ProHoster > Blog > Rianachd > Coinnich ri ransomware Nemty bhon làrach PayPal meallta
Coinnich ri ransomware Nemty bhon làrach PayPal meallta
Tha ransomware ùr leis an t-ainm Nemty air nochdadh air an lìonra, a thathas ag ràdh a thig às deidh GrandCrab no Buran. Tha an malware air a chuairteachadh sa mhòr-chuid bho làrach-lìn meallta PayPal agus tha grunn fheartan inntinneach ann. Tha mion-fhiosrachadh mu mar a tha an ransomware seo ag obair fon ghearradh.
ransomware ùr Nemty air a lorg leis an neach-cleachdaidh nao_sec 7 Sultain, 2019. Chaidh an malware a sgaoileadh tro làrach-lìn falaichte mar PayPal, tha e comasach cuideachd do ransomware a dhol a-steach do choimpiutair tro phasgan brath RIG. Chleachd an luchd-ionnsaigh dòighean innleadaireachd sòisealta gus toirt air an neach-cleachdaidh am faidhle cashback.exe a ruith, a thathas ag ràdh a fhuair e bho làrach-lìn PayPal. dàta don fhrithealaiche. Mar sin, feumaidh an neach-cleachdaidh faidhlichean crioptaichte a luchdachadh suas gu lìonra Tor e fhèin ma tha e an dùil an airgead-fuadain a phàigheadh agus feitheamh ri dì-chrioptachadh bhon luchd-ionnsaigh.
Tha grunn fhìrinnean inntinneach mu Nemty a’ moladh gun deach a leasachadh leis na h-aon daoine no le cybercriminals co-cheangailte ri Buran agus GrandCrab.
Coltach ri GandCrab, tha ugh Càisge aig Nemty - ceangal gu dealbh de Cheann-suidhe na Ruis Vladimir Putin le fealla-dhà drabasta. Bha ìomhaigh aig an dìleab GandCrab ransomware leis an aon teacsa.
Tha artifacts cànain an dà phrògram a’ comharrachadh na h-aon ùghdaran le Ruiseanach.
Is e seo a’ chiad ransomware a chleachd iuchair 8092-bit RSA. Ged nach eil adhbhar sam bith ann an seo: tha iuchair 1024-bit gu math gu leòr airson dìon an aghaidh hackadh.
Coltach ri Buran, tha an ransomware air a sgrìobhadh ann an Object Pascal agus air a chur ri chèile ann am Borland Delphi.
Mion-sgrùdadh statach
Bidh cur an gnìomh còd droch-rùnach a’ tachairt ann an ceithir ìrean. Is e a’ chiad cheum cashback.exe a ruith, faidhle so-ghnìomhaichte PE32 fo MS Windows le meud 1198936 bytes. Chaidh a chòd a sgrìobhadh ann an Visual C ++ agus a chur ri chèile air 14 Dàmhair 2013. Tha tasglann ann a thèid a dhì-phapadh gu fèin-ghluasadach nuair a ruitheas tu cashback.exe. Bidh am bathar-bog a’ cleachdadh leabharlann Cabinet.dll agus na gnìomhan aige FDICreate(), FDIDEstroy() agus feadhainn eile gus faidhlichean fhaighinn bho thasglann .cab.
Às deidh an tasglann a dhì-phapadh, nochdaidh trì faidhlichean.
An ath rud, thèid temp.exe a chuir air bhog, faidhle so-ghnìomhaichte PE32 fo MS Windows le meud 307200 bytes. Tha an còd sgrìobhte ann an Visual C ++ agus air a phacaigeadh le pacaid MPRESS, pasgan coltach ri UPX.
Is e an ath cheum ironman.exe. Nuair a thèid a chuir air bhog, bidh temp.exe a’ dì-chrioptachadh an dàta freumhaichte ann an temp agus ga ath-ainmeachadh gu ironman.exe, faidhle so-ghnìomhaichte 32 byte PE544768. Tha an còd air a chur ri chèile ann am Borland Delphi.
Is e an ceum mu dheireadh am faidhle ironman.exe ath-thòiseachadh. Aig àm ruith, bidh e ag atharrachadh a chòd agus ga ruith fhèin bho chuimhne. Tha an dreach seo de ironman.exe droch-rùnach agus tha uallach air airson crioptachadh.
Vector ionnsaigh a thoirt air a
An-dràsta, tha ransomware Nemty air a sgaoileadh tron làrach-lìn pp-back.info.
