ProHoster > Blag > Riarachán > Téigh in aithne ar earraí ransom Nemty ón suíomh PayPal falsa
Téigh in aithne ar earraí ransom Nemty ón suíomh PayPal falsa
Tá ransomware nua dar teideal Nemty le feiceáil ar an líonra, a cheaptar a thagann i gcomharbacht ar GrandCrab nó Buran. Déantar an malware a dháileadh go príomha ó shuíomh Gréasáin falsa PayPal agus tá roinnt gnéithe suimiúla ann. Tá sonraí faoin gcaoi a n-oibríonn an earraí ransom seo á ghearradh.
ransomware nua Nemty aimsithe ag an úsáideoir nao_soic 7 Meán Fómhair, 2019. Scaipeadh an malware trí shuíomh Gréasáin faoi cheilt a dhéanamh mar PayPal, is féidir freisin d'earraí ransom dul isteach i ríomhaire tríd an trealamh saothraithe RIG. Bhain na hionsaitheoirí úsáid as modhanna innealtóireachta sóisialta chun iallach a chur ar an úsáideoir an comhad cashback.exe a rith, a líomhnaítear a fuair sé ó shuíomh Gréasáin PayPal.Tá sé aisteach freisin gur shonraigh Nemty an calafort mícheart don tseirbhís seachfhreastalaí áitiúil Tor, rud a chuireann cosc ar an malware a sheoladh. sonraí chuig an bhfreastalaí. Mar sin, beidh ar an úsáideoir comhaid criptithe a uaslódáil chuig líonra Tor é féin má tá sé ar intinn aige an airgead fuascailte a íoc agus fanacht le díchriptiú ó na hionsaitheoirí.
Tugann roinnt fíricí spéisiúla faoi Nemty le tuiscint gur fhorbair na daoine céanna nó na cibearchoireachta a bhaineann le Buran agus Grand Crab é.
Cosúil le GandCrab, tá ubh Cásca ag Nemty - nasc chuig grianghraf d’Uachtarán na Rúise Vladimir Putin le magadh gáirsiúil. Bhí íomhá leis an téacs céanna ag an ransomware GandCrab oidhreachta.
Léiríonn déantáin teanga an dá chlár na húdair chéanna ina labhraítear Rúisis.
Is é seo an chéad earraí ransom a úsáideann eochair RSA 8092-giotán. Cé nach bhfuil aon phointe leis seo: tá eochair 1024-giotán sách go leor chun cosaint a dhéanamh i gcoinne hacking.
Cosúil le Buran, tá an earraí ransom scríofa in Object Pascal agus tiomsaítear é i Borland Delphi.
Anailís statach
Tarlaíonn forghníomhú cód mailíseach i gceithre chéim. Is é an chéad chéim ná cashback.exe a reáchtáil, comhad inrite PE32 faoi MS Windows le méid 1198936 bytes. Scríobhadh a chód in Visual C ++ agus tiomsaíodh é ar 14 Deireadh Fómhair 2013. Tá cartlann ann a dhíphacáilítear go huathoibríoch nuair a ritheann tú cashback.exe. Úsáideann na bogearraí leabharlann Cabinet.dll agus a feidhmeanna FDICreate(), FDIDEstroy() agus cinn eile chun comhaid a fháil ó chartlann .cab.
Tar éis an chartlann a dhíphacáil, beidh trí chomhad le feiceáil.
Ansin, seolfar temp.exe, comhad inrite PE32 faoi MS Windows le méid 307200 bytes. Tá an cód scríofa in Visual C++ agus pacáistithe le pacálaí MPRESS, pacálaí cosúil le UPX.
Is é an chéad chéim eile ironman.exe. Nuair a sheoltar é, díchriptíonn temp.exe na sonraí leabaithe sa teocht agus athainmnítear é go ironman.exe, comhad inrite PE32 beart 544768. Tá an cód le chéile i Borland Delphi.
