Himamata ang Nemty ransomware gikan sa peke nga website sa PayPal
Usa ka bag-ong ransomware nga gitawag og Nemty ang nagpakita sa network, nga mao kuno ang manununod sa GrandCrab o Buran. Ang malware nag-una nga gipang-apod-apod gikan sa peke nga website sa PayPal ug adunay daghang makapaikag nga mga bahin. Ang mga detalye bahin sa kung giunsa kini nga ransomware nagtrabaho ubos sa pagputol.
Bag-ong Nemty ransomware nga nadiskobrehan sa user nao_sec Septiyembre 7, 2019. Ang malware giapod-apod pinaagi sa usa ka website nagtakuban isip PayPal, posible usab nga ang ransomware makasulod sa kompyuter pinaagi sa RIG exploit kit. Gigamit sa mga tig-atake ang mga pamaagi sa social engineering aron pugson ang tiggamit sa pagpadagan sa cashback.exe file, nga giingon nga nadawat niya gikan sa website sa PayPal. Nakurat usab nga gipiho ni Nemty ang sayup nga pantalan alang sa lokal nga serbisyo sa proxy nga Tor, nga nagpugong sa pagpadala sa malware. data ngadto sa server. Busa, ang tiggamit kinahanglan nga mag-upload sa mga naka-encrypt nga file sa Tor network mismo kung gusto niya nga bayran ang lukat ug maghulat alang sa pag-decryption gikan sa mga tig-atake.
Daghang makapaikag nga mga kamatuoran bahin sa Nemty nagsugyot nga kini gihimo sa parehas nga mga tawo o sa mga cybercriminal nga kauban sa Buran ug GrandCrab.
Sama sa GandCrab, si Nemty adunay itlog sa Pasko sa Pagkabanhaw - usa ka sumpay sa litrato sa Presidente sa Russia nga si Vladimir Putin nga adunay usa ka malaw-ay nga komedya. Ang kabilin nga GandCrab ransomware adunay usa ka imahe nga adunay parehas nga teksto.
Ang mga artifact sa lengguwahe sa duha nga mga programa nagpunting sa parehas nga mga tagsulat nga nagsultig Ruso.
Kini ang unang ransomware nga migamit ug 8092-bit RSA key. Bisan kung walaβy punto niini: ang usa ka 1024-bit nga yawe igo na aron mapanalipdan batok sa pag-hack.
Sama sa Buran, ang ransomware gisulat sa Object Pascal ug gihugpong sa Borland Delphi.
Static nga Pagtuki
Ang pagpatuman sa malisyoso nga code mahitabo sa upat ka yugto. Ang unang lakang mao ang pagpadagan sa cashback.exe, usa ka PE32 executable file ubos sa MS Windows nga adunay gidak-on nga 1198936 bytes. Ang code niini gisulat sa Visual C++ ug gi-compile niadtong Oktubre 14, 2013. Naglangkob kini sa usa ka archive nga awtomatiko nga ma-unpack kung nagpadagan ka sa cashback.exe. Gigamit sa software ang Cabinet.dll library ug ang mga function niini FDICreate(), FDIDestroy() ug uban pa para makakuha ug files gikan sa .cab archive.
Human ma-unpack ang archive, tulo ka file ang makita.
Sunod, gilunsad ang temp.exe, usa ka PE32 executable file ubos sa MS Windows nga adunay gidak-on nga 307200 bytes. Ang code gisulat sa Visual C++ ug giputos sa MPRESS packer, usa ka packer nga susama sa UPX.
Ang sunod nga lakang mao ang ironman.exe. Sa higayon nga gilansad, ang temp.exe mag-decrypts sa naka-embed nga data sa temp ug mag-ilis sa ngalan niini ngadto sa ironman.exe, usa ka 32 byte PE544768 executable file. Ang kodigo gihugpong sa Borland Delphi.
Ang katapusang lakang mao ang pag-restart sa ironman.exe file. Sa runtime, gibag-o niini ang code niini ug gipadagan ang kaugalingon gikan sa memorya. Kini nga bersyon sa ironman.exe malisyoso ug responsable sa pag-encrypt.
Vektor sa pag-atake
Sa pagkakaron, ang Nemty ransomware gipang-apod-apod pinaagi sa website nga pp-back.info.
Ang kompleto nga kadena sa impeksyon makita sa app.any.run sandbox.
Pag-instalar
Cashback.exe - ang sinugdanan sa pag-atake. Sama sa nahisgotan na, ang cashback.exe nag-unpack sa .cab file nga anaa niini. Naghimo kini og folder nga TMP4351$.TMP sa porma nga %TEMP%IXxxx.TMP, diin ang xxx maoy numero gikan sa 001 ngadto sa 999.
Sunod, usa ka registry key ang gi-install, nga ingon niini:
Gigamit kini sa pagtangtang sa wala pa naputos nga mga file. Sa katapusan, ang cashback.exe nagsugod sa proseso sa temp.exe.
