Nova ransomware nomita Nemty aperis en la reto, kiu estas supozeble la posteulo de GrandCrab aŭ Buran. La malware estas plejparte distribuita de la falsa PayPal-retejo kaj havas kelkajn interesajn funkciojn. Detaloj pri kiel ĉi tiu ransomware funkcias estas sub la tranĉo.
Nova Nemty-ransomware malkovrita de uzanto 7 septembro 2019. La malware estis distribuita per retejo , ankaŭ eblas ke ransomware penetru komputilon per la RIG-ekspluata ilaro. La atakantoj uzis sociajn inĝenierajn metodojn por devigi la uzanton ruli la dosieron cashback.exe, kiun li supozeble ricevis de la retejo de PayPal.Estas ankaŭ kurioze, ke Nemty specifis la malĝustan havenon por la loka prokura servo Tor, kiu malhelpas la sendon de la malware. datumoj al la servilo. Sekve, la uzanto devos mem alŝuti ĉifritajn dosierojn al la Tor-reto, se li intencas pagi la elaĉetomonon kaj atendi deĉifradon de la atakantoj.
Pluraj interesaj faktoj pri Nemty sugestas, ke ĝi estis evoluigita de la samaj homoj aŭ de ciberkrimuloj asociitaj kun Buran kaj GrandCrab.
- Kiel GandCrab, Nemty havas paskan ovon - ligon al foto de rusa prezidento Vladimir Putin kun obscena ŝerco. La heredaĵo GandCrab ransomware havis bildon kun la sama teksto.
- La lingvaj artefaktoj de ambaŭ programoj montras al la samaj ruslingvaj aŭtoroj.
- Ĉi tiu estas la unua ransomware kiu uzas 8092-bitan RSA-ŝlosilon. Kvankam ĉi tio ne utilas: 1024-bita ŝlosilo sufiĉas por protekti kontraŭ hakado.
- Kiel Buran, la ransomware estas skribita en Object Pascal kaj kompilita en Borland Delphi.
Statika Analizo
Ekzekuto de malica kodo okazas en kvar stadioj. La unua paŝo estas ruli cashback.exe, PE32 plenumebla dosiero sub MS Windows kun grandeco de 1198936 bajtoj. Ĝia kodo estis skribita en Visual C++ kaj kompilita la 14-an de oktobro 2013. Ĝi enhavas arkivon, kiu estas aŭtomate malpakita kiam vi rulas cashback.exe. La programaro uzas la bibliotekon Cabinet.dll kaj ĝiajn funkciojn FDICreate(), FDIDestroy() kaj aliajn por akiri dosierojn el la arkivo .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Post malpakado de la arkivo, tri dosieroj aperos.
Poste, temp.exe estas lanĉita, PE32 rulebla dosiero sub MS Windows kun grandeco de 307200 bajtoj. La kodo estas skribita en Visual C++ kaj enpakita per MPRESS pakisto, pakisto simila al UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
La sekva paŝo estas ironman.exe. Post lanĉite, temp.exe malĉifras la enigitajn datumojn en temp kaj renomas ĝin al ironman.exe, 32 bajta PE544768-efektebla dosiero. La kodo estas kompilita en Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
La lasta paŝo estas rekomenci la ironman.exe dosieron. Ĉe rultempo, ĝi transformas sian kodon kaj kuras sin de memoro. Ĉi tiu versio de ironman.exe estas malica kaj respondecas pri ĉifrado.
Vektoro de atako
Nuntempe, la Nemty-ransomware estas distribuita tra la retejo pp-back.info.
La kompleta ĉeno de infekto videblas ĉe sablujo.
fikso
Cashback.exe - la komenco de la atako. Kiel jam menciite, cashback.exe malpakigas la .cab-dosieron, kiun ĝi enhavas. Ĝi tiam kreas dosierujon TMP4351$.TMP de la formo %TEMP%IXxxx.TMP, kie xxx estas nombro de 001 ĝis 999.
Poste, registra ŝlosilo estas instalita, kiu aspektas jene:
"rundll32.exe" "C:Windowssystem32advpack.dll, DelNodeRunDLL32 "C:UzantojMALWAR~1AppDataLocalTempIXPxxx.TMP""
Ĝi estas uzata por forigi malpakitajn dosierojn. Fine, cashback.exe komencas la temp.exe procezon.
Temp.exe estas la dua etapo en la infekta ĉeno
Ĉi tiu estas la procezo lanĉita de la dosiero cashback.exe, la dua paŝo de la ekzekuto de viruso. Ĝi provas elŝuti AutoHotKey, ilon por ruli skriptojn en Vindozo, kaj ruli la skripton WindowSpy.ahk situantan en la sekcio de rimedoj de la PE-dosiero.
