En ny ransomware kaldet Nemty er dukket op på netværket, som angiveligt er efterfølgeren til GrandCrab eller Buran. Malwaren distribueres hovedsageligt fra det falske PayPal-websted og har en række interessante funktioner. Detaljer om, hvordan denne ransomware virker, er under skæringen.
Ny Nemty ransomware opdaget af brugeren nao_sek 7. september 2019. Malwaren blev distribueret via et websted forklædt som PayPal, er det også muligt for ransomware at trænge ind i en computer gennem RIG exploit-sættet. Angriberne brugte social engineering-metoder til at tvinge brugeren til at køre filen cashback.exe, som han angiveligt modtog fra PayPal-webstedet. Det er også underligt, at Nemty specificerede den forkerte port til den lokale proxy-tjeneste Tor, som forhindrer malwaren i at sende data til serveren. Derfor skal brugeren selv uploade krypterede filer til Tor-netværket, hvis han har til hensigt at betale løsesummen og vente på dekryptering fra angriberne.
Flere interessante fakta om Nemty tyder på, at det er udviklet af de samme mennesker eller af cyberkriminelle, der er forbundet med Buran og GrandCrab.
Ligesom GandCrab har Nemty et påskeæg – et link til et billede af den russiske præsident Vladimir Putin med en obskøn vittighed. Den gamle GandCrab ransomware havde et billede med den samme tekst.
De sproglige artefakter i begge programmer peger på de samme russisktalende forfattere.
Dette er den første ransomware, der bruger en 8092-bit RSA-nøgle. Selvom der ikke er nogen mening i dette: en 1024-bit nøgle er ganske nok til at beskytte mod hacking.
Ligesom Buran er ransomware skrevet i Object Pascal og kompileret i Borland Delphi.
Statisk Analyse
Udførelse af ondsindet kode sker i fire trin. Det første trin er at køre cashback.exe, en PE32 eksekverbar fil under MS Windows med en størrelse på 1198936 bytes. Dens kode blev skrevet i Visual C++ og kompileret den 14. oktober 2013. Den indeholder et arkiv, der automatisk pakkes ud, når du kører cashback.exe. Softwaren bruger Cabinet.dll-biblioteket og dets funktioner FDICreate(), FDIDestroy() og andre til at hente filer fra .cab-arkivet.
Dernæst lanceres temp.exe, en PE32 eksekverbar fil under MS Windows med en størrelse på 307200 bytes. Koden er skrevet i Visual C++ og pakket med MPRESS-pakker, en pakker, der ligner UPX.
Det næste trin er ironman.exe. Når den er startet, dekrypterer temp.exe de indlejrede data i temp og omdøber dem til ironman.exe, en 32 byte PE544768 eksekverbar fil. Koden er kompileret i Borland Delphi.
Det sidste trin er at genstarte ironman.exe-filen. Ved runtime transformerer den sin kode og kører sig selv fra hukommelsen. Denne version af ironman.exe er ondsindet og er ansvarlig for kryptering.
Angrebsvektor
I øjeblikket distribueres Nemty ransomware via webstedet pp-back.info.
Den komplette infektionskæde kan ses på app.any.run sandkasse.
Installation
Cashback.exe - begyndelsen på angrebet. Som allerede nævnt udpakker cashback.exe den .cab-fil, den indeholder. Den opretter derefter en mappe TMP4351$.TMP i formen %TEMP%IXxxx.TMP, hvor xxx er et tal fra 001 til 999.
Dernæst installeres en registreringsnøgle, som ser sådan ud:
Det bruges til at slette udpakkede filer. Til sidst starter cashback.exe temp.exe-processen.
Temp.exe er anden fase i infektionskæden
Dette er den proces, der startes af filen cashback.exe, det andet trin i virusudførelsen. Den forsøger at downloade AutoHotKey, et værktøj til at køre scripts på Windows, og køre scriptet WindowSpy.ahk, der er placeret i ressourceafsnittet i PE-filen.