Is é an chéim dheireanach ná an comhad ironman.exe a atosú. Ag am rite, athraíonn sé a chód agus ritheann sé é féin ó chuimhne. Tá an leagan seo de ironman.exe mailíseach agus tá sé freagrach as criptiú.
Veicteoir ionsaí
Faoi láthair, déantar ransomware Nemty a dháileadh tríd an suíomh Gréasáin pp-back.info.
Is féidir slabhra iomlán an ionfhabhtaithe a fheiceáil ag aip.aon.rith bosca gainimh.
Suiteáil
Cashback.exe - tús an ionsaí. Mar a luadh cheana, díphacáil cashback.exe an comhad .cab atá ann. Cruthaíonn sé ansin fillteán TMP4351$.TMP den fhoirm % TEMP%IXxxx.TMP, áit a bhfuil xxx ina uimhir ó 001 go 999.
Ansin, tá eochair clárlainne suiteáilte, a bhfuil cuma mar seo air:
Úsáidtear é chun comhaid neamhphacáilte a scriosadh. Ar deireadh, cuireann cashback.exe tús leis an bpróiseas temp.exe.
Is é Temp.exe an dara céim sa slabhra ionfhabhtaithe
Is é seo an próiseas a sheol an comhad cashback.exe, an dara céim den fhorghníomhú víreas. Déanann sé iarracht AutoHotKey a íoslódáil, uirlis chun scripteanna a rith ar Windows, agus an script WindowSpy.ahk atá suite i rannán acmhainní an chomhaid Corpoideachais a rith.
Déanann an script WindowSpy.ahk an comhad teochta a dhíchriptiú in ironman.exe ag baint úsáide as an algartam RC4 agus an focal faire IwantAcake. Faightear an eochair ón bhfocal faire ag baint úsáide as an algartam hashing MD5.
temp.exe glaonna ansin an próiseas ironman.exe.
Ironman.exe - tríú céim
Léann Ironman.exe inneachar an chomhaid iron.bmp agus cruthaíonn sé comhad iron.txt le cryptolocker a sheolfar an chéad uair eile.
Tar éis seo, lódálann an víreas iron.txt isteach sa chuimhne agus atosaíonn sé mar ironman.exe. Tar éis seo, scriostar iron.txt.
Is é ironman.exe an phríomhchuid den ransomware NEMTY, a chripíonn comhaid ar an ríomhaire lena mbaineann. Cruthaíonn Malware mutex ar a dtugtar gráin.
Is é an chéad rud a dhéanann sé ná suíomh geografach an ríomhaire a chinneadh. Osclaíonn Nemty an brabhsálaí agus faigheann sé amach an IP ar http://api.ipify.org. Ar an suíomh api.db-ip.com/v2/saor in aisce[IP]/countryName Cinntear an tír ón IP faighte, agus má tá an ríomhaire suite i gceann de na réigiúin atá liostaithe thíos, stopann feidhmiú an chóid malware:
An Rúis
Byelorussia
An Úcráin
An Chasacstáin
An Táidsíceastáin
Is dócha nach bhfuil forbróirí ag iarraidh aird na ngníomhaireachtaí forfheidhmithe dlí ina dtíortha cónaithe a mhealladh, agus mar sin ní dhéanann siad comhaid a chriptiú ina ndlínsí "baile".
Mura mbaineann seoladh IP an íospartaigh leis an liosta thuas, ansin criptíonn an víreas faisnéis an úsáideora.
Chun aisghabháil comhad a chosc, scriostar a scáthchóipeanna:
Cruthaíonn sé ansin liosta de chomhaid agus fillteáin nach mbeidh criptithe, chomh maith le liosta de na síntí comhad.
fuinneoga
$RECYCLE.BIN
rsa
NTDETECT.COM
srl
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
deasc.ini
SYS CONFIG.
BOOTSECT.BAK
Bootmgr
sonraí cláir
sonraí app
obog
Comhaid Choitianta
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Obfuscation
Chun URLanna agus sonraí cumraíochta leabaithe a cheilt, úsáideann Nemty algartam ionchódaithe base64 agus RC4 leis an eochairfhocal fuckav.
