ProHoster > Blog > podávání > Seznamte se s ransomwarem Nemty z falešného webu PayPal
Seznamte se s ransomwarem Nemty z falešného webu PayPal
Na síti se objevil nový ransomware s názvem Nemty, který je údajně nástupcem GrandCraba nebo Buranu. Malware je distribuován především z falešného webu PayPal a má řadu zajímavých funkcí. Podrobnosti o tom, jak tento ransomware funguje, jsou pod řezem.
Uživatel objevil nový ransomware Nemty nao_sec 7. září 2019. Malware byl distribuován prostřednictvím webové stránky převlečený za PayPal, je také možné, že ransomware pronikne do počítače prostřednictvím exploit kit RIG. Útočníci pomocí metod sociálního inženýrství donutili uživatele spustit soubor cashback.exe, který údajně obdržel z webu PayPal. Kuriózní je také to, že Nemty specifikoval špatný port pro místní proxy službu Tor, která brání odesílání malwaru data na server. Uživatel tedy bude muset sám nahrát zašifrované soubory do sítě Tor, pokud bude mít v úmyslu zaplatit výkupné a počkat na dešifrování od útočníků.
Několik zajímavých faktů o Nemty naznačuje, že byl vyvinut stejnými lidmi nebo kyberzločinci spojenými s Buranem a GrandCrabem.
Nemty má stejně jako GandCrab velikonoční vajíčko – odkaz na fotku ruského prezidenta Vladimira Putina s obscénním vtipem. Starší ransomware GandCrab měl obrázek se stejným textem.
Jazykové artefakty obou programů ukazují na stejné rusky mluvící autory.
Jedná se o první ransomware, který používá 8092bitový klíč RSA. I když to nemá smysl: 1024bitový klíč je docela dost na ochranu před hackováním.
Stejně jako Buran je ransomware napsán v Object Pascal a zkompilován v Borland Delphi.
Statická analýza
Spuštění škodlivého kódu probíhá ve čtyřech fázích. Prvním krokem je spuštění cashback.exe, PE32 spustitelného souboru pod MS Windows o velikosti 1198936 bajtů. Jeho kód byl napsán ve Visual C++ a zkompilován 14. října 2013. Obsahuje archiv, který se automaticky rozbalí při spuštění cashback.exe. Software používá knihovnu Cabinet.dll a její funkce FDICreate(), FDIDestroy() a další k získání souborů z archivu .cab.
Dále se spustí temp.exe, PE32 spustitelný soubor pod MS Windows o velikosti 307200 bajtů. Kód je napsán ve Visual C++ a zabalen s MPRESS packer, packer podobný UPX.
Dalším krokem je ironman.exe. Po spuštění temp.exe dešifruje vložená data v temp a přejmenuje je na ironman.exe, 32 bajtový spustitelný soubor PE544768. Kód je zkompilován v Borland Delphi.
Posledním krokem je restartování souboru ironman.exe. Za běhu transformuje svůj kód a spouští se z paměti. Tato verze ironman.exe je škodlivá a je zodpovědná za šifrování.
Vektor útoku
V současné době je ransomware Nemty distribuován prostřednictvím webové stránky pp-back.info.
Úplný řetězec infekce si můžete prohlédnout na app.any.run pískoviště.
Instalace
Cashback.exe - začátek útoku. Jak již bylo zmíněno, cashback.exe rozbalí soubor .cab, který obsahuje. Poté vytvoří složku TMP4351$.TMP ve tvaru %TEMP%IXxxx.TMP, kde xxx je číslo od 001 do 999.
Dále je nainstalován klíč registru, který vypadá takto:
Slouží k mazání rozbalených souborů. Nakonec cashback.exe spustí proces temp.exe.
Temp.exe je druhou fází infekčního řetězce
Toto je proces spuštěný souborem cashback.exe, druhým krokem spuštění viru. Pokusí se stáhnout AutoHotKey, nástroj pro spouštění skriptů ve Windows, a spustit skript WindowSpy.ahk umístěný v sekci zdrojů souboru PE.