WindowSpy.ahk-scriptet dekrypterer den midlertidige fil i ironman.exe ved hjælp af RC4-algoritmen og adgangskoden IwantAcake. Nøglen fra adgangskoden opnås ved hjælp af MD5-hash-algoritmen.
temp.exe kalder derefter ironman.exe-processen.
Ironman.exe - tredje trin
Ironman.exe læser indholdet af iron.bmp-filen og opretter en iron.txt-fil med en cryptocker, der vil blive lanceret næste gang.
Herefter indlæser virussen iron.txt i hukommelsen og genstarter den som ironman.exe. Herefter slettes iron.txt.
ironman.exe er hoveddelen af NEMTY ransomware, som krypterer filer på den berørte computer. Malware skaber en mutex kaldet had.
Den første ting, den gør, er at bestemme den geografiske placering af computeren. Nemty åbner browseren og finder ud af IP'en på http://api.ipify.org. På siden api.db-ip.com/v2/free[IP]/countryName Landet bestemmes ud fra den modtagne IP, og hvis computeren er placeret i en af regionerne nedenfor, stopper udførelsen af malwarekoden:
Rusland
Hviderusland
Ukraine
Kasakhstan
Tadsjikistan
Mest sandsynligt ønsker udviklere ikke at tiltrække de retshåndhævende myndigheders opmærksomhed i deres bopælsland og krypterer derfor ikke filer i deres "hjemme" jurisdiktioner.
Hvis offerets IP-adresse ikke hører til listen ovenfor, så krypterer virussen brugerens oplysninger.
For at forhindre filgendannelse slettes deres skyggekopier:
Det opretter derefter en liste over filer og mapper, der ikke vil blive krypteret, samt en liste over filtypenavne.
vinduer
$ RECYCLE.BIN
rsa
NTDETECT.COM
NTLDR
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
CONFIG.SYS
BOOTSECT.BAK
Bootmgr
programdata
AppData
osoft
Fælles filer
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Uklarhed
For at skjule URL'er og indlejrede konfigurationsdata bruger Nemty en base64- og RC4-kodningsalgoritme med nøgleordet fuckav.
Dekrypteringsprocessen ved hjælp af CryptStringToBinary er som følger
kryptering
Nemty bruger tre-lags kryptering:
AES-128-CBC til filer. 128-bit AES-nøglen er tilfældigt genereret og bruges på samme måde for alle filer. Den er gemt i en konfigurationsfil på brugerens computer. IV er tilfældigt genereret for hver fil og gemt i en krypteret fil.
RSA-2048 til filkryptering IV. Et nøglepar til sessionen genereres. Den private nøgle til sessionen gemmes i en konfigurationsfil på brugerens computer.
RSA-8192. Den offentlige hovednøgle er indbygget i programmet og bruges til at kryptere konfigurationsfilen, som gemmer AES-nøglen og den hemmelige nøgle til RSA-2048-sessionen.
Nemty genererer først 32 bytes tilfældige data. De første 16 bytes bruges som AES-128-CBC nøglen.
Den anden krypteringsalgoritme er RSA-2048. Nøgleparret genereres af CryptGenKey()-funktionen og importeres af CryptImportKey()-funktionen.
Når nøgleparret for sessionen er genereret, importeres den offentlige nøgle til MS Cryptographic Service Provider.
Et eksempel på en genereret offentlig nøgle til en session:
Derefter importeres den private nøgle til CSP'en.
Et eksempel på en genereret privat nøgle til en session:
Og sidst kommer RSA-8192. Den offentlige hovednøgle er gemt i krypteret form (Base64 + RC4) i .data-sektionen af PE-filen.
RSA-8192-nøglen efter base64-afkodning og RC4-dekryptering med fuckav-adgangskoden ser sådan ud.
Som et resultat ser hele krypteringsprocessen således ud:
Generer en 128-bit AES nøgle, der vil blive brugt til at kryptere alle filer.
Opret en IV for hver fil.
Oprettelse af et nøglepar til en RSA-2048-session.
