Coñece o ransomware Nemty do sitio falso de PayPal
Na rede apareceu un novo ransomware chamado Nemty, que supostamente é o sucesor de GrandCrab ou Buran. O malware distribúese principalmente desde o sitio web falso de PayPal e ten unha serie de funcións interesantes. Os detalles sobre como funciona este ransomware están baixo o corte.
Novo ransomware Nemty descuberto polo usuario nao_sec 7 de setembro de 2019. O malware foi distribuído a través dun sitio web disfrazado de PayPal, tamén é posible que o ransomware penetre nun ordenador a través do kit de explotación RIG. Os atacantes utilizaron métodos de enxeñería social para obrigar ao usuario a executar o ficheiro cashback.exe, que supostamente recibiu do sitio web de PayPal.Tamén é curioso que Nemty especificase o porto incorrecto para o servizo de proxy local Tor, que impide que o malware se envíe. datos ao servidor. Polo tanto, o usuario terá que cargar os ficheiros cifrados á rede Tor mesmo se pretende pagar o rescate e agardar ao descifrado dos atacantes.
Varios feitos interesantes sobre Nemty suxiren que foi desenvolvido polas mesmas persoas ou por cibercriminais asociados con Buran e GrandCrab.
Do mesmo xeito que GandCrab, Nemty ten un ovo de Pascua: unha ligazón a unha foto do presidente ruso Vladimir Putin cunha broma obscena. O ransomware legado GandCrab tiña unha imaxe co mesmo texto.
Os artefactos lingüísticos de ambos os programas apuntan aos mesmos autores de fala rusa.
Este é o primeiro ransomware que utiliza unha clave RSA de 8092 bits. Aínda que isto non serve de nada: unha clave de 1024 bits é suficiente para protexerse contra a piratería.
Do mesmo xeito que Buran, o ransomware está escrito en Object Pascal e compilado en Borland Delphi.
Análise estática
A execución do código malicioso prodúcese en catro etapas. O primeiro paso é executar cashback.exe, un ficheiro executable PE32 en MS Windows cun tamaño de 1198936 bytes. O seu código foi escrito en Visual C++ e compilado o 14 de outubro de 2013. Contén un arquivo que se desempaqueta automaticamente cando executas cashback.exe. O software usa a biblioteca Cabinet.dll e as súas funcións FDICreate(), FDIDestroy() e outras para obter ficheiros do arquivo .cab.
Despois de desempaquetar o arquivo, aparecerán tres ficheiros.
A continuación, lánzase temp.exe, un ficheiro executable PE32 en MS Windows cun tamaño de 307200 bytes. O código está escrito en Visual C++ e empaquetado con MPRESS packer, un empacador similar a UPX.
O seguinte paso é ironman.exe. Unha vez iniciado, temp.exe descifra os datos incrustados en temp e renomméaos a ironman.exe, un ficheiro executable PE32 de 544768 bytes. O código está compilado en Borland Delphi.
O último paso é reiniciar o ficheiro ironman.exe. No tempo de execución, transforma o seu código e execútase dende a memoria. Esta versión de ironman.exe é maliciosa e é responsable do cifrado.
Vector de ataque
Actualmente, o ransomware Nemty distribúese a través do sitio web pp-back.info.
Cashback.exe - o inicio do ataque. Como xa se mencionou, cashback.exe desempaqueta o ficheiro .cab que contén. A continuación, crea un cartafol TMP4351$.TMP do formato %TEMP%IXxxx.TMP, onde xxx é un número do 001 ao 999.
A continuación, instálase unha clave de rexistro, que ten o seguinte aspecto:
Utilízase para eliminar ficheiros descomprimidos. Finalmente, cashback.exe inicia o proceso temp.exe.
Temp.exe é a segunda etapa da cadea de infección
Este é o proceso iniciado polo ficheiro cashback.exe, o segundo paso da execución do virus. Tenta descargar AutoHotKey, unha ferramenta para executar scripts en Windows, e executa o script WindowSpy.ahk situado na sección de recursos do ficheiro PE.