Seo a leanas an próiseas díchriptithe ag baint úsáide as CryptStringToBinary
Criptiú
Úsáideann Nemty criptiú trí chiseal:
AES-128-CBC le haghaidh comhaid. Gintear an eochair AES 128-giotán go randamach agus úsáidtear é mar an gcéanna do gach comhad. Stóráiltear é i gcomhad cumraíochta ar ríomhaire an úsáideora. Gintear an IV go randamach do gach comhad agus stóráiltear é i gcomhad criptithe.
RSA-2048 le haghaidh criptithe comhad IV. Gintear péire eochair don seisiún. Stóráiltear eochair phríobháideach an tseisiúin i gcomhad cumraíochta ar ríomhaire an úsáideora.
RSA-8192. Tá an máistir-eochair phoiblí ionsuite sa chlár agus úsáidtear í chun an comhad cumraíochta a chriptiú, a stórálann an eochair AES agus an eochair rúnda don seisiún RSA-2048.
Gineann Nemty 32 beart de shonraí randamacha ar dtús. Úsáidtear na chéad 16 beart mar eochair AES-128-CBC.
Is é an dara algartam criptithe ná RSA-2048. Gintear an eochairphéire ag an bhfeidhm CryptGenKey() agus iompórtálann an fheidhm CryptImportKey() é.
Nuair a ghintear an péire eochair don seisiún, allmhairítear an eochair phoiblí isteach sa Soláthraí Seirbhíse Cripteagrafach MS.
Sampla d’eochair phoiblí ginte le haghaidh seisiún:
Ansin, allmhairítear an eochair phríobháideach isteach sa CSP.
Sampla d’eochair phríobháideach ginte le haghaidh seisiún:
Agus tagann RSA-8192 go deireanach. Stóráiltear an phríomheochair phoiblí i bhfoirm criptithe (Base64 + RC4) sa chuid .data den chomhad Corpoideachais.
Breathnaíonn an eochair RSA-8192 tar éis díchódaithe base64 agus díchriptiú RC4 leis an bhfocal faire fuckav mar seo.
Mar thoradh air sin, tá an chuma ar an bpróiseas criptithe ar fad mar seo:
Gin eochair AES 128-giotán a úsáidfear chun gach comhad a chriptiú.
Cruthaigh IV do gach comhad.
Péire eochair a chruthú le haghaidh seisiún RSA-2048.
Díchriptiú eochair RSA-8192 atá ann cheana féin ag baint úsáide as base64 agus RC4.
Criptigh inneachar an chomhaid ag baint úsáide as an algartam AES-128-CBC ón gcéad chéim.
Criptiú IV ag baint úsáide as eochair phoiblí RSA-2048 agus ionchódú base64.
IV criptithe a chur le deireadh gach comhaid criptithe.
Ag cur eochair AES agus eochair phríobháideach seisiúin RSA-2048 leis an gcumraíocht.
Sonraí cumraíochta cur síos orthu sa chuid Bailiú faisnéise Maidir leis an ríomhaire ionfhabhtaithe a chriptiú ag baint úsáide as an bpríomheochair phoiblí RSA-8192.
Breathnaíonn an comhad criptithe mar seo:
Sampla de chomhaid chriptithe:
Eolas a bhailiú mar gheall ar an ríomhaire ionfhabhtaithe
Bailíonn an ransomware eochracha chun comhaid ionfhabhtaithe a dhíchriptiú, ionas gur féidir leis an ionsaitheoir díchriptiúr a chruthú. Ina theannta sin, bailíonn Nemty sonraí úsáideora ar nós ainm úsáideora, ainm ríomhaire, próifíl crua-earraí.
Glaonn sé ar na feidhmeanna GetLogicalDrives(), GetFreeSpace(), GetDriveType() chun faisnéis a bhailiú faoi thiomáineann an ríomhaire ionfhabhtaithe.
