āĻĄāĻŋāĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ IV āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨āĨ¤
- āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻĢāĻžāĻāĻ˛ā§āĻ° āĻļā§āĻˇā§ āĻāĻāĻāĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž IV āĻ¯ā§āĻ āĻāĻ°āĻž āĻšāĻā§āĻā§āĨ¤
- āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ā§ āĻāĻāĻāĻŋ AES āĻā§ āĻāĻŦāĻ RSA-2048 āĻ¸ā§āĻļāĻ¨ āĻĒā§āĻ°āĻžāĻāĻā§āĻ āĻā§ āĻ¯ā§āĻ āĻāĻ°āĻž āĻšāĻā§āĻā§āĨ¤
- āĻŦāĻŋāĻāĻžāĻā§ āĻŦāĻ°ā§āĻŖāĻŋāĻ¤ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĄā§āĻāĻž
āĻ¤āĻĨā§āĻ¯ āĻ¸āĻāĻā§āĻ°āĻš āĻ¸āĻāĻā§āĻ°āĻžāĻŽāĻŋāĻ¤ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ° āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻĒā§āĻ°āĻ§āĻžāĻ¨ āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§ RSA-8192 āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ - āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻĢāĻžāĻāĻ˛ āĻāĻ āĻŽāĻ¤ āĻĻā§āĻāĻžāĻ¯āĻŧ:
āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻĢāĻžāĻāĻ˛ā§āĻ° āĻāĻĻāĻžāĻšāĻ°āĻŖ:
āĻ¸āĻāĻā§āĻ°āĻŽāĻŋāĻ¤ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ° āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ¤āĻĨā§āĻ¯ āĻ¸āĻāĻā§āĻ°āĻš
āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻ¸āĻāĻā§āĻ°āĻžāĻŽāĻŋāĻ¤ āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋāĻā§ āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻā§ āĻ¸āĻāĻā§āĻ°āĻš āĻāĻ°ā§, āĻ¯āĻžāĻ¤ā§ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ āĻāĻ¸āĻ˛ā§ āĻāĻāĻāĻŋ āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒā§āĻāĻ° āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻāĻžāĻĄāĻŧāĻžāĻ, Nemty āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¤āĻĨā§āĻ¯ āĻ¯ā§āĻŽāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¨āĻžāĻŽ, āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°ā§āĻ° āĻ¨āĻžāĻŽ, āĻšāĻžāĻ°ā§āĻĄāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻĒā§āĻ°ā§āĻĢāĻžāĻāĻ˛ āĻ¸āĻāĻā§āĻ°āĻš āĻāĻ°ā§āĨ¤
āĻ¸āĻāĻā§āĻ°āĻŽāĻŋāĻ¤ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°ā§āĻ° āĻĄā§āĻ°āĻžāĻāĻ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ¤āĻĨā§āĻ¯ āĻ¸āĻāĻā§āĻ°āĻš āĻāĻ°āĻ¤ā§ āĻāĻāĻŋ GetLogicalDrives(), GetFreeSpace(), GetDriveType() āĻĢāĻžāĻāĻļāĻ¨āĻā§ āĻāĻ˛ āĻāĻ°ā§āĨ¤
āĻ¸āĻāĻā§āĻšā§āĻ¤ āĻ¤āĻĨā§āĻ¯ āĻāĻāĻāĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛ā§ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ āĻ¸ā§āĻā§āĻ°āĻŋāĻāĻāĻŋ āĻĄāĻŋāĻā§āĻĄ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§, āĻāĻŽāĻ°āĻž āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛ā§ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋāĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻĒāĻžāĻ:
āĻāĻāĻāĻŋ āĻ¸āĻāĻā§āĻ°āĻžāĻŽāĻŋāĻ¤ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°ā§āĻ° āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨:
āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻā§āĻŽāĻĒā§āĻ˛ā§āĻāĻāĻŋ āĻ¨āĻŋāĻŽā§āĻ¨āĻ°ā§āĻĒ āĻāĻĒāĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§:
{"āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ": {"āĻāĻāĻĒāĻŋ":"[āĻāĻāĻĒāĻŋ]", "āĻĻā§āĻļ":"[āĻĻā§āĻļ]", "āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°āĻ¨āĻžāĻŽ":"[āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°āĻ¨āĻžāĻŽ]", "āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¨āĻžāĻŽ":"[āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¨āĻžāĻŽ]", "āĻāĻāĻ¸": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[āĻā§]", "pr_key":"[pr_key]
Nemty %USER%/_NEMTY_.nemty āĻĢāĻžāĻāĻ˛ā§ JSON āĻĢāĻ°ā§āĻŽā§āĻ¯āĻžāĻā§ āĻ¸āĻāĻā§āĻšā§āĻ¤ āĻĄā§āĻāĻž āĻ¸āĻā§āĻāĻ¯āĻŧ āĻāĻ°ā§āĨ¤ FileID 7 āĻ āĻā§āĻˇāĻ° āĻĻā§āĻ°ā§āĻ āĻāĻŦāĻ āĻāĻ˛ā§āĻŽā§āĻ˛ā§āĻāĻžāĻŦā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ āĻ¯ā§āĻŽāĻ¨: _NEMTY_tgdLYrd_.nemty. FileID āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻĢāĻžāĻāĻ˛ā§āĻ° āĻļā§āĻˇā§ āĻ¯ā§āĻā§āĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
āĻŽā§āĻā§āĻ¤āĻŋāĻĒāĻŖ āĻŦāĻžāĻ°ā§āĻ¤āĻž
āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§, _NEMTY_[FileID]-DECRYPT.txt āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻ¸āĻš āĻĄā§āĻ¸ā§āĻāĻāĻĒā§ āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤ āĻšāĻ¯āĻŧ:
āĻĢāĻžāĻāĻ˛ā§āĻ° āĻļā§āĻˇā§ āĻ¸āĻāĻā§āĻ°āĻŽāĻŋāĻ¤ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ° āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻ¤āĻĨā§āĻ¯ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤
āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¯ā§āĻāĻžāĻ¯ā§āĻ
ironman.exe āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ āĻŋāĻāĻžāĻ¨āĻž āĻĨā§āĻā§ Tor āĻŦā§āĻ°āĻžāĻāĻāĻžāĻ° āĻŦāĻŋāĻ¤āĻ°āĻŖ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°ā§
Nemty āĻ¤āĻžāĻ°āĻĒāĻ° 127.0.0.1:9050 āĻ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĄā§āĻāĻž āĻĒāĻžāĻ āĻžāĻ¨ā§āĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§, āĻ¯ā§āĻāĻžāĻ¨ā§ āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻāĻžāĻ°ā§āĻ¯āĻāĻ°ā§ āĻāĻ° āĻŦā§āĻ°āĻžāĻāĻāĻžāĻ° āĻĒā§āĻ°āĻā§āĻ¸āĻŋ āĻā§āĻāĻā§ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻāĻļāĻž āĻāĻ°ā§āĨ¤ āĻ¯āĻžāĻāĻšā§āĻ, āĻĄāĻŋāĻĢāĻ˛ā§āĻāĻ°ā§āĻĒā§ āĻāĻ° āĻĒā§āĻ°āĻā§āĻ¸āĻŋ āĻĒā§āĻ°ā§āĻ 9150 āĻ āĻļā§āĻ¨ā§ āĻāĻŦāĻ āĻĒā§āĻ°ā§āĻ 9050 āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ā§ āĻāĻ° āĻĄā§āĻŽāĻ¨ āĻŦāĻž āĻāĻāĻ¨ā§āĻĄā§āĻā§ āĻāĻā§āĻ¸āĻĒāĻžāĻ°ā§āĻ āĻŦāĻžāĻ¨ā§āĻĄā§āĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĨ¤ āĻ¸ā§āĻ¤āĻ°āĻžāĻ, āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ āĻā§āĻ¨ āĻ¤āĻĨā§āĻ¯ āĻĒāĻžāĻ āĻžāĻ¨ā§ āĻšāĻ¯āĻŧ āĻ¨āĻžāĨ¤ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤ā§, āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻŽā§āĻā§āĻ¤āĻŋāĻĒāĻŖ āĻŦāĻžāĻ°ā§āĻ¤āĻžāĻ¯āĻŧ āĻĒā§āĻ°āĻĻāĻ¤ā§āĻ¤ āĻ˛āĻŋāĻā§āĻā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻ° āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻžāĻ¤ā§ āĻāĻŋāĻ¯āĻŧā§ āĻŽā§āĻ¯āĻžāĻ¨ā§āĻ¯āĻŧāĻžāĻ˛āĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤
āĻāĻ° āĻĒā§āĻ°āĻā§āĻ¸āĻŋāĻ¤ā§ āĻ¸āĻāĻ¯ā§āĻ āĻāĻ°āĻž āĻšāĻā§āĻā§:
HTTP GET āĻāĻāĻāĻŋ āĻ
āĻ¨ā§āĻ°ā§āĻ§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§ 127.0.0.1:9050/public/gate?data=
āĻāĻāĻžāĻ¨ā§ āĻāĻĒāĻ¨āĻŋ TORlocal āĻĒā§āĻ°āĻā§āĻ¸āĻŋ āĻĻā§āĻŦāĻžāĻ°āĻž āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻā§āĻ˛āĻž TCP āĻĒā§āĻ°ā§āĻāĻā§āĻ˛āĻŋ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻŦā§āĻ¨:
āĻāĻ° āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ āĻ¨ā§āĻŽāĻāĻŋ āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž:
āĻāĻĒāĻ¨āĻŋ āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻāĻŦāĻŋ (jpg, png, bmp) āĻāĻĒāĻ˛ā§āĻĄ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤
āĻāĻ° āĻĒāĻ°ā§, āĻšāĻžāĻŽāĻ˛āĻžāĻāĻžāĻ°ā§ āĻŽā§āĻā§āĻ¤āĻŋāĻĒāĻŖ āĻĻāĻŋāĻ¤ā§ āĻŦāĻ˛ā§āĨ¤ āĻĒāĻ°āĻŋāĻļā§āĻ§ āĻ¨āĻž āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§ āĻŽā§āĻ˛ā§āĻ¯ āĻĻā§āĻŦāĻŋāĻā§āĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
āĻāĻĒāĻ¸āĻāĻšāĻžāĻ°
āĻāĻ āĻŽā§āĻšā§āĻ°ā§āĻ¤ā§, āĻŽā§āĻā§āĻ¤āĻŋāĻĒāĻŖ āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻāĻžāĻĄāĻŧāĻž Nemty āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋ āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ āĻ¨āĻ¯āĻŧā§ˇ āĻ°âā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°ā§āĻ° āĻāĻ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖā§ āĻŦā§āĻ°āĻžāĻ¨ āĻ°âā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻāĻŦāĻ āĻĒā§āĻ°āĻžāĻ¨ā§ āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻā§āĻ°ā§āĻ¯āĻžāĻŦā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻ°āĻ¯āĻŧā§āĻā§: āĻŦā§āĻ°āĻ˛ā§āĻ¯āĻžāĻ¨ā§āĻĄ āĻĄā§āĻ˛āĻĢāĻŋāĻ¤ā§ āĻ¸āĻāĻāĻ˛āĻ¨ āĻāĻŦāĻ āĻāĻāĻ āĻĒāĻžāĻ ā§āĻ¯ āĻ¸āĻš āĻāĻŋāĻ¤ā§āĻ°āĻā§āĻ˛āĻŋāĨ¤ āĻāĻĒāĻ°āĻ¨ā§āĻ¤ā§, āĻāĻāĻŋāĻ āĻĒā§āĻ°āĻĨāĻŽ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻāĻ° āĻ¯ā§āĻāĻŋ āĻāĻāĻāĻŋ 8092-āĻŦāĻŋāĻ RSA āĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§, āĻ¯ā§āĻāĻŋ āĻāĻŦāĻžāĻ° āĻā§āĻ¨ā§ āĻ āĻ°ā§āĻĨāĻŦā§āĻ§ āĻāĻ°ā§ āĻ¨āĻž, āĻ¯ā§āĻšā§āĻ¤ā§ āĻāĻāĻāĻŋ 1024-āĻŦāĻŋāĻ āĻā§ āĻ¸ā§āĻ°āĻā§āĻˇāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¯āĻĨā§āĻˇā§āĻāĨ¤ āĻ āĻŦāĻļā§āĻˇā§, āĻāĻŦāĻ āĻāĻāĻ°ā§āĻˇāĻŖā§āĻ¯āĻŧāĻāĻžāĻŦā§, āĻāĻāĻŋ āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻāĻ° āĻĒā§āĻ°āĻā§āĻ¸āĻŋ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻā§āĻ˛ āĻĒā§āĻ°ā§āĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§āĨ¤
āĻ¯āĻžāĻāĻšā§āĻ, āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨
āĻāĻ¤ā§āĻ¸: www.habr.com