Mae ransomware newydd o'r enw Nemty wedi ymddangos ar y rhwydwaith, sydd i fod yn olynydd i GrandCrab neu Buran. Mae'r malware yn cael ei ddosbarthu'n bennaf o wefan ffug PayPal ac mae ganddo nifer o nodweddion diddorol. Mae manylion am sut mae'r ransomware hwn yn gweithio o dan y toriad.
Offer ransom Nemty newydd wedi'i ddarganfod gan y defnyddiwr Medi 7, 2019. Dosbarthwyd y malware trwy wefan , mae hefyd yn bosibl i ransomware dreiddio i gyfrifiadur drwy'r pecyn ecsbloetio RIG. Defnyddiodd yr ymosodwyr ddulliau peirianneg cymdeithasol i orfodi'r defnyddiwr i redeg y ffeil cashback.exe, yr honnir iddo dderbyn o wefan PayPal.. Mae hefyd yn chwilfrydig bod Nemty wedi nodi'r porthladd anghywir ar gyfer y gwasanaeth dirprwy lleol Tor, sy'n atal y malware rhag anfon data i'r gweinydd. Felly, bydd yn rhaid i'r defnyddiwr uwchlwytho ffeiliau wedi'u hamgryptio i rwydwaith Tor ei hun os yw'n bwriadu talu'r pridwerth ac aros am ddadgryptio gan yr ymosodwyr.
Mae sawl ffaith ddiddorol am Nemty yn awgrymu iddo gael ei ddatblygu gan yr un bobl neu gan seiberdroseddwyr sy'n gysylltiedig â Buran a GrandCrab.
- Fel GandCrab, mae gan Nemty wy Pasg - dolen i lun o Arlywydd Rwsia Vladimir Putin gyda jôc anweddus. Roedd gan y ransomware GandCrab etifeddiaeth ddelwedd gyda'r un testun.
- Mae arteffactau iaith y ddwy raglen yn cyfeirio at yr un awduron sy'n siarad Rwsieg.
- Dyma'r ransomware cyntaf i ddefnyddio allwedd RSA 8092-bit. Er nad oes diben hyn: mae allwedd 1024-bit yn ddigon i amddiffyn rhag hacio.
- Fel Buran, mae'r ransomware wedi'i ysgrifennu yn Object Pascal a'i lunio yn Borland Delphi.
Dadansoddiad statig
Mae gweithredu cod maleisus yn digwydd mewn pedwar cam. Y cam cyntaf yw rhedeg cashback.exe, ffeil gweithredadwy PE32 o dan MS Windows gyda maint o 1198936 beit. Ysgrifennwyd ei god yn Visual C ++ a'i lunio ar Hydref 14, 2013. Mae'n cynnwys archif sy'n cael ei ddadbacio'n awtomatig pan fyddwch chi'n rhedeg cashback.exe. Mae'r meddalwedd yn defnyddio'r llyfrgell Cabinet.dll a'i swyddogaethau FDICreate(), FDIDEstroy() ac eraill i gael ffeiliau o'r archif .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Ar ôl dadbacio'r archif, bydd tair ffeil yn ymddangos.
Nesaf, mae temp.exe yn cael ei lansio, ffeil gweithredadwy PE32 o dan MS Windows gyda maint o 307200 bytes. Mae'r cod wedi'i ysgrifennu yn Visual C ++ ac wedi'i becynnu gyda phacwr MPRESS, paciwr tebyg i UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Y cam nesaf yw ironman.exe. Ar ôl ei lansio, mae temp.exe yn dadgryptio'r data wedi'i fewnosod mewn temp ac yn ei ailenwi i ironman.exe, ffeil gweithredadwy 32 beit PE544768. Mae'r cod yn cael ei lunio yn Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Y cam olaf yw ailgychwyn y ffeil ironman.exe. Ar amser rhedeg, mae'n trawsnewid ei god ac yn rhedeg ei hun o'r cof. Mae'r fersiwn hon o ironman.exe yn faleisus ac yn gyfrifol am amgryptio.
Fector ymosodiad
Ar hyn o bryd, mae ransomware Nemty yn cael ei ddosbarthu trwy'r wefan pp-back.info.
Gellir gweld y gadwyn gyflawn o heintiau yn blwch tywod.