Dekryptering af en eksisterende RSA-8192 nøgle ved hjælp af base64 og RC4.
Krypter filindhold ved hjælp af AES-128-CBC-algoritmen fra første trin.
IV-kryptering ved hjælp af RSA-2048 offentlig nøgle og base64-kodning.
Tilføjelse af en krypteret IV til slutningen af hver krypteret fil.
Tilføjelse af en AES-nøgle og RSA-2048-session privat nøgle til konfigurationen.
Konfigurationsdata beskrevet i afsnit Indsamling af oplysninger om den inficerede computer er krypteret med den offentlige hovednøgle RSA-8192.
Den krypterede fil ser sådan ud:
Eksempel på krypterede filer:
Indsamling af oplysninger om den inficerede computer
Ransomwaren indsamler nøgler til at dekryptere inficerede filer, så angriberen faktisk kan oprette en dekryptering. Derudover indsamler Nemty brugerdata såsom brugernavn, computernavn, hardwareprofil.
Det kalder funktionerne GetLogicalDrives(), GetFreeSpace(), GetDriveType() for at indsamle oplysninger om drevene på den inficerede computer.
De indsamlede oplysninger gemmes i en konfigurationsfil. Efter at have afkodet strengen får vi en liste over parametre i konfigurationsfilen:
Eksempel på konfiguration af en inficeret computer:
Konfigurationsskabelonen kan repræsenteres som følger:
Nemty gemmer de indsamlede data i JSON-format i filen %USER%/_NEMTY_.nemty. Fil-ID er 7 tegn langt og tilfældigt genereret. For eksempel: _NEMTY_tgdLYrd_.nemty. Fil-ID'et er også tilføjet til slutningen af den krypterede fil.
Besked om løsesum
Efter kryptering af filerne vises filen _NEMTY_[FileID]-DECRYPT.txt på skrivebordet med følgende indhold:
I slutningen af filen er der krypteret information om den inficerede computer.
Nemty forsøger derefter at sende konfigurationsdata til 127.0.0.1:9050, hvor den forventer at finde en fungerende Tor-browserproxy. Som standard lytter Tor-proxyen dog på port 9150, og port 9050 bruges af Tor-dæmonen på Linux eller Expert Bundle på Windows. Der sendes således ingen data til angriberens server. I stedet kan brugeren downloade konfigurationsfilen manuelt ved at besøge Tor-dekrypteringstjenesten via linket i løsesumsmeddelelsen.
Opretter forbindelse til Tor-proxy:
HTTP GET opretter en anmodning til 127.0.0.1:9050/public/gate?data=
Her kan du se de åbne TCP-porte, der bruges af TORlocal proxy:
Nemty-dekrypteringstjeneste på Tor-netværket:
Du kan uploade et krypteret billede (jpg, png, bmp) for at teste dekrypteringstjenesten.
Herefter beder angriberen om at betale en løsesum. Ved manglende betaling fordobles prisen.
Konklusion
I øjeblikket er det ikke muligt at dekryptere filer krypteret af Nemty uden at betale løsesum. Denne version af ransomware har fælles funktioner med Buran ransomware og den forældede GandCrab: kompilering i Borland Delphi og billeder med samme tekst. Derudover er dette den første kryptering, der bruger en 8092-bit RSA-nøgle, hvilket igen ikke giver nogen mening, da en 1024-bit nøgle er tilstrækkelig til beskyttelse. Endelig, og interessant nok, forsøger den at bruge den forkerte port til den lokale Tor-proxy-tjeneste.
Dog løsninger Acronis Backup и Acronis True Image forhindre Nemty ransomware i at nå bruger-pc'er og data, og udbydere kan beskytte deres klienter med Acronis Backup Cloud. Fuld Cyberbeskyttelse giver ikke kun backup, men også beskyttelse vha Acronis Active Protection, en speciel teknologi baseret på kunstig intelligens og adfærdsheuristik, der giver dig mulighed for at neutralisere selv endnu ukendt malware.