Ua ʻike ʻia kahi ransomware hou i kapa ʻia ʻo Nemty ma ka pūnaewele, ʻo ia ka mea i manaʻo ʻia ʻo ia ka hope o GrandCrab a i ʻole Buran. Hāʻawi nui ʻia ka malware mai ka pūnaewele PayPal hoʻopunipuni a he nui nā hiʻohiʻona hoihoi. ʻO nā kikoʻī e pili ana i ka hana ʻana o kēia ransomware ma lalo o ka ʻoki.
Ua ʻike ʻia ʻo Nemty ransomware hou e ka mea hoʻohana Sepatemaba 7, 2019. Ua hoʻolaha ʻia ka malware ma o kahi pūnaewele , hiki nō hoʻi i ka ransomware ke komo i kahi kamepiula ma o ka RIG exploit kit. Ua hoʻohana ka poʻe hoʻouka kaua i nā ʻano hana ʻenehana e koi ai i ka mea hoʻohana e holo i ka faila cashback.exe, i ʻōlelo ʻia ua loaʻa iā ia mai ka pūnaewele PayPal. ʻikepili i ke kikowaena. No laila, pono ka mea hoʻohana e hoʻouka i nā faila i hoʻopili ʻia i ka pūnaewele Tor iā ia iho inā manaʻo ʻo ia e uku i ka pānaʻi a kali i ka decryption mai nā mea hoʻouka.
Manaʻo kekahi mau mea hoihoi e pili ana iā Nemty i hoʻomohala ʻia e ka poʻe like a i ʻole e nā cybercriminals pili pū me Buran a me GrandCrab.
- E like me GandCrab, loaʻa iā Nemty kahi hua Easter - kahi loulou i ke kiʻi o ka Pelekikena Lūkini Vladimir Putin me kahi hoʻohenehene ʻino. He kiʻi ko GandCrab ransomware me ka kikokikona like.
- Ke kuhikuhi nei nā mea hana ʻōlelo o nā papahana ʻelua i nā mea kākau ʻōlelo Lūkini like.
- ʻO kēia ka ransomware mua e hoʻohana i kahi kī RSA 8092-bit. ʻOiai ʻaʻohe kumu o kēia: ua lawa ke kī 1024-bit e pale aku i ka hacking.
- E like me Buran, ua kākau ʻia ka ransomware ma Object Pascal a hōʻuluʻulu ʻia ma Borland Delphi.
ʻIkepili paʻa
Loaʻa ka hoʻokō ʻana i nā code malicious i nā pae ʻehā. ʻO ka hana mua e holo i ka cashback.exe, kahi faila hiki ke hoʻokō ʻia PE32 ma lalo o MS Windows me ka nui o 1198936 bytes. Ua kākau ʻia kāna code ma Visual C ++ a ua hōʻuluʻulu ʻia ma ʻOkakopa 14, 2013. Loaʻa iā ia kahi waihona i wehe ʻia i ka wā e holo ai ʻoe i ka cashback.exe. Hoʻohana ka polokalamu i ka waihona Cabinet.dll a me kāna mau hana FDICreate(), FDIDestroy() a me nā mea ʻē aʻe e kiʻi i nā faila mai ka waihona .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Ma hope o ka wehe ʻana i ka waihona, ʻike ʻia ʻekolu faila.
A laila, hoʻokuʻu ʻia ka temp.exe, kahi faila hoʻokō PE32 ma lalo o MS Windows me ka nui o 307200 bytes. Ua kākau ʻia ke code ma Visual C++ a hoʻopili ʻia me ka MPRESS packer, kahi packer e like me UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
ʻO ka hana aʻe ʻo ironman.exe. I ka wā i hoʻokuʻu ʻia ai, wehe ʻo temp.exe i ka ʻikepili i hoʻopili ʻia i ka temp a kapa hou iā ia i ironman.exe, kahi faila 32 byte PE544768. Hoʻopili ʻia ke code ma Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
ʻO ka hana hope e hoʻomaka hou i ka faila ironman.exe. I ka wā holo, hoʻololi ia i kāna code a holo iā ia iho mai ka hoʻomanaʻo. He mea ʻino kēia mana o ironman.exe a nona ke kuleana no ka hoʻopunipuni.
Hoʻouka kaua
I kēia manawa, hoʻolaha ʻia ka Nemty ransomware ma o ka pūnaewele pp-back.info.
Hiki ke nānā 'ia ke kaulahao piha o ka ma'i ma pahu one.