Ang Temp.exe mao ang ikaduhang yugto sa kadena sa impeksyon
Kini ang proseso nga gilunsad sa cashback.exe file, ang ikaduhang lakang sa pagpatay sa virus. Gisulayan niini ang pag-download sa AutoHotKey, usa ka himan alang sa pagpadagan sa mga script sa Windows, ug pagpadagan sa WindowSpy.ahk script nga nahimutang sa seksyon sa mga kapanguhaan sa PE file.
Ang WindowSpy.ahk script nag-decrypts sa temp file sa ironman.exe gamit ang RC4 algorithm ug ang password nga IwantAcake. Ang yawe gikan sa password makuha gamit ang MD5 hashing algorithm.
Ang temp.exe dayon nagtawag sa proseso sa ironman.exe.
Ironman.exe - ikatulo nga lakang
Gibasa sa Ironman.exe ang sulod sa iron.bmp file ug nagmugna og iron.txt file nga adunay cryptolocker nga sunod ilusad.
Pagkahuman niini, ang virus nagkarga sa iron.txt sa memorya ug gi-restart kini ingon ironman.exe. Pagkahuman niini, gitangtang ang iron.txt.
Ang ironman.exe mao ang nag-unang bahin sa NEMTY ransomware, nga nag-encrypt sa mga file sa apektadong computer. Ang malware nagmugna ug mutex nga gitawag ug hate.
Ang una nga butang nga gihimo niini mao ang pagtino sa lokasyon sa heyograpiya sa kompyuter. Giablihan ni Nemty ang browser ug nahibal-an ang IP sa http://api.ipify.org. Sa site api.db-ip.com/v2/free[IP]/countryName Ang nasud determinado gikan sa nadawat nga IP, ug kung ang kompyuter nahimutang sa usa sa mga rehiyon nga gilista sa ubos, ang pagpatuman sa malware code mohunong:
Russia
Belarus
Ukraine
Kazakhstan
Tajikistan
Lagmit, ang mga developers dili gusto nga madani ang pagtagad sa mga ahensya nga nagpatuman sa balaod sa ilang mga nasud nga pinuy-anan, ug busa dili mag-encrypt sa mga file sa ilang "balay" nga mga hurisdiksyon.
Kung ang IP address sa biktima wala sa listahan sa ibabaw, nan ang virus nag-encrypt sa impormasyon sa user.
Aron mapugngan ang pagbawi sa file, ang ilang mga kopya sa anino gitangtang:
Naghimo kini usa ka lista sa mga file ug folder nga dili ma-encrypt, ingon man usa ka lista sa mga extension sa file.
tamboanan
$RECYCLE.BIN
rsa
ntdetect.com
ug uban pa
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop. ini
SYS CONFIG.
BOOTSECT.BAK
bootmgr
data sa programa
datos sa app
osoft
Komon nga mga File
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Pagkalibog
Aron itago ang mga URL ug naka-embed nga data sa pag-configure, gigamit ni Nemty ang base64 ug RC4 encoding algorithm nga adunay fuckav keyword.
Ang proseso sa decryption gamit ang CryptStringToBinary mao ang mosunod
Encryption
Gigamit ni Nemty ang tulo-ka-layer nga pag-encrypt:
AES-128-CBC alang sa mga file. Ang 128-bit nga AES nga yawe random nga namugna ug gigamit nga parehas alang sa tanan nga mga file. Gitipigan kini sa usa ka configuration file sa kompyuter sa user. Ang IV random nga gihimo alang sa matag file ug gitipigan sa usa ka naka-encrypt nga file.
RSA-2048 alang sa file encryption IV. Nahimo ang usa ka yawe nga pares alang sa sesyon. Ang pribadong yawe alang sa sesyon gitipigan sa usa ka configuration file sa kompyuter sa user.
RSA-8192. Ang master public key gitukod sa programa ug gigamit sa pag-encrypt sa configuration file, nga nagtipig sa AES key ug secret key para sa RSA-2048 session.
Ang Nemty unang nakamugna og 32 bytes nga random data. Ang unang 16 ka byte gigamit isip AES-128-CBC nga yawe.
Ang ikaduha nga algorithm sa pag-encrypt mao ang RSA-2048. Ang yawe nga pares gihimo sa CryptGenKey() function ug imported sa CryptImportKey() function.
Sa diha nga ang yawe nga pares alang sa sesyon namugna, ang publiko nga yawe i-import ngadto sa MS Cryptographic Service Provider.
Usa ka pananglitan sa usa ka nahimo nga publiko nga yawe alang sa usa ka sesyon:
Sunod, ang pribadong yawe gi-import sa CSP.
Usa ka pananglitan sa usa ka namugna nga pribadong yawe alang sa usa ka sesyon:
Ug ang katapusan moabut RSA-8192. Ang nag-unang publiko nga yawe gitipigan sa encrypted nga porma (Base64 + RC4) sa .data nga seksyon sa PE file.
Ang RSA-8192 nga yawe human sa base64 decoding ug RC4 decryption uban sa fuckav password ingon niini.
Ingon usa ka sangputanan, ang tibuuk nga proseso sa pag-encrypt ingon niini:
Paghimo og 128-bit AES key nga gamiton sa pag-encrypt sa tanang file.
Paghimo og IV alang sa matag file.