Gosod
Cashback.exe – dechrau’r ymosodiad. Fel y soniwyd eisoes, mae cashback.exe yn dadbacio'r ffeil .cab sydd ynddo. Yna mae'n creu ffolder TMP4351$.TMP o'r ffurf % TEMP%IXxxx.TMP, lle mae xxx yn rhif o 001 i 999.
Nesaf, gosodir allwedd cofrestrfa, sy'n edrych fel hyn:
“rundll32.exe” “C: Windowssystem32advpack.dll, DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP”””
Fe'i defnyddir i ddileu ffeiliau heb eu pacio. Yn olaf, mae cashback.exe yn cychwyn y broses temp.exe.
Temp.exe yw ail gam y gadwyn heintiau
Dyma'r broses a lansiwyd gan y ffeil cashback.exe, ail gam gweithredu'r firws. Mae'n ceisio lawrlwytho AutoHotKey, offeryn ar gyfer rhedeg sgriptiau ar Windows, a rhedeg y sgript WindowSpy.ahk sydd wedi'i leoli yn adran adnoddau'r ffeil AG.
Mae'r sgript WindowSpy.ahk yn dadgryptio'r ffeil dros dro yn ironman.exe gan ddefnyddio'r algorithm RC4 a'r cyfrinair IwantAcake. Ceir yr allwedd o'r cyfrinair gan ddefnyddio'r algorithm stwnsio MD5.
yna mae temp.exe yn galw'r broses ironman.exe.
Ironman.exe - trydydd cam
Mae Ironman.exe yn darllen cynnwys y ffeil iron.bmp ac yn creu ffeil iron.txt gyda cryptolocker a fydd yn cael ei lansio nesaf.
Ar ôl hyn, mae'r firws yn llwytho iron.txt i'r cof ac yn ei ailgychwyn fel ironman.exe. Ar ôl hyn, mae iron.txt yn cael ei ddileu.
ironman.exe yw prif ran y ransomware NEMTY, sy'n amgryptio ffeiliau ar y cyfrifiadur yr effeithir arno. Mae Malware yn creu mutex o'r enw casineb.
Y peth cyntaf y mae'n ei wneud yw pennu lleoliad daearyddol y cyfrifiadur. Mae Nemty yn agor y porwr ac yn darganfod yr IP ymlaen . Ar y safle [IP]/countryName Mae'r wlad yn cael ei bennu o'r IP a dderbyniwyd, ac os yw'r cyfrifiadur wedi'i leoli yn un o'r rhanbarthau a restrir isod, mae gweithrediad y cod malware yn stopio:
- Rwsia
- Byelorussia
- Wcráin
- Kazakhstan
- Tajikistan
Yn fwyaf tebygol, nid yw datblygwyr am ddenu sylw asiantaethau gorfodi'r gyfraith yn eu gwledydd preswyl, ac felly nid ydynt yn amgryptio ffeiliau yn eu hawdurdodaethau “cartref”.
Os nad yw cyfeiriad IP y dioddefwr yn perthyn i'r rhestr uchod, yna mae'r firws yn amgryptio gwybodaeth y defnyddiwr.
Er mwyn atal adfer ffeiliau, mae eu copïau cysgodol yn cael eu dileu:
Yna mae'n creu rhestr o ffeiliau a ffolderi na fyddant yn cael eu hamgryptio, yn ogystal â rhestr o estyniadau ffeil.
- ffenestri
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- etc
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- bwrdd gwaith.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bwtmgr
- data rhaglen
- data app
- osoft
- Ffeiliau Cyffredin
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Obfuscation
I guddio URLs a data cyfluniad wedi'i fewnosod, mae Nemty yn defnyddio algorithm amgodio base64 a RC4 gyda'r allweddair fuckav.
Mae'r broses ddadgryptio gan ddefnyddio CryptStringToBinary fel a ganlyn
Amgryptio
Mae Nemty yn defnyddio amgryptio tair haen:
- AES-128-CBC ar gyfer ffeiliau. Mae'r allwedd AES 128-did yn cael ei gynhyrchu ar hap ac fe'i defnyddir yr un peth ar gyfer pob ffeil. Mae'n cael ei storio mewn ffeil ffurfweddu ar gyfrifiadur y defnyddiwr. Mae'r IV yn cael ei gynhyrchu ar hap ar gyfer pob ffeil a'i storio mewn ffeil wedi'i hamgryptio.