Faodar an t-sreath iomlan de ghalaran fhaicinn aig app.run.run bogsa gainmhich.
suidheachadh
Cashback.exe - toiseach an ionnsaigh. Mar a chaidh ainmeachadh roimhe, bidh cashback.exe a’ dì-phapadh am faidhle .cab a th’ ann. Bidh e an uairsin a’ cruthachadh pasgan TMP4351$.TMP den fhoirm % TEMP%IXxxx.TMP, far a bheil xxx na àireamh bho 001 gu 999.
An uairsin, tha iuchair clàraidh air a chuir a-steach, a tha coltach ri seo:
Tha e air a chleachdadh gus faidhlichean gun phacaid a sguabadh às. Mu dheireadh, tòisichidh cashback.exe am pròiseas temp.exe.
Is e Temp.exe an dàrna ìre anns an t-sreath ghalaran
Is e seo am pròiseas a chuir am faidhle cashback.exe air bhog, an dàrna ceum de choileanadh bhìoras. Bidh e a’ feuchainn ri AutoHotKey a luchdachadh sìos, inneal airson sgriobtaichean a ruith air Windows, agus an sgriobt WindowSpy.ahk a ruith a tha suidhichte ann an roinn ghoireasan an fhaidhle PE.
Bidh an sgriobt WindowSpy.ahk a’ dì-chrioptachadh am faidhle temp ann an ironman.exe a’ cleachdadh an algairim RC4 agus am facal-faire IwantAcake. Gheibhear an iuchair bhon fhacal-fhaire a’ cleachdadh an algairim hashing MD5.
bidh temp.exe an uairsin a’ gairm pròiseas ironman.exe.
Ironman.exe - an treas ceum
Bidh Ironman.exe a’ leughadh susbaint an fhaidhle iron.bmp agus a’ cruthachadh faidhle iron.txt le cryptolocker a thèid a chuir air bhog an ath rud.
Às deidh seo, bidh am bhìoras a’ luchdachadh iron.txt na chuimhne agus ga ath-thòiseachadh mar ironman.exe. Às dèidh seo, iron.txt a sguabadh às.
Is e ironman.exe am prìomh phàirt den ransomware NEMTY, a bhios a’ cuairteachadh faidhlichean air a’ choimpiutair air a bheil buaidh. Bidh Malware a’ cruthachadh mutex ris an canar gràin.
Is e a’ chiad rud a nì e suidheachadh cruinn-eòlasach a’ choimpiutair a dhearbhadh. Bidh Nemty a 'fosgladh a' bhrabhsair agus a 'faighinn a-mach an IP air http://api.ipify.org. Air an làraich api.db-ip.com/v2/free[IP]/countryName Tha an dùthaich air a dhearbhadh bhon IP a fhuaireadh, agus ma tha an coimpiutair suidhichte ann an aon de na roinnean gu h-ìosal, stadaidh cur an gnìomh a’ chòd malware:
An Ruis
Belarus
Ukraine
Kazakhstan
Tajikistan
Nas coltaiche, chan eil luchd-leasachaidh airson aire bhuidhnean èigneachaidh lagha a tharraing anns na dùthchannan còmhnaidh aca, agus mar sin na cuir a-steach faidhlichean anns na h-uachdranasan “dachaigh” aca.
Mura buin seòladh IP an neach-fulaing don liosta gu h-àrd, bidh am bhìoras a’ cuairteachadh fiosrachadh an neach-cleachdaidh.
Gus casg a chuir air faighinn air ais faidhle, thèid na lethbhric sgàil aca a dhubhadh às:
Bidh e an uairsin a’ cruthachadh liosta de fhaidhlichean is phasganan nach tèid a chrioptachadh, a bharrachd air liosta de leudachadh fhaidhlichean.
uinneagan
$RECYCLE.BIN
rsa
NTDETECT.COM
etc
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
deasg.ini
SYS CONFIG.
BOOTSECT.BAK
bootmgr
dàta prògram
dàta app
òigh
Faidhlichean Coitcheann
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Obfuscation
Gus URLan agus dàta rèiteachaidh freumhaichte fhalach, bidh Nemty a’ cleachdadh algairim còdaidh base64 agus RC4 leis a’ phrìomh fhacal fuckav.