Kāu Mau Koho Paʻamau
Cashback.exe - ka hoʻomaka o ka hoʻouka kaua. E like me ka mea i ʻōlelo mua ʻia, wehe ʻo cashback.exe i ka faila .cab i loko. A laila hana ʻo ia i kahi waihona TMP4351$.TMP o ke ʻano %TEMP%IXxxx.TMP, kahi helu xxx mai 001 a i 999.
A laila, hoʻokomo ʻia kahi kī hoʻopaʻa inoa, e like me kēia:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Hoʻohana ʻia e holoi i nā faila i wehe ʻole ʻia. ʻO ka hope, hoʻomaka ka cashback.exe i ke kaʻina hana temp.exe.
ʻO Temp.exe ka lua o ka pae ma ke kaulahao maʻi
ʻO kēia ke kaʻina hana i hoʻokumu ʻia e ka faila cashback.exe, ka lua o ka hana o ka hoʻokō virus. Ho'āʻo ia e hoʻoiho iā AutoHotKey, he mea hana no ka holo ʻana i nā palapala ma Windows, a holo i ka palapala WindowSpy.ahk aia ma ka ʻāpana kumu waiwai o ka faila PE.
Hoʻokaʻawale ka palapala WindowSpy.ahk i ka faila temp ma ironman.exe me ka hoʻohana ʻana i ka RC4 algorithm a me ka ʻōlelo huna IwantAcake. Loaʻa ke kī mai ka ʻōlelo huna me ka hoʻohana ʻana i ka algorithm hashing MD5.
temp.exe a laila kāhea i ke kaʻina hana ironman.exe.
Ironman.exe - kaʻanuʻu ʻekolu
Heluhelu ʻo Ironman.exe i nā mea i loko o ka faila iron.bmp a hana i kahi faila iron.txt me kahi cryptolocker e hoʻomaka ʻia aʻe.
Ma hope o kēia, hoʻouka ka virus i iron.txt i ka hoʻomanaʻo a hoʻomaka hou iā ironman.exe. Ma hope o kēia, holoi ʻia ka iron.txt.
ʻO ironman.exe ka ʻāpana nui o ka ransomware NEMTY, kahi e hoʻopili ai i nā faila ma ka kamepiula i hoʻopilikia ʻia. Hoʻokumu ʻo Malware i kahi mutex i kapa ʻia he inaina.
ʻO ka mea mua e hana ai ʻo ia ka hoʻoholo ʻana i ka wahi ʻāina o ke kamepiula. Wehe ʻo Nemty i ka polokalamu kele pūnaewele a ʻike i ka IP ma . Ma ka pūnaewele [IP]/countryName Hoʻoholo ʻia ka ʻāina mai ka IP i loaʻa, a inā aia ke kamepiula ma kekahi o nā ʻāpana i helu ʻia ma lalo nei, pau ka hoʻokō ʻana i ka code malware:
- Rusia
- Belarus
- Ukraine
- aneea oneiaey
- Tajikistan
ʻO ka mea nui, ʻaʻole makemake nā mea hoʻomohala e huki i ka manaʻo o nā keʻena hoʻokō kānāwai ma ko lākou mau ʻāina i noho ai, a no laila ʻaʻole e hoʻopili i nā faila ma kā lākou "home" mana.
Inā ʻaʻole pili ka helu IP o ka mea i pepehi ʻia i ka papa inoa ma luna, a laila hoʻopili ka virus i ka ʻike o ka mea hoʻohana.
No ka pale ʻana i ka hoʻihoʻi ʻana i ka faila, holoi ʻia kā lākou mau kope:
A laila hana ia i kahi papa inoa o nā faila a me nā waihona ʻaʻole e hoʻopili ʻia, a me kahi papa inoa o nā faila.
- makani
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- etc
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- ʻoneki.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- ʻikepili papahana
- ʻikepili app
- osoft
- Nā waihona maʻamau
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Obfuscation
No ka hūnā i nā URL a me ka ʻikepili hoʻonohonoho hoʻopili ʻia, hoʻohana ʻo Nemty i kahi base64 a me RC4 encoding algorithm me ka huaʻōlelo fuckav.
ʻO ke kaʻina hana decryption me CryptStringToBinary penei
Hoʻopāʻālua
Ke hoʻohana nei ʻo Nemty i ka hoʻopunipuni ʻekolu-papa:
- AES-128-CBC no nā faila. Hana ʻia ke kī 128-bit AES a hoʻohana like ʻia no nā faila āpau. Mālama ʻia ia ma kahi faila hoʻonohonoho ma ka kamepiula o ka mea hoʻohana. Hoʻokumu ʻia ka