O script WindowSpy.ahk descifra o ficheiro temporal en ironman.exe usando o algoritmo RC4 e o contrasinal IwantAcake. A clave do contrasinal obtense mediante o algoritmo de hash MD5.
temp.exe chama entón ao proceso ironman.exe.
Ironman.exe - terceiro paso
Ironman.exe le o contido do ficheiro iron.bmp e crea un ficheiro iron.txt cun cryptolocker que se lanzará a continuación.
Despois diso, o virus carga iron.txt na memoria e reinicia como ironman.exe. Despois diso, elimínase iron.txt.
ironman.exe é a parte principal do ransomware NEMTY, que cifra os ficheiros do ordenador afectado. O malware crea un mutex chamado odio.
O primeiro que fai é determinar a localización xeográfica do ordenador. Nemty abre o navegador e descobre a IP http://api.ipify.org. No sitio api.db-ip.com/v2/free[IP]/countryName O país determínase a partir da IP recibida e, se o ordenador está situado nunha das rexións que se indican a continuación, detense a execución do código de malware:
Rusia
Bielorrusia
Ucraína
Kazajistán
Taxiquistán
O máis probable é que os desenvolvedores non queiran atraer a atención das axencias policiais nos seus países de residencia e, polo tanto, non cifran os ficheiros nas súas xurisdicións "domiciliarias".
Se o enderezo IP da vítima non pertence á lista anterior, entón o virus cifra a información do usuario.
Para evitar a recuperación do ficheiro, elimínanse as súas instantáneas:
A continuación, crea unha lista de ficheiros e cartafoles que non se cifrarán, así como unha lista de extensións de ficheiros.
Windows
$RECICLE.BIN
rsa
NTDETECT.COM
etc
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
escritorio.ini
CONFIGURACIÓN DO SISTEMA.
BOOTSECT.BAK
bootmgr
datos do programa
datos de aplicación
osoft
Arquivos comúns
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Ofuscación
Para ocultar os URL e os datos de configuración incorporados, Nemty usa un algoritmo de codificación base64 e RC4 coa palabra clave fuckav.
O proceso de descifrado mediante CryptStringToBinary é o seguinte
Cifrado
Nemty usa cifrado de tres capas:
AES-128-CBC para ficheiros. A clave AES de 128 bits xérase aleatoriamente e úsase igual para todos os ficheiros. Gárdase nun ficheiro de configuración no ordenador do usuario. O IV xérase aleatoriamente para cada ficheiro e gárdase nun ficheiro cifrado.
RSA-2048 para o cifrado de ficheiros IV. Xérase un par de claves para a sesión. A clave privada da sesión gárdase nun ficheiro de configuración no ordenador do usuario.
RSA-8192. A chave pública mestra está integrada no programa e úsase para cifrar o ficheiro de configuración, que almacena a clave AES e a clave secreta para a sesión RSA-2048.
Nemty xera primeiro 32 bytes de datos aleatorios. Os primeiros 16 bytes úsanse como clave AES-128-CBC.
O segundo algoritmo de cifrado é RSA-2048. O par de claves é xerado pola función CryptGenKey() e importado pola función CryptImportKey().
Unha vez que se xera o par de claves para a sesión, a clave pública impórtase ao provedor de servizos criptográficos de MS.
Un exemplo de clave pública xerada para unha sesión:
A continuación, a clave privada é importada ao CSP.
Un exemplo de clave privada xerada para unha sesión:
E por último chega RSA-8192. A clave pública principal almacénase en forma cifrada (Base64 + RC4) na sección .data do ficheiro PE.
A clave RSA-8192 despois da decodificación base64 e o descifrado RC4 co contrasinal fuckav ten este aspecto.
Como resultado, todo o proceso de cifrado ten o seguinte aspecto:
Xera unha clave AES de 128 bits que se utilizará para cifrar todos os ficheiros.