Tha am pròiseas dì-chrioptachaidh a’ cleachdadh CryptStringToBinary mar a leanas
Crioptachadh
Bidh Nemty a’ cleachdadh crioptachadh trì-fhilleadh:
AES-128-CBC airson faidhlichean. Tha an iuchair AES 128-bit air a chruthachadh air thuaiream agus air a chleachdadh mar an ceudna airson a h-uile faidhle. Tha e air a stòradh ann am faidhle rèiteachaidh air coimpiutair an neach-cleachdaidh. Tha an IV air a chruthachadh air thuaiream airson gach faidhle agus air a stòradh ann am faidhle crioptaichte.
RSA-2048 airson crioptachadh faidhle IV. Thathas a’ cruthachadh prìomh phaidhir airson an t-seisein. Tha an iuchair phrìobhaideach airson an t-seisein air a stòradh ann am faidhle rèiteachaidh air coimpiutair an neach-cleachdaidh.
RSA-8192. Tha am prìomh iuchair phoblach air a thogail a-steach don phrògram agus air a chleachdadh gus am faidhle rèiteachaidh a chrioptachadh, a bhios a’ stòradh an iuchair AES agus an iuchair dhìomhair airson seisean RSA-2048.
Bidh Nemty an-toiseach a’ gineadh 32 byte de dhàta air thuaiream. Tha a’ chiad 16 bytes air an cleachdadh mar an iuchair AES-128-CBC.
Is e an dàrna algairim crioptachaidh RSA-2048. Tha am prìomh phaidhir air a chruthachadh leis a’ ghnìomh CryptGenKey () agus air a thoirt a-steach leis a’ ghnìomh CryptImportKey ().
Aon uair ‘s gu bheil am prìomh phaidhir airson an t-seisein air a chruthachadh, thèid an iuchair phoblach a thoirt a-steach don t-solaraiche seirbheis crioptachaidh MS.
Eisimpleir de iuchair phoblach a chaidh a chruthachadh airson seisean:
An uairsin, thèid an iuchair phrìobhaideach a thoirt a-steach don CSP.
Eisimpleir de iuchair phrìobhaideach a chaidh a chruthachadh airson seisean:
Agus mu dheireadh thig RSA-8192. Tha am prìomh iuchair phoblach air a stòradh ann an cruth crioptaichte (Base64 + RC4) anns an roinn .data den fhaidhle PE.
Tha an iuchair RSA-8192 às deidh còdachadh base64 agus dì-chrioptachadh RC4 leis an fhacal-fhaire fuckav a ’coimhead mar seo.
Mar thoradh air an sin, tha coltas mar seo air a’ phròiseas crioptachaidh gu lèir:
Cruthaich iuchair AES 128-bit a thèid a chleachdadh gus a h-uile faidhle a chrioptachadh.
Cruthaich IV airson gach faidhle.
A’ cruthachadh prìomh phaidhir airson seisean RSA-2048.
Cuir às do iuchair RSA-8192 a tha ann mar-thà a’ cleachdadh base64 agus RC4.
Cuir a-steach susbaint faidhle a’ cleachdadh an algairim AES-128-CBC bhon chiad cheum.
IV crioptachadh a’ cleachdadh iuchair phoblach RSA-2048 agus còdachadh base64.
A’ cur IV crioptaichte ri deireadh gach faidhle crioptaichte.
A’ cur iuchair AES agus iuchair phrìobhaideach seisean RSA-2048 ris an config.
Dàta rèiteachaidh air a mhìneachadh san earrann Cruinneachadh fiosrachaidh mun choimpiutair gabhaltach air a chrioptachadh a’ cleachdadh a’ phrìomh iuchair phoblach RSA-8192.
Tha coltas mar seo air an fhaidhle crioptaichte:
Eisimpleir de fhaidhlichean crioptaichte:
A’ cruinneachadh fiosrachaidh mu dheidhinn a’ choimpiutair gabhaltach
Bidh an ransomware a’ cruinneachadh iuchraichean gus faidhlichean gabhaltach a dhì-chrioptachadh, gus an urrainn don neach-ionnsaigh dì-chrioptachadh a chruthachadh. A bharrachd air an sin, bidh Nemty a’ cruinneachadh dàta luchd-cleachdaidh leithid ainm neach-cleachdaidh, ainm coimpiutair, ìomhaigh bathar-cruaidh.