Skript WindowSpy.ahk dešifruje dočasný soubor v ironman.exe pomocí algoritmu RC4 a hesla IwantAcake. Klíč z hesla je získán pomocí hashovacího algoritmu MD5.
temp.exe pak zavolá proces ironman.exe.
Ironman.exe - třetí krok
Ironman.exe načte obsah souboru iron.bmp a vytvoří soubor iron.txt s cryptolockerem, který bude spuštěn jako další.
Poté virus nahraje iron.txt do paměti a restartuje jej jako ironman.exe. Poté je iron.txt smazán.
ironman.exe je hlavní součástí ransomwaru NEMTY, který šifruje soubory v postiženém počítači. Malware vytváří mutex zvaný nenávist.
První věc, kterou udělá, je určit geografickou polohu počítače. Nemty otevře prohlížeč a zjistí IP na http://api.ipify.org. Na stránce api.db-ip.com/v2/free[IP]/countryName Země je určena z přijaté IP adresy, a pokud se počítač nachází v jedné z níže uvedených oblastí, provádění malwarového kódu se zastaví:
Rusko
Bělorusko
Ukrajina
Kazachstán
Tádžikistán
Vývojáři s největší pravděpodobností nechtějí přitahovat pozornost donucovacích orgánů v zemích svého bydliště, a proto nešifrují soubory ve svých „domácích“ jurisdikcích.
Pokud IP adresa oběti nepatří do výše uvedeného seznamu, pak virus zašifruje informace uživatele.
Aby se zabránilo obnovení souborů, jsou jejich stínové kopie odstraněny:
Poté vytvoří seznam souborů a složek, které nebudou zašifrovány, a také seznam přípon souborů.
okna
$ RECYCLE.BIN
Rsa
NTDETECT.COM
ntldr
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
CONFIG.SYS
BOOTSECT.BAK
Bootmgr
Programové data
appdata
osoft
Společné soubory
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Zatemnění
Ke skrytí adres URL a vložených konfiguračních dat používá Nemty kódovací algoritmus base64 a RC4 s klíčovým slovem fuckav.
Proces dešifrování pomocí CryptStringToBinary je následující
Šifrování
Nemty používá třívrstvé šifrování:
AES-128-CBC pro soubory. 128bitový klíč AES se generuje náhodně a používá se stejně pro všechny soubory. Je uložen v konfiguračním souboru na počítači uživatele. IV je náhodně generován pro každý soubor a uložen v zašifrovaném souboru.
RSA-2048 pro šifrování souborů IV. Vygeneruje se pár klíčů pro relaci. Soukromý klíč pro relaci je uložen v konfiguračním souboru v počítači uživatele.
RSA-8192. Hlavní veřejný klíč je zabudován do programu a používá se k šifrování konfiguračního souboru, ve kterém je uložen klíč AES a tajný klíč pro relaci RSA-2048.
Nemty nejprve vygeneruje 32 bajtů náhodných dat. Prvních 16 bajtů se používá jako klíč AES-128-CBC.
Druhým šifrovacím algoritmem je RSA-2048. Pár klíčů je generován funkcí CryptGenKey() a importován funkcí CryptImportKey().
Jakmile je vygenerován pár klíčů pro relaci, je veřejný klíč importován do poskytovatele kryptografických služeb MS.
Příklad vygenerovaného veřejného klíče pro relaci:
Dále je soukromý klíč importován do CSP.
Příklad vygenerovaného soukromého klíče pro relaci:
A jako poslední přichází RSA-8192. Hlavní veřejný klíč je uložen v zašifrované podobě (Base64 + RC4) v sekci .data souboru PE.
Klíč RSA-8192 po dekódování base64 a dešifrování RC4 s heslem fuckav vypadá takto.
V důsledku toho celý proces šifrování vypadá takto:
Vygenerujte 128bitový klíč AES, který bude použit k šifrování všech souborů.
Vytvořte IV pro každý soubor.
