ProHoster > Blog > Verwaltung > Lernen Sie die Nemty-Ransomware von einer gefälschten PayPal-Website kennen
Lernen Sie die Nemty-Ransomware von einer gefälschten PayPal-Website kennen
Im Netzwerk ist eine neue Ransomware namens Nemty aufgetaucht, die angeblich der Nachfolger von GrandCrab oder Buran ist. Die Malware wird hauptsächlich über die gefälschte PayPal-Website verbreitet und verfügt über eine Reihe interessanter Funktionen. Einzelheiten zur Funktionsweise dieser Ransomware sind noch nicht bekannt.
Neue Nemty-Ransomware vom Benutzer entdeckt nao_sec 7. September 2019. Die Schadsoftware wurde über eine Website verbreitet getarnt als PayPalist es auch möglich, dass Ransomware über das RIG-Exploit-Kit in einen Computer eindringt. Die Angreifer nutzten Social-Engineering-Methoden, um den Benutzer zum Ausführen der Datei „cashback.exe“ zu zwingen, die er angeblich von der PayPal-Website erhalten hatte. Merkwürdig ist auch, dass Nemty den falschen Port für den lokalen Proxy-Dienst Tor angegeben hat, was das Senden der Malware verhindert Daten an den Server. Daher muss der Benutzer selbst verschlüsselte Dateien in das Tor-Netzwerk hochladen, wenn er das Lösegeld zahlen und auf die Entschlüsselung durch die Angreifer warten möchte.
Mehrere interessante Fakten über Nemty deuten darauf hin, dass es von denselben Leuten oder von Cyberkriminellen entwickelt wurde, die mit Buran und GrandCrab in Verbindung stehen.
Wie GandCrab hat auch Nemty ein Easter Egg – einen Link zu einem Foto des russischen Präsidenten Wladimir Putin mit einem obszönen Witz. Die alte GandCrab-Ransomware hatte ein Bild mit demselben Text.
Die Sprachartefakte beider Programme deuten auf dieselben russischsprachigen Autoren hin.
Dies ist die erste Ransomware, die einen 8092-Bit-RSA-Schlüssel verwendet. Auch wenn das keinen Sinn hat: Zum Schutz vor Hackerangriffen reicht ein 1024-Bit-Schlüssel völlig aus.
Wie Buran ist die Ransomware in Object Pascal geschrieben und in Borland Delphi kompiliert.
Statische Analyse
Die Ausführung von Schadcode erfolgt in vier Phasen. Der erste Schritt besteht darin, „cashback.exe“ auszuführen, eine ausführbare PE32-Datei unter MS Windows mit einer Größe von 1198936 Bytes. Der Code wurde in Visual C++ geschrieben und am 14. Oktober 2013 kompiliert. Es enthält ein Archiv, das automatisch entpackt wird, wenn Sie cashback.exe ausführen. Die Software nutzt die Bibliothek Cabinet.dll und ihre Funktionen FDICreate(), FDIDestroy() und andere, um Dateien aus dem .cab-Archiv abzurufen.
Nach dem Entpacken des Archivs erscheinen drei Dateien.
Als nächstes wird temp.exe gestartet, eine unter MS Windows ausführbare PE32-Datei mit einer Größe von 307200 Bytes. Der Code ist in Visual C++ geschrieben und mit dem MPRESS-Packer gepackt, einem UPX-ähnlichen Packer.
Der nächste Schritt ist ironman.exe. Nach dem Start entschlüsselt temp.exe die eingebetteten Daten in temp und benennt sie in ironman.exe um, eine ausführbare PE32-Datei mit 544768 Byte. Der Code wird in Borland Delphi kompiliert.
Der letzte Schritt besteht darin, die Datei ironman.exe neu zu starten. Zur Laufzeit transformiert es seinen Code und führt sich selbst aus dem Speicher aus. Diese Version von ironman.exe ist bösartig und für die Verschlüsselung verantwortlich.
Angriffsvektor
Derzeit wird die Nemty-Ransomware über die Website pp-back.info verbreitet.
Die komplette Infektionskette kann unter eingesehen werden app.any.run Sandkasten.
Einstellung
Cashback.exe – der Beginn des Angriffs. Wie bereits erwähnt, entpackt cashback.exe die darin enthaltene .cab-Datei. Anschließend wird ein Ordner TMP4351$.TMP der Form %TEMP%IXxxx.TMP erstellt, wobei xxx eine Zahl von 001 bis 999 ist.
Als nächstes wird ein Registrierungsschlüssel installiert, der wie folgt aussieht:
Es dient zum Löschen entpackter Dateien. Schließlich startet cashback.exe den temp.exe-Prozess.
Temp.exe ist die zweite Stufe in der Infektionskette
Dies ist der von der Datei „cashback.exe“ gestartete Prozess, der zweite Schritt der Virusausführung. Es versucht, AutoHotKey, ein Tool zum Ausführen von Skripts unter Windows, herunterzuladen und das WindowSpy.ahk-Skript auszuführen, das sich im Ressourcenabschnitt der PE-Datei befindet.
