Conozca el ransomware Nemty del sitio falso de PayPal
Ha aparecido en la red un nuevo ransomware llamado Nemty, que supuestamente es el sucesor de GrandCrab o Buran. El malware se distribuye principalmente desde el sitio web falso de PayPal y tiene una serie de características interesantes. Los detalles sobre cómo funciona este ransomware están bajo corte.
Nuevo ransomware Nemty descubierto por un usuario nao_sec 7 de septiembre de 2019. El malware se distribuyó a través de un sitio web. disfrazado de paypal, también es posible que el ransomware penetre en una computadora a través del kit de explotación RIG. Los atacantes utilizaron métodos de ingeniería social para obligar al usuario a ejecutar el archivo cashback.exe, que supuestamente recibió del sitio web de PayPal. También es curioso que Nemty haya especificado un puerto incorrecto para el servicio de proxy local Tor, que impide el envío del malware. datos al servidor. Por lo tanto, el usuario tendrá que cargar él mismo los archivos cifrados en la red Tor si tiene la intención de pagar el rescate y esperar a que los atacantes los descifren.
Varios datos interesantes sobre Nemty sugieren que fue desarrollado por las mismas personas o por ciberdelincuentes asociados con Buran y GrandCrab.
Al igual que GandCrab, Nemty tiene un huevo de Pascua: un enlace a una foto del presidente ruso Vladimir Putin con una broma obscena. El ransomware GandCrab heredado tenía una imagen con el mismo texto.
Los artefactos lingüísticos de ambos programas apuntan a los mismos autores de habla rusa.
Este es el primer ransomware que utiliza una clave RSA de 8092 bits. Aunque esto no tiene sentido: una clave de 1024 bits es suficiente para protegerse contra la piratería.
Al igual que Buran, el ransomware está escrito en Object Pascal y compilado en Borland Delphi.
Análisis estático
La ejecución de código malicioso se produce en cuatro etapas. El primer paso es ejecutar cashback.exe, un archivo ejecutable PE32 en MS Windows con un tamaño de 1198936 bytes. Su código fue escrito en Visual C++ y compilado el 14 de octubre de 2013. Contiene un archivo que se descomprime automáticamente cuando ejecuta cashback.exe. El software utiliza la biblioteca Cabinet.dll y sus funciones FDICreate(), FDIDestroy() y otras para obtener archivos del archivo .cab.
Después de descomprimir el archivo, aparecerán tres archivos.
A continuación se ejecuta temp.exe, un archivo ejecutable PE32 en MS Windows con un tamaño de 307200 bytes. El código está escrito en Visual C++ y empaquetado con el empaquetador MPRESS, un empaquetador similar a UPX.
El siguiente paso es ironman.exe. Una vez iniciado, temp.exe descifra los datos incrustados en temp y les cambia el nombre a ironman.exe, un archivo ejecutable PE32 de 544768 bytes. El código está compilado en Borland Delphi.
El último paso es reiniciar el archivo ironman.exe. En tiempo de ejecución, transforma su código y se ejecuta desde la memoria. Esta versión de ironman.exe es maliciosa y es responsable del cifrado.
Vector de ataque
Actualmente, el ransomware Nemty se distribuye a través del sitio web pp-back.info.
Cashback.exe: el comienzo del ataque. Como ya se mencionó, cashback.exe descomprime el archivo .cab que contiene. Luego crea una carpeta TMP4351$.TMP con el formato %TEMP%IXxxx.TMP, donde xxx es un número del 001 al 999.
A continuación, se instala una clave de registro, que tiene este aspecto:
Se utiliza para eliminar archivos descomprimidos. Finalmente, cashback.exe inicia el proceso temp.exe.
Temp.exe es la segunda etapa en la cadena de infección
Este es el proceso iniciado por el archivo cashback.exe, el segundo paso de la ejecución del virus. Intenta descargar AutoHotKey, una herramienta para ejecutar scripts en Windows, y ejecutar el script WindowSpy.ahk ubicado en la sección de recursos del archivo PE.