Crea un IV para cada ficheiro.
Creando un par de claves para unha sesión RSA-2048.
Descifrado dunha clave RSA-8192 existente usando base64 e RC4.
Cifra o contido do ficheiro usando o algoritmo AES-128-CBC desde o primeiro paso.
Cifrado IV mediante clave pública RSA-2048 e codificación base64.
Engadindo un IV cifrado ao final de cada ficheiro cifrado.
Engadindo unha clave AES e unha clave privada de sesión RSA-2048 á configuración.
Datos de configuración descritos na sección Colección de información sobre o ordenador infectado están cifrados mediante a clave pública principal RSA-8192.
O ficheiro cifrado ten o seguinte aspecto:
Exemplo de ficheiros cifrados:
Recoller información sobre o ordenador infectado
O ransomware recolle claves para descifrar os ficheiros infectados, polo que o atacante pode crear un descifrador. Ademais, Nemty recolle datos do usuario como nome de usuario, nome do ordenador, perfil de hardware.
Chama ás funcións GetLogicalDrives(), GetFreeSpace(), GetDriveType() para recoller información sobre as unidades do ordenador infectado.
A información recollida gárdase nun ficheiro de configuración. Despois de decodificar a cadea, obtemos unha lista de parámetros no ficheiro de configuración:
Exemplo de configuración dun ordenador infectado:
O modelo de configuración pódese representar do seguinte xeito:
Nemty almacena os datos recollidos en formato JSON no ficheiro %USER%/_NEMTY_.nemty. FileID ten 7 caracteres e xerado aleatoriamente. Por exemplo: _NEMTY_tgdLYrd_.nemty. O FileID tamén se engade ao final do ficheiro cifrado.
Mensaxe de rescate
Despois de cifrar os ficheiros, o ficheiro _NEMTY_[FileID]-DECRYPT.txt aparece no escritorio co seguinte contido:
Ao final do ficheiro hai información cifrada sobre o ordenador infectado.
A continuación, Nemty tenta enviar os datos de configuración a 127.0.0.1:9050, onde espera atopar un proxy do navegador Tor que funcione. Non obstante, por defecto o proxy Tor escoita no porto 9150 e o porto 9050 é usado polo daemon Tor en Linux ou Expert Bundle en Windows. Así, non se envían datos ao servidor do atacante. Pola contra, o usuario pode descargar o ficheiro de configuración manualmente visitando o servizo de descifrado Tor a través da ligazón proporcionada na mensaxe de rescate.
Conectando ao proxy Tor:
HTTP GET crea unha solicitude a 127.0.0.1:9050/public/gate?data=
Aquí podes ver os portos TCP abertos que usa o proxy TORlocal:
Servizo de descifrado de Nemty na rede Tor:
Podes cargar unha foto cifrada (jpg, png, bmp) para probar o servizo de descifrado.
Despois diso, o atacante pide pagar un rescate. En caso de falta de pagamento dobrarase o prezo.
Conclusión
Polo momento, non é posible descifrar ficheiros cifrados por Nemty sen pagar un rescate. Esta versión de ransomware ten características comúns co ransomware Buran e o obsoleto GandCrab: compilación en Borland Delphi e imaxes co mesmo texto. Ademais, este é o primeiro cifrador que utiliza unha clave RSA de 8092 bits, o que, de novo, non ten ningún sentido, xa que unha clave de 1024 bits é suficiente para a protección. Finalmente, e curiosamente, tenta usar o porto incorrecto para o servizo proxy Tor local.
Con todo, solucións Copia de seguridade de Acronis и Acronis True Image evitar que o ransomware Nemty chegue aos ordenadores e datos dos usuarios, e os provedores poden protexer aos seus clientes Acronis Backup Cloud... Cheo Protección cibernética ofrece non só copia de seguridade, senón tamén protección mediante Acronis Active Protection, unha tecnoloxía especial baseada na intelixencia artificial e na heurística do comportamento que permite neutralizar malware aínda descoñecido.