Paghimo usa ka yawe nga pares alang sa usa ka sesyon sa RSA-2048.
Pag-decryption sa usa ka kasamtangan nga RSA-8192 nga yawe gamit ang base64 ug RC4.
I-encrypt ang mga sulod sa file gamit ang AES-128-CBC algorithm gikan sa unang lakang.
IV encryption gamit ang RSA-2048 public key ug base64 encoding.
Pagdugang usa ka naka-encrypt nga IV sa katapusan sa matag naka-encrypt nga file.
Pagdugang ug AES key ug RSA-2048 session private key sa config.
Ang datos sa pag-configure nga gihulagway sa seksyon Pagkolekta sa impormasyon bahin sa nataptan nga kompyuter gi-encrypt gamit ang panguna nga yawe sa publiko nga RSA-8192.
Ang naka-encrypt nga file ingon niini:
Pananglitan sa na-encrypt nga mga file:
Pagkolekta og impormasyon bahin sa nataptan nga kompyuter
Ang ransomware nagkolekta og mga yawe sa pag-decrypt sa mga nataptan nga mga file, aron ang tig-atake makahimo gayud og decryptor. Dugang pa, gikolekta ni Nemty ang datos sa tiggamit sama sa username, ngalan sa kompyuter, profile sa hardware.
Gitawag niini ang GetLogicalDrives(), GetFreeSpace(), GetDriveType() functions sa pagkolekta og impormasyon mahitungod sa mga drive sa nataptan nga computer.
Ang nakolekta nga impormasyon gitipigan sa usa ka configuration file. Ang pag-decode sa string, nakakuha kami usa ka lista sa mga parameter sa file sa pag-configure:
Pananglitan nga pag-configure sa usa ka nataptan nga kompyuter:
Ang template sa pag-configure mahimong irepresentar sa mosunod:
Gitipigan ni Nemty ang nakolekta nga datos sa JSON nga format sa file nga %USER%/_NEMTY_.nemty. Ang FileID 7 ka karakter ang gitas-on ug random nga namugna. Pananglitan: _NEMTY_tgdLYrd_.nemty. Ang FileID gidugang usab sa katapusan sa na-encrypt nga file.
Mensahe sa lukat
Human sa pag-encrypt sa mga file, ang file _NEMTY_[FileID]-DECRYPT.txt makita sa desktop nga adunay mosunod nga sulod:
Sa katapusan sa file adunay naka-encrypt nga kasayuran bahin sa nataptan nga kompyuter.
Gisulayan dayon ni Nemty nga ipadala ang data sa pagsumpo sa 127.0.0.1:9050, diin gilauman nga makit-an ang usa ka nagtrabaho nga Tor browser proxy. Bisan pa, pinaagi sa default ang Tor proxy naminaw sa port 9150, ug ang port 9050 gigamit sa Tor daemon sa Linux o Expert Bundle sa Windows. Busa, walay data nga gipadala sa server sa tig-atake. Hinuon, ang user maka-download sa configuration file nga mano-mano pinaagi sa pagbisita sa Tor decryption service pinaagi sa link nga gihatag sa ransom message.
Pagkonektar sa Tor proxy:
Ang HTTP GET nagmugna og hangyo sa 127.0.0.1:9050/public/gate?data=
Dinhi imong makita ang bukas nga TCP ports nga gigamit sa TORlocal proxy:
Nemty decryption nga serbisyo sa Tor network:
Mahimo nimong i-upload ang usa ka naka-encrypt nga litrato (jpg, png, bmp) aron sulayan ang serbisyo sa pag-decryption.
Pagkahuman niini, nangayo ang tig-atake nga magbayad usa ka lukat. Sa kaso sa dili pagbayad doble ang presyo.
konklusyon
Sa pagkakaron, dili posible nga i-decrypt ang mga file nga gi-encrypt ni Nemty nga wala magbayad og ransom. Kini nga bersyon sa ransomware adunay komon nga mga bahin sa Buran ransomware ug ang outdated GandCrab: compilation sa Borland Delphi ug mga imahe nga adunay parehas nga teksto. Dugang pa, kini ang una nga encryptor nga naggamit sa usa ka 8092-bit RSA nga yawe, nga, usab, walaβy kahulogan, tungod kay ang usa ka 1024-bit nga yawe igo na alang sa pagpanalipod. Sa katapusan, ug makapaikag, gisulayan niini ang paggamit sa sayup nga pantalan alang sa lokal nga serbisyo sa proxy sa Tor.
Apan, mga solusyon Pag-backup sa Acronis ΠΈ Acronis True Image pugngan ang Nemty ransomware gikan sa pagkab-ot sa mga user PC ug data, ug ang mga providers makapanalipod sa ilang mga kliyente Acronis Backup Cloud... Puno Panalipod sa cyber naghatag dili lamang backup, apan usab sa pagpanalipod sa paggamit Aktibo nga Proteksyon sa Acronis, usa ka espesyal nga teknolohiya nga gibase sa artificial intelligence ug behavioral heuristics nga nagtugot kanimo sa pag-neutralize bisan wala pa mailhi nga malware.