El script WindowSpy.ahk descifra el archivo temporal en ironman.exe usando el algoritmo RC4 y la contraseña IwantAcake. La clave de la contraseña se obtiene mediante el algoritmo hash MD5.
temp.exe luego llama al proceso ironman.exe.
Ironman.exe - tercer paso
Ironman.exe lee el contenido del archivo iron.bmp y crea un archivo iron.txt con un cryptolocker que se ejecutará a continuación.
Después de esto, el virus carga iron.txt en la memoria y lo reinicia como ironman.exe. Después de esto, se elimina iron.txt.
ironman.exe es la parte principal del ransomware NEMTY, que cifra los archivos en la computadora afectada. El malware crea un mutex llamado odio.
Lo primero que hace es determinar la ubicación geográfica del ordenador. Nemty abre el navegador y descubre la IP en http://api.ipify.org. El sitio api.db-ip.com/v2/free[IP]/countryName El país se determina a partir de la IP recibida y, si la computadora está ubicada en una de las regiones enumeradas a continuación, la ejecución del código malicioso se detiene:
Rusia
Bielorrusia
Ucrania
Kazajstán
Tayikistán
Lo más probable es que los desarrolladores no quieran atraer la atención de las autoridades encargadas de hacer cumplir la ley en sus países de residencia y, por lo tanto, no cifran archivos en sus jurisdicciones "de origen".
Si la dirección IP de la víctima no pertenece a la lista anterior, entonces el virus cifra la información del usuario.
Para evitar la recuperación de archivos, se eliminan sus instantáneas:
Luego crea una lista de archivos y carpetas que no se cifrarán, así como una lista de extensiones de archivos.
ventanas
$ Recycle.bin
rsa
NTDETECT.COM
ntldr
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
CONFIG.SYS
BOOTSECT.BAK
Bootmgr
datos del programa
appdata
osoft
Archivos comunes
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Ofuscación
Para ocultar URL y datos de configuración incrustados, Nemty utiliza un algoritmo de codificación base64 y RC4 con la palabra clave fuckav.
El proceso de descifrado utilizando CryptStringToBinary es el siguiente
Cifrado
Nemty utiliza cifrado de tres capas:
AES-128-CBC para archivos. La clave AES de 128 bits se genera aleatoriamente y se usa igual para todos los archivos. Se almacena en un archivo de configuración en la computadora del usuario. El IV se genera aleatoriamente para cada archivo y se almacena en un archivo cifrado.
RSA-2048 para cifrado de archivos IV. Se genera un par de claves para la sesión. La clave privada de la sesión se almacena en un archivo de configuración en la computadora del usuario.
RSA-8192. La clave pública maestra está integrada en el programa y se utiliza para cifrar el archivo de configuración, que almacena la clave AES y la clave secreta para la sesión RSA-2048.
Nemty primero genera 32 bytes de datos aleatorios. Los primeros 16 bytes se utilizan como clave AES-128-CBC.
El segundo algoritmo de cifrado es RSA-2048. El par de claves lo genera la función CryptGenKey() y lo importa la función CryptImportKey().
Una vez que se genera el par de claves para la sesión, la clave pública se importa al proveedor de servicios criptográficos de MS.
Un ejemplo de una clave pública generada para una sesión:
A continuación, la clave privada se importa al CSP.
Un ejemplo de una clave privada generada para una sesión:
Y por último viene RSA-8192. La clave pública principal se almacena en forma cifrada (Base64 + RC4) en la sección .data del archivo PE.
La clave RSA-8192 después de la decodificación base64 y el descifrado RC4 con la contraseña Fuckav se ve así.
Como resultado, todo el proceso de cifrado se ve así:
Genere una clave AES de 128 bits que se utilizará para cifrar todos los archivos.
Cree un IV para cada archivo.
Creación de un par de claves para una sesión RSA-2048.
Descifrado de una clave RSA-8192 existente utilizando base64 y RC4.