Vytvoření páru klíčů pro relaci RSA-2048.
Dešifrování existujícího klíče RSA-8192 pomocí base64 a RC4.
Šifrujte obsah souboru pomocí algoritmu AES-128-CBC od prvního kroku.
IV šifrování pomocí veřejného klíče RSA-2048 a kódování base64.
Přidání zašifrovaného IV na konec každého zašifrovaného souboru.
Přidání klíče AES a soukromého klíče relace RSA-2048 do konfigurace.
Konfigurační data popsaná v části Sběr informací o infikovaném počítači jsou zašifrovány pomocí hlavního veřejného klíče RSA-8192.
Zašifrovaný soubor vypadá takto:
Příklad zašifrovaných souborů:
Shromažďování informací o infikovaném počítači
Ransomware shromažďuje klíče k dešifrování infikovaných souborů, takže útočník může skutečně vytvořit dešifrovač. Kromě toho Nemty shromažďuje uživatelská data, jako je uživatelské jméno, název počítače, hardwarový profil.
Volá funkce GetLogicalDrives(), GetFreeSpace(), GetDriveType() a shromažďuje informace o jednotkách infikovaného počítače.
Shromážděné informace jsou uloženy v konfiguračním souboru. Po dekódování řetězce získáme seznam parametrů v konfiguračním souboru:
Příklad konfigurace infikovaného počítače:
Šablona konfigurace může být reprezentována následovně:
Nemty ukládá shromážděná data ve formátu JSON do souboru %USER%/_NEMTY_.nemty. FileID je 7 znaků dlouhé a náhodně generované. Například: _NEMTY_tgdLYrd_.nemty. ID souboru je také připojeno na konec zašifrovaného souboru.
Výkupná zpráva
Po zašifrování souborů se na ploše objeví soubor _NEMTY_[FileID]-DECRYPT.txt s následujícím obsahem:
Na konci souboru jsou zašifrované informace o infikovaném počítači.
Nemty se poté pokusí odeslat konfigurační data na 127.0.0.1:9050, kde očekává, že najde funkční proxy prohlížeče Tor. Ve výchozím nastavení však Tor proxy naslouchá na portu 9150 a port 9050 používá démon Tor na Linuxu nebo Expert Bundle na Windows. Na útočníkův server se tedy neodesílají žádná data. Místo toho si uživatel může stáhnout konfigurační soubor ručně návštěvou dešifrovací služby Tor prostřednictvím odkazu uvedeného ve zprávě o výkupném.
Připojení k Tor proxy:
HTTP GET vytvoří požadavek na 127.0.0.1:9050/public/gate?data=
Zde můžete vidět otevřené TCP porty, které používá TORlocal proxy:
Služba Nemty dešifrování v síti Tor:
Pro otestování dešifrovací služby můžete nahrát zašifrovanou fotografii (jpg, png, bmp).
Poté útočník žádá o zaplacení výkupného. V případě nezaplacení je cena zdvojnásobena.
Závěr
V tuto chvíli není možné dešifrovat soubory zašifrované Nemtym bez zaplacení výkupného. Tato verze ransomwaru má společné rysy s ransomwarem Buran a zastaralým GandCrabem: kompilace v Borland Delphi a obrázky se stejným textem. Navíc se jedná o první šifrovač, který používá 8092bitový klíč RSA, což opět nedává žádný smysl, protože k ochraně stačí 1024bitový klíč. Nakonec a zajímavé je, že se snaží použít špatný port pro místní službu proxy Tor.
Nicméně řešení Acronis Backup и Acronis True Image zabránit ransomwaru Nemty v přístupu k uživatelským počítačům a datům a poskytovatelé mohou chránit své klienty pomocí Acronis Backup Cloud. Plný Kybernetická ochrana poskytuje nejen zálohování, ale i ochranu pomocí Acronis Active Protection, speciální technologie založená na umělé inteligenci a behaviorální heuristice, která umožňuje neutralizovat i dosud neznámý malware.