Stóráiltear an fhaisnéis a bhailítear i gcomhad cumraíochta. Tar éis dúinn an teaghrán a dhíchódú, faighimid liosta paraiméadair sa chomhad cumraíochta:
Cumraíocht shamplach de ríomhaire ionfhabhtaithe:
Is féidir an teimpléad cumraíochta a léiriú mar seo a leanas:
Stórálann Nemty na sonraí bailithe i bhformáid JSON sa chomhad % USER%/_NEMTY_.nemty. Tá FileID 7 gcarachtar ar fad agus ginte go randamach. Mar shampla: _NEMTY_tgdLYrd_.nemty. Tá an FileID i gceangal freisin le deireadh an chomhaid criptithe.
Teachtaireacht airgead fuascailte
Tar éis duit na comhaid a chriptiú, feictear an comhad _NEMTY_[FileID]-DECRYPT.txt ar an deasc leis an ábhar seo a leanas:
Ag deireadh an chomhaid tá faisnéis chriptithe faoin ríomhaire ionfhabhtaithe.
Déanann Nemty iarracht ansin sonraí cumraíochta a sheoladh chuig 127.0.0.1:9050, áit a bhfuil sé ag súil le seachfhreastalaí brabhsálaí Tor atá ag obair a aimsiú. Mar sin féin, de réir réamhshocraithe éisteann an seachfhreastalaí Tor ar phort 9150, agus úsáideann deamhan Tor ar Linux nó Expert Beart ar Windows port 9050. Mar sin, ní sheoltar aon sonraí chuig freastalaí an ionsaitheora. Ina áit sin, is féidir leis an úsáideoir an comhad cumraíochta a íoslódáil de láimh trí chuairt a thabhairt ar an tseirbhís díchriptithe Tor tríd an nasc a chuirtear ar fáil sa teachtaireacht airgead fuascailte.
Ag nascadh le seachfhreastalaí Tor:
Cruthaíonn HTTP GET iarratas chuig 127.0.0.1:9050/public/gate?data=
Anseo is féidir leat na calafoirt TCP oscailte a úsáideann an seachfhreastalaí TORlocal a fheiceáil:
Seirbhís díchriptithe Nemty ar líonra Tor:
Is féidir leat grianghraf criptithe (jpg, png, bmp) a uaslódáil chun an tseirbhís díchriptithe a thástáil.
Tar éis seo, iarrann an t-ionsaitheoir airgead fuascailte a íoc. I gcás neamhíocaíochta déantar an praghas a dhúbailt.
Conclúid
I láthair na huaire, ní féidir comhaid atá criptithe ag Nemty a dhíchriptiú gan airgead fuascailte a íoc. Tá gnéithe comónta ag an leagan seo de ransomware agus earraí ransom Buran agus an GandCrab as dáta: tiomsú i Borland Delphi agus íomhánna leis an téacs céanna. Ina theannta sin, is é seo an chéad criptitheoir a úsáideann eochair RSA 8092-giotán, rud nach ndéanann, arís, aon chiall, ós rud é go bhfuil eochair 1024-giotán leordhóthanach le haghaidh cosanta. Ar deireadh, agus go suimiúil, déanann sé iarracht an calafort mícheart a úsáid don tseirbhís seachfhreastalaí Tor áitiúil.
Mar sin féin, réitigh Acronis Cúltaca и Acronis Fíor Íomhá cosc a chur ar ransomware Nemty ó ríomhairí pearsanta úsáideora agus sonraí a bhaint amach, agus is féidir le soláthraithe a gcliaint a chosaint le Acronis cúltaca scamall. Iomlán Cibearchosaint soláthraíonn ní hamháin cúltaca, ach freisin cosaint ag baint úsáide as Acronis cosanta gníomhach, teicneolaíocht speisialta atá bunaithe ar hintleachta saorga agus heuristics iompraíochta a ligeann duit malware fiú anaithnid a neodrú.