Cifre el contenido del archivo utilizando el algoritmo AES-128-CBC desde el primer paso.
Cifrado IV mediante clave pública RSA-2048 y codificación base64.
Agregar un IV cifrado al final de cada archivo cifrado.
Agregar una clave AES y una clave privada de sesión RSA-2048 a la configuración.
Datos de configuración descritos en el apartado la recopilación de información sobre la computadora infectada se cifran utilizando la clave pública principal RSA-8192.
El archivo cifrado tiene este aspecto:
Ejemplo de archivos cifrados:
Recopilar información sobre la computadora infectada
El ransomware recopila claves para descifrar archivos infectados, por lo que el atacante puede crear un descifrador. Además, Nemty recopila datos del usuario, como nombre de usuario, nombre de la computadora y perfil de hardware.
Llama a las funciones GetLogicalDrives(), GetFreeSpace(), GetDriveType() para recopilar información sobre las unidades de la computadora infectada.
La información recopilada se almacena en un archivo de configuración. Después de decodificar la cadena, obtenemos una lista de parámetros en el archivo de configuración:
Ejemplo de configuración de un ordenador infectado:
La plantilla de configuración se puede representar de la siguiente manera:
{"General": {"IP":"[IP]", "País":"[País]", "NombreEquipo":"[NombreEquipo]", "Nombre de usuario":"[Nombre de usuario]", "SO": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ ID de usuario]", "clave":"[clave]", "pr_key":"[pr_key]
Nemty almacena los datos recopilados en formato JSON en el archivo %USER%/_NEMTY_.nemty. FileID tiene 7 caracteres y se genera aleatoriamente. Por ejemplo: _NEMTY_tgdLYrd_.nemty. El FileID también se agrega al final del archivo cifrado.
Mensaje de rescate
Después de cifrar los archivos, el archivo _NEMTY_[FileID]-DECRYPT.txt aparece en el escritorio con el siguiente contenido:
Al final del archivo hay información cifrada sobre la computadora infectada.
Luego, Nemty intenta enviar datos de configuración a 127.0.0.1:9050, donde espera encontrar un proxy del navegador Tor que funcione. Sin embargo, de forma predeterminada, el proxy Tor escucha en el puerto 9150, y el demonio Tor en Linux o el paquete Expert en Windows utilizan el puerto 9050. Por tanto, no se envían datos al servidor del atacante. En su lugar, el usuario puede descargar el archivo de configuración manualmente visitando el servicio de descifrado Tor a través del enlace proporcionado en el mensaje de rescate.
Conexión al proxy Tor:
HTTP GET crea una solicitud a 127.0.0.1:9050/public/gate?data=
Aquí puede ver los puertos TCP abiertos que utiliza el proxy TORlocal:
Servicio de descifrado Nemty en la red Tor:
Puede cargar una foto cifrada (jpg, png, bmp) para probar el servicio de descifrado.
Después de esto, el atacante pide pagar un rescate. En caso de impago el precio se duplica.
Conclusión
Por el momento, no es posible descifrar archivos cifrados por Nemty sin pagar un rescate. Esta versión del ransomware tiene características comunes con el ransomware Buran y el obsoleto GandCrab: compilación en Borland Delphi e imágenes con el mismo texto. Además, este es el primer cifrador que utiliza una clave RSA de 8092 bits, lo cual, nuevamente, no tiene ningún sentido, ya que una clave de 1024 bits es suficiente para la protección. Finalmente, y curiosamente, intenta utilizar el puerto incorrecto para el servicio proxy Tor local.
Sin embargo, soluciones Acronis Backup и Acronis True Image evitar que el ransomware Nemty llegue a las PC y los datos de los usuarios, y los proveedores pueden proteger a sus clientes con Acronis Backup Cloud. Lleno Defensa cibernética proporciona no solo respaldo, sino también protección usando Acronis Active Protection, una tecnología especial basada en inteligencia artificial y heurística de comportamiento que permite neutralizar incluso el malware aún desconocido.