- RSA-2048 ar gyfer amgryptio ffeil IV. Cynhyrchir pâr allweddol ar gyfer y sesiwn. Mae'r allwedd breifat ar gyfer y sesiwn yn cael ei storio mewn ffeil ffurfweddu ar gyfrifiadur y defnyddiwr.
- RSA-8192. Mae'r prif allwedd gyhoeddus wedi'i chynnwys yn y rhaglen ac fe'i defnyddir i amgryptio'r ffeil ffurfweddu, sy'n storio'r allwedd AES a'r allwedd gyfrinachol ar gyfer sesiwn RSA-2048.
- Yn gyntaf mae Nemty yn cynhyrchu 32 beit o ddata ar hap. Defnyddir yr 16 beit cyntaf fel allwedd AES-128-CBC.
Yr ail algorithm amgryptio yw RSA-2048. Mae'r pâr allweddol yn cael ei gynhyrchu gan y swyddogaeth CryptGenKey () a'i fewnforio gan y swyddogaeth CryptImportKey ().
Unwaith y bydd y pâr allweddol ar gyfer y sesiwn yn cael ei gynhyrchu, mae'r allwedd gyhoeddus yn cael ei fewnforio i'r Darparwr Gwasanaeth Cryptograffig MS.
Enghraifft o allwedd gyhoeddus a gynhyrchwyd ar gyfer sesiwn:
Nesaf, mae'r allwedd breifat yn cael ei fewnforio i'r PDC.
Enghraifft o allwedd breifat a gynhyrchir ar gyfer sesiwn:
Ac yn olaf daw RSA-8192. Mae'r brif allwedd gyhoeddus yn cael ei storio ar ffurf wedi'i hamgryptio (Base64 + RC4) yn adran .data'r ffeil AG.
Mae'r allwedd RSA-8192 ar ôl dadgodio base64 a dadgryptio RC4 gyda'r cyfrinair fuckav yn edrych fel hyn.
O ganlyniad, mae'r broses amgryptio gyfan yn edrych fel hyn:
- Cynhyrchu allwedd AES 128-did a ddefnyddir i amgryptio pob ffeil.
- Creu IV ar gyfer pob ffeil.
- Creu pâr allweddol ar gyfer sesiwn RSA-2048.
- Dadgryptio allwedd RSA-8192 sy'n bodoli eisoes gan ddefnyddio base64 a RC4.
- Amgryptio cynnwys ffeil gan ddefnyddio'r algorithm AES-128-CBC o'r cam cyntaf.
- Amgryptio IV gan ddefnyddio allwedd gyhoeddus RSA-2048 ac amgodio base64.
- Ychwanegu IV wedi'i amgryptio at ddiwedd pob ffeil wedi'i hamgryptio.
- Ychwanegu allwedd AES ac allwedd breifat sesiwn RSA-2048 i'r ffurfwedd.
- Data cyfluniad a ddisgrifir yn yr adran am y cyfrifiadur heintiedig yn cael eu hamgryptio gan ddefnyddio'r prif allwedd gyhoeddus RSA-8192.
- Mae'r ffeil wedi'i hamgryptio yn edrych fel hyn:
Enghraifft o ffeiliau wedi'u hamgryptio:
Casglu gwybodaeth am y cyfrifiadur heintiedig
Mae'r ransomware yn casglu allweddi i ddadgryptio ffeiliau heintiedig, felly gall yr ymosodwr greu dadgryptio mewn gwirionedd. Yn ogystal, mae Nemty yn casglu data defnyddwyr fel enw defnyddiwr, enw cyfrifiadur, proffil caledwedd.
Mae'n galw swyddogaethau GetLogicalDrives(), GetFreeSpace(), GetDriveType() i gasglu gwybodaeth am yriannau'r cyfrifiadur heintiedig.