La skripto WindowSpy.ahk deĉifras la tempdosieron en ironman.exe uzante la RC4-algoritmon kaj la pasvorton IwantAcake. La ŝlosilo de la pasvorto estas akirita per la MD5-haĉa algoritmo.
temp.exe tiam vokas la procezon ironman.exe.
Ironman.exe - tria paŝo
Ironman.exe legas la enhavon de la iron.bmp dosiero kaj kreas iron.txt dosieron kun cryptolocker kiu estos lanĉita poste.
Post tio, la viruso ŝarĝas iron.txt en memoron kaj rekomencas ĝin kiel ironman.exe. Post tio, iron.txt estas forigita.
ironman.exe estas la ĉefa parto de la ransomware NEMTY, kiu ĉifras dosierojn sur la tuŝita komputilo. Malware kreas mutekson nomatan malamo.
La unua afero, kiun ĝi faras, estas determini la geografian lokon de la komputilo. Nemty malfermas la retumilon kaj malkovras la IP . Sur la retejo [IP]/countryName La lando estas determinita de la ricevita IP, kaj se la komputilo situas en unu el la regionoj listigitaj sube, la ekzekuto de la malware-kodo ĉesas:
- Rusio
- Belorusujo
- Ukrainio
- Kazaĥio
- Tajikio
Plej verŝajne, programistoj ne volas altiri la atenton de policaj agentejoj en siaj loĝlandoj, kaj tial ne ĉifras dosierojn en siaj "hejmaj" jurisdikcioj.
Se la IP-adreso de la viktimo ne apartenas al la supra listo, tiam la viruso ĉifras la informojn de la uzanto.
Por malhelpi dosierreakiron, iliaj ombraj kopioj estas forigitaj:
Ĝi tiam kreas liston de dosieroj kaj dosierujoj, kiuj ne estos ĉifritaj, kaj ankaŭ liston de dosieraj etendoj.
- fenestroj
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- ktp
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- labortablo.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- programdatenoj
- datumoj de la aplikaĵo
- osoft
- Komunaj Dosieroj
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Malklariĝo
Por kaŝi URL-ojn kaj enigitajn agordajn datumojn, Nemty uzas baz64 kaj RC4-kodan algoritmon kun la ŝlosilvorto fuckav.
La malĉifra procezo uzante CryptStringToBinary estas kiel sekvas
Ĉifrado
Nemty uzas tritavolan ĉifradon:
- AES-128-CBC por dosieroj. La 128-bita AES-ŝlosilo estas hazarde generita kaj estas uzata same por ĉiuj dosieroj. Ĝi estas konservita en agorda dosiero sur la komputilo de la uzanto. La IV estas hazarde generita por ĉiu dosiero kaj konservita en ĉifrita dosiero.
- RSA-2048 por dosierĉifrado IV. Ŝlosila paro por la sesio estas generita. La privata ŝlosilo por la sesio estas konservita en agorda dosiero sur la komputilo de la uzanto.
- RSA-8192. La majstra publika ŝlosilo estas enkonstruita en la programo kaj estas uzata por ĉifri la agordan dosieron, kiu konservas la AES-ŝlosilon kaj sekretan ŝlosilon por la RSA-2048-sesio.
- Nemty unue generas 32 bajtojn da hazardaj datumoj. La unuaj 16 bajtoj estas uzataj kiel la AES-128-CBC-ŝlosilo.
La dua ĉifrada algoritmo estas RSA-2048. La ŝlosilparo estas generita de la funkcio CryptGenKey() kaj importita de la funkcio CryptImportKey().
Post kiam la ŝlosilparo por la sesio estas generita, la publika ŝlosilo estas importita en la MS-Cryptographic Service Provider.
Ekzemplo de generita publika ŝlosilo por sesio:
Poste, la privata ŝlosilo estas importita en la CSP.
Ekzemplo de generita privata ŝlosilo por sesio:
Kaj laste venas RSA-8192. La ĉefa publika ŝlosilo estas konservita en ĉifrita formo (Base64 + RC4) en la sekcio .data de la PE-dosiero.
La RSA-8192-ŝlosilo post baz64-malkodado kaj RC4-malĉifrado kun la fuckav-pasvorto aspektas tiel.
Kiel rezulto, la tuta ĉifrada procezo aspektas jene:
- Generu 128-bitan AES-ŝlosilon, kiu estos uzata por ĉifri ĉiujn dosierojn.
- Kreu IV por ĉiu dosiero.
- Kreante ŝlosilan paron por RSA-2048-sesio.
- Malĉifrado de ekzistanta RSA-8192-ŝlosilo uzante base64 kaj RC4.
- Ĉifri dosierenhavon uzante la AES-128-CBC-algoritmon de la unua paŝo.
- IV-ĉifrado uzante RSA-2048 publikan ŝlosilon kaj baz64-kodigon.
- Aldonante ĉifritan IV al la fino de ĉiu ĉifrita dosiero.
- Aldonante AES-ŝlosilon kaj RSA-2048-seancan privatan ŝlosilon al la agordo.
- Agordaj datumoj priskribitaj en la sekcio pri la infektita komputilo estas ĉifritaj per la ĉefa publika ŝlosilo RSA-8192.
- La ĉifrita dosiero aspektas jene:
Ekzemplo de ĉifritaj dosieroj:
Kolekti informojn pri la infektita komputilo
La ransomware kolektas ŝlosilojn por malĉifri infektitajn dosierojn, do la atakanto povas efektive krei malĉifrilon. Krome, Nemty kolektas uzantajn datumojn kiel uzantnomo, komputilnomo, aparataro-profilo.
Ĝi vokas la funkciojn GetLogicalDrives(), GetFreeSpace(), GetDriveType() por kolekti informojn pri la diskoj de la infektita komputilo.
La kolektitaj informoj estas konservitaj en agorda dosiero. Malkodis la ĉenon, ni ricevas liston de parametroj en la agorda dosiero:
Ekzempla agordo de infektita komputilo:
La agorda ŝablono povas esti reprezentita jene:
{"Ĝenerale": {"IP":"[IP]", "Lando":"[Lando]", "Komputilnomo":"[Komputilnomo]", "Uzantnomo":"[Uzantnomo]", "OS": "[OS]", "isRU":false, "versio":"1.4", "CompID":"{[KompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UzantoID]", "ŝlosilo":"[ŝlosilo]", "pr_key":"[pr_key]
Nemty konservas la kolektitajn datumojn en formato JSON en la dosiero %USER%/_NEMTY_.nemty. FileID estas 7 karakteroj longa kaj hazarde generita. Ekzemple: _NEMTY_tgdLYrd_.nemty. La FileID ankaŭ estas almetita al la fino de la ĉifrita dosiero.
Elaĉeta mesaĝo
Post ĉifrado de la dosieroj, la dosiero _NEMTY_[FileID]-DECRYPT.txt aperas sur la labortablo kun la sekva enhavo:
Ĉe la fino de la dosiero estas ĉifrita informo pri la infektita komputilo.
Reta komunikado
La procezo ironman.exe elŝutas la distribuon de la retumilo Tor de la adreso kaj provas instali ĝin.
Nemty tiam provas sendi agordajn datumojn al 127.0.0.1:9050, kie ĝi atendas trovi funkciantan Tor-retumilon prokurilon. Tamen, defaŭlte la Tor prokurilo aŭskultas sur la haveno 9150, kaj la haveno 9050 estas uzata de la Tor-demono en Linukso aŭ Expert Bundle en Vindozo. Tiel, neniuj datumoj estas senditaj al la servilo de la atakanto. Anstataŭe, la uzanto povas elŝuti la agordan dosieron permane vizitante la Tor-malĉifridan servon per la ligilo provizita en la elaĉeta mesaĝo.
Konektante al Tor prokurilo:
HTTP GET kreas peton al 127.0.0.1:9050/public/gate?data=
Ĉi tie vi povas vidi la malfermitajn TCP-havenojn, kiuj estas uzataj de la prokurilo TORlocal:
Nemty-malĉifra servo en la Tor reto:
Vi povas alŝuti ĉifritan foton (jpg, png, bmp) por testi la malĉifritan servon.
Post tio, la atakanto petas pagi elaĉetomonon. En kazo de nepago la prezo estas duobligita.
konkludo
Nuntempe, ne eblas deĉifri dosierojn ĉifritajn de Nemty sen pagi elaĉetomonon. Ĉi tiu versio de ransomware havas komunajn trajtojn kun la Buran ransomware kaj la malmoderna GandCrab: kompilo en Borland Delphi kaj bildoj kun la sama teksto. Krome, ĉi tiu estas la unua ĉifrilo, kiu uzas 8092-bitan RSA-ŝlosilon, kiu, denove, ne havas sencon, ĉar 1024-bita ŝlosilo sufiĉas por protekto. Fine, kaj interese, ĝi provas uzi la malĝustan havenon por la loka Tor prokura servo.
Tamen, solvoj и malhelpi la Nemty-ransomware atingi uzantajn komputilojn kaj datumojn, kaj provizantoj povas protekti siajn klientojn . Plena provizas ne nur sekurkopion, sed ankaŭ protekton uzante , speciala teknologio bazita sur artefarita inteligenteco kaj kondutisma heŭristiko, kiu permesas vin neŭtraligi eĉ ankoraŭ nekonatan malware.
fonto: www.habr.com