Bidh e a’ gairm na gnìomhan GetLogicalDrives(), GetFreeSpace(), GetDriveType() gus fiosrachadh a chruinneachadh mu dhràibhearan a’ choimpiutair gabhaltach.
Tha am fiosrachadh cruinnichte air a stòradh ann am faidhle rèiteachaidh. Às deidh dhuinn an sreang a chòdachadh, gheibh sinn liosta de pharamadairean anns an fhaidhle rèiteachaidh:
Eisimpleir de rèiteachadh coimpiutair le galair:
Faodar an teamplaid rèiteachaidh a riochdachadh mar a leanas:
Bidh Nemty a’ stòradh an dàta cruinnichte ann an cruth JSON san fhaidhle % USER%/_NEMTY_.nemty. Tha FileID 7 caractaran a dh'fhaid agus air a chruthachadh air thuaiream. Mar eisimpleir: _NEMTY_tgdLYrd_.nemty. Tha an FileID cuideachd ceangailte ri deireadh an fhaidhle crioptaichte.
Teachdaireachd ransom
Às deidh na faidhlichean a chrioptachadh, nochdaidh am faidhle _NEMTY_[FileID] -DECRYPT.txt air an deasg leis an t-susbaint a leanas:
Aig deireadh an fhaidhle tha fiosrachadh crioptaichte mun choimpiutair gabhaltach.
Bidh Nemty an uairsin a’ feuchainn ri dàta rèiteachaidh a chuir gu 127.0.0.1:9050, far a bheil dùil aige neach-ionaid brobhsair Tor a tha ag obair a lorg. Ach, gu gnàthach bidh an neach-ionaid Tor ag èisteachd air port 9150, agus tha port 9050 air a chleachdadh leis an deamhan Tor air Linux no Eòlaiche Bundle air Windows. Mar sin, cha tèid dàta sam bith a chuir gu frithealaiche an neach-ionnsaigh. An àite sin, faodaidh an neach-cleachdaidh am faidhle rèiteachaidh a luchdachadh sìos le làimh le bhith a’ tadhal air seirbheis dì-chrioptachaidh Tor tron cheangal a chaidh a thoirt seachad san teachdaireachd airgead-airgid.
A' ceangal ri neach-ionaid Tor:
Bidh HTTP GET a’ cruthachadh iarrtas gu 127.0.0.1:9050/public/gate?data=
An seo chì thu na puirt fosgailte TCP a bhios an neach-ionaid TORlocal a’ cleachdadh:
Seirbheis dì-chrioptachaidh Nemty air lìonra Tor:
Faodaidh tu dealbh crioptaichte a luchdachadh suas (jpg, png, bmp) gus an t-seirbheis dì-chrioptachaidh a dhearbhadh.
Às deidh seo, tha an neach-ionnsaigh ag iarraidh airgead-fuadain a phàigheadh. Mura tèid pàigheadh tha a’ phrìs air a dhùblachadh.
co-dhùnadh
Aig an àm seo, chan eil e comasach faidhlichean a chrioptachadh le Nemty a dhì-chrioptachadh gun a bhith a’ pàigheadh airgead-fuadain. Tha feartan cumanta aig an dreach seo de ransomware leis an ransomware Buran agus an GandCrab seann-fhasanta: cruinneachadh ann am Borland Delphi agus ìomhaighean leis an aon teacsa. A bharrachd air an sin, is e seo a ’chiad chrioptachadh a bhios a’ cleachdadh iuchair 8092-bit RSA, nach eil, a-rithist, a ’dèanamh ciall sam bith, leis gu bheil iuchair 1024-bit gu leòr airson dìon. Mu dheireadh, agus gu h-inntinneach, bidh e a’ feuchainn ris a’ phort ceàrr a chleachdadh airson an t-seirbheis neach-ionaid Tor ionadail.
Ach, fuasglaidhean Cùl-taic Acronis и Ìomhaigh fìor Acronis cuir casg air ransomware Nemty bho bhith a’ ruighinn PCan agus dàta luchd-cleachdaidh, agus faodaidh solaraichean an luchd-dèiligidh aca a dhìon le Acronis lethbhreac-glèidhidh neul. Làn Dìon saidhbear a’ toirt seachad chan e a-mhàin cùl-taic, ach cuideachd dìon a’ cleachdadh Acronis dìon gnìomhach, teicneòlas sònraichte stèidhichte air inntleachd fuadain agus heuristics giùlain a leigeas leat eadhon malware neo-aithnichte a neodachadh.