Mae'r wybodaeth a gasglwyd yn cael ei storio mewn ffeil ffurfweddu. Ar ôl dadgodio'r llinyn, rydym yn cael rhestr o baramedrau yn y ffeil ffurfweddu:
Ffurfweddiad enghreifftiol o gyfrifiadur heintiedig:
Gellir cynrychioli'r templed ffurfweddu fel a ganlyn:
{ " Cyffredinol " : { " IP " : " [IP] " , " Country " : " [Gwlad] " " , " ComputerName " : " [Enw Cyfrifiadurol] " , " Enw defnyddiwr " : "[Enw defnyddiwr]", "OS": " [OS] " , " isRU ": anwir, " version" : " 1.4 " , " CompID " : " {[CompID]} " , " FileID " : " _NEMTY_[FileID]_ " , " UserID " : "[ ID Defnyddiwr]", "key": "[allweddol]", "pr_key": "[pr_key]
Mae Nemty yn storio'r data a gasglwyd mewn fformat JSON yn y ffeil % USER%/_NEMTY_.nemty. Mae FileID yn 7 nod o hyd ac wedi'i gynhyrchu ar hap. Er enghraifft: _NEMTY_tgdLYrd_.nemty. Mae'r FileID hefyd wedi'i atodi i ddiwedd y ffeil wedi'i hamgryptio.
Neges pridwerth
Ar ôl amgryptio'r ffeiliau, mae'r ffeil _NEMTY_[FileID]-DECRYPT.txt yn ymddangos ar y bwrdd gwaith gyda'r cynnwys canlynol:
Ar ddiwedd y ffeil mae gwybodaeth wedi'i hamgryptio am y cyfrifiadur heintiedig.
Cyfathrebu rhwydwaith
Mae'r broses ironman.exe yn lawrlwytho dosbarthiad porwr Tor o'r cyfeiriad ac yn ceisio ei osod.
Yna mae Nemty yn ceisio anfon data cyfluniad i 127.0.0.1:9050, lle mae'n disgwyl dod o hyd i ddirprwy porwr Tor sy'n gweithio. Fodd bynnag, yn ddiofyn mae'r dirprwy Tor yn gwrando ar borthladd 9150, a defnyddir porthladd 9050 gan yr ellyll Tor ar Linux neu'r Bwndel Arbenigol ar Windows. Felly, ni anfonir unrhyw ddata at weinydd yr ymosodwr. Yn lle hynny, gall y defnyddiwr lawrlwytho'r ffeil ffurfweddu â llaw trwy ymweld â gwasanaeth dadgryptio Tor trwy'r ddolen a ddarperir yn y neges pridwerth.
Cysylltu â dirprwy Tor:
Mae HTTP GET yn creu cais i 127.0.0.1:9050/public/gate?data=
Yma gallwch weld y porthladdoedd TCP agored a ddefnyddir gan y dirprwy TORlocal:
Gwasanaeth dadgryptio Nemty ar rwydwaith Tor:
Gallwch uwchlwytho llun wedi'i amgryptio (jpg, png, bmp) i brofi'r gwasanaeth dadgryptio.
Ar ôl hyn, mae'r ymosodwr yn gofyn i dalu pridwerth. Mewn achos o beidio â thalu mae'r pris yn cael ei ddyblu.
Casgliad
Ar hyn o bryd, nid yw'n bosibl dadgryptio ffeiliau sydd wedi'u hamgryptio gan Nemty heb dalu pridwerth. Mae gan y fersiwn hon o ransomware nodweddion cyffredin gyda'r ransomware Buran a'r GandCrab hen ffasiwn: casgliad yn Borland Delphi a delweddau gyda'r un testun. Yn ogystal, dyma'r amgryptio cyntaf sy'n defnyddio allwedd RSA 8092-bit, nad yw, unwaith eto, yn gwneud unrhyw synnwyr, gan fod allwedd 1024-bit yn ddigonol ar gyfer amddiffyniad. Yn olaf, ac yn ddiddorol, mae'n ceisio defnyddio'r porthladd anghywir ar gyfer y gwasanaeth dirprwy lleol Tor.
Fodd bynnag, atebion и atal y ransomware Nemty rhag cyrraedd cyfrifiaduron personol defnyddwyr a data, a gall darparwyr amddiffyn eu cleientiaid gyda ... Llawn yn darparu nid yn unig wrth gefn, ond hefyd amddiffyniad gan ddefnyddio , technoleg arbennig yn seiliedig ar ddeallusrwydd artiffisial a hewristeg ymddygiadol sy'n eich galluogi i niwtraleiddio malware hyd yn oed nad yw'n hysbys.
Ffynhonnell: hab.com