Das WindowSpy.ahk-Skript entschlüsselt die temporäre Datei in ironman.exe mit dem RC4-Algorithmus und dem Passwort IwantAcake. Der Schlüssel aus dem Passwort wird mithilfe des MD5-Hashing-Algorithmus ermittelt.
temp.exe ruft dann den Prozess ironman.exe auf.
Ironman.exe – dritter Schritt
Ironman.exe liest den Inhalt der iron.bmp-Datei und erstellt eine iron.txt-Datei mit einem Kryptolocker, der als Nächstes gestartet wird.
Danach lädt der Virus iron.txt in den Speicher und startet es als ironman.exe neu. Danach wird iron.txt gelöscht.
ironman.exe ist der Hauptbestandteil der NEMTY-Ransomware, die Dateien auf dem betroffenen Computer verschlüsselt. Malware erzeugt einen Mutex namens Hass.
Als Erstes wird der geografische Standort des Computers ermittelt. Nemty öffnet den Browser und findet die IP heraus http://api.ipify.org. Auf der Seite api.db-ip.com/v2/free[IP]/countryName Das Land wird anhand der empfangenen IP ermittelt und wenn sich der Computer in einer der unten aufgeführten Regionen befindet, wird die Ausführung des Malware-Codes gestoppt:
Russland
Weißrussland
Ukraine
Kasachstan
Tadschikistan
Höchstwahrscheinlich möchten Entwickler nicht die Aufmerksamkeit der Strafverfolgungsbehörden in ihrem Wohnsitzland auf sich ziehen und verschlüsseln daher keine Dateien in ihren „Heimat“-Gerichtsbarkeiten.
Wenn die IP-Adresse des Opfers nicht zur obigen Liste gehört, verschlüsselt der Virus die Informationen des Benutzers.
Um eine Wiederherstellung der Dateien zu verhindern, werden ihre Schattenkopien gelöscht:
Anschließend wird eine Liste der Dateien und Ordner erstellt, die nicht verschlüsselt werden, sowie eine Liste der Dateierweiterungen.
Fenster
$ RECYCLE.BIN
rsa
NTDETECT.COM
ntldr
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
CONFIG.SYS
BOOTSECT.BAK
Bootmgr
Programmdaten
Appdata
osoft
Gemeinsame Dateien
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Verschleierung
Um URLs und eingebettete Konfigurationsdaten zu verbergen, verwendet Nemty einen Base64- und RC4-Kodierungsalgorithmus mit dem Schlüsselwort „fuckav“.
Der Entschlüsselungsprozess mit CryptStringToBinary ist wie folgt
Шифрование
Nemty verwendet eine dreischichtige Verschlüsselung:
AES-128-CBC für Dateien. Der 128-Bit-AES-Schlüssel wird zufällig generiert und für alle Dateien gleich verwendet. Es wird in einer Konfigurationsdatei auf dem Computer des Benutzers gespeichert. Der IV wird für jede Datei zufällig generiert und in einer verschlüsselten Datei gespeichert.
RSA-2048 für Dateiverschlüsselung IV. Es wird ein Schlüsselpaar für die Sitzung generiert. Der private Schlüssel für die Sitzung wird in einer Konfigurationsdatei auf dem Computer des Benutzers gespeichert.
RSA-8192. Der öffentliche Hauptschlüssel ist in das Programm integriert und wird zum Verschlüsseln der Konfigurationsdatei verwendet, in der der AES-Schlüssel und der geheime Schlüssel für die RSA-2048-Sitzung gespeichert sind.
Nemty generiert zunächst 32 Byte Zufallsdaten. Die ersten 16 Bytes werden als AES-128-CBC-Schlüssel verwendet.
Der zweite Verschlüsselungsalgorithmus ist RSA-2048. Das Schlüsselpaar wird von der Funktion CryptGenKey() generiert und von der Funktion CryptImportKey() importiert.
Sobald das Schlüsselpaar für die Sitzung generiert ist, wird der öffentliche Schlüssel in den MS Cryptographic Service Provider importiert.
Ein Beispiel für einen generierten öffentlichen Schlüssel für eine Sitzung:
Als nächstes wird der private Schlüssel in den CSP importiert.
Ein Beispiel für einen generierten privaten Schlüssel für eine Sitzung:
Und zuletzt kommt RSA-8192. Der öffentliche Hauptschlüssel wird in verschlüsselter Form (Base64 + RC4) im .data-Abschnitt der PE-Datei gespeichert.
Der RSA-8192-Schlüssel sieht nach Base64-Dekodierung und RC4-Entschlüsselung mit dem Fuckav-Passwort so aus.
Im Ergebnis sieht der gesamte Verschlüsselungsprozess so aus:
Generieren Sie einen 128-Bit-AES-Schlüssel, der zum Verschlüsseln aller Dateien verwendet wird.
Erstellen Sie für jede Datei eine IV.
Erstellen eines Schlüsselpaars für eine RSA-2048-Sitzung.
Entschlüsselung eines vorhandenen RSA-8192-Schlüssels mit Base64 und RC4.
Verschlüsseln Sie Dateiinhalte vom ersten Schritt an mit dem AES-128-CBC-Algorithmus.
IV-Verschlüsselung mit öffentlichem RSA-2048-Schlüssel und Base64-Kodierung.
Hinzufügen einer verschlüsselten IV am Ende jeder verschlüsselten Datei.
Hinzufügen eines AES-Schlüssels und eines privaten RSA-2048-Sitzungsschlüssels zur Konfiguration.
Im Abschnitt beschriebene Konfigurationsdaten sammeln von Informationen über den infizierten Computer werden mit dem wichtigsten öffentlichen Schlüssel RSA-8192 verschlüsselt.
Die verschlüsselte Datei sieht so aus:
Beispiel für verschlüsselte Dateien:
Sammeln von Informationen über den infizierten Computer
Die Ransomware sammelt Schlüssel zum Entschlüsseln infizierter Dateien, sodass der Angreifer tatsächlich einen Entschlüsseler erstellen kann. Darüber hinaus erhebt Nemty Benutzerdaten wie Benutzername, Computername, Hardwareprofil.
Es ruft die Funktionen GetLogicalDrives(), GetFreeSpace() und GetDriveType() auf, um Informationen über die Laufwerke des infizierten Computers zu sammeln.
Die gesammelten Informationen werden in einer Konfigurationsdatei gespeichert. Nachdem wir die Zeichenfolge dekodiert haben, erhalten wir eine Liste von Parametern in der Konfigurationsdatei:
Beispielkonfiguration eines infizierten Computers:
Die Konfigurationsvorlage kann wie folgt dargestellt werden:
Nemty speichert die gesammelten Daten im JSON-Format in der Datei %USER%/_NEMTY_.nemty. Die Datei-ID ist 7 Zeichen lang und wird zufällig generiert. Zum Beispiel: _NEMTY_tgdLYrd_.nemty. Die FileID wird außerdem an das Ende der verschlüsselten Datei angehängt.
Lösegeldnachricht
Nach der Verschlüsselung der Dateien erscheint auf dem Desktop die Datei _NEMTY_[FileID]-DECRYPT.txt mit folgendem Inhalt:
Am Ende der Datei befinden sich verschlüsselte Informationen über den infizierten Computer.
Nemty versucht dann, Konfigurationsdaten an 127.0.0.1:9050 zu senden, wo es erwartet, einen funktionierenden Tor-Browser-Proxy zu finden. Standardmäßig lauscht der Tor-Proxy jedoch auf Port 9150 und Port 9050 wird vom Tor-Daemon unter Linux oder vom Expert Bundle unter Windows verwendet. Somit werden keine Daten an den Server des Angreifers gesendet. Stattdessen kann der Benutzer die Konfigurationsdatei manuell herunterladen, indem er den Tor-Entschlüsselungsdienst über den in der Lösegeldforderung angegebenen Link aufruft.
Verbindung zum Tor-Proxy herstellen:
HTTP GET erstellt eine Anfrage an 127.0.0.1:9050/public/gate?data=
Hier sehen Sie die offenen TCP-Ports, die vom TORlocal-Proxy verwendet werden:
Nemty-Entschlüsselungsdienst im Tor-Netzwerk:
Sie können ein verschlüsseltes Foto (jpg, png, bmp) hochladen, um den Entschlüsselungsdienst zu testen.
Danach verlangt der Angreifer die Zahlung eines Lösegelds. Bei Nichtzahlung verdoppelt sich der Preis.
Abschluss
Derzeit ist es nicht möglich, von Nemty verschlüsselte Dateien zu entschlüsseln, ohne ein Lösegeld zu zahlen. Diese Version der Ransomware weist Gemeinsamkeiten mit der Buran-Ransomware und dem veralteten GandCrab auf: Kompilierung in Borland Delphi und Bilder mit demselben Text. Darüber hinaus ist dies der erste Verschlüsseler, der einen 8092-Bit-RSA-Schlüssel verwendet, was wiederum keinen Sinn ergibt, da ein 1024-Bit-Schlüssel zum Schutz ausreicht. Interessanterweise wird schließlich versucht, den falschen Port für den lokalen Tor-Proxy-Dienst zu verwenden.
Allerdings Lösungen Acronis Backup и Acronis True Image verhindern, dass die Nemty-Ransomware die PCs und Daten der Benutzer erreicht, und Anbieter können damit ihre Kunden schützen Acronis Backup Cloud. Voll Cyber-Abwehr Bietet nicht nur Backup, sondern auch Schutz Acronis Active Protection, eine spezielle Technologie, die auf künstlicher Intelligenz und Verhaltensheuristik basiert und es Ihnen ermöglicht, selbst noch unbekannte Malware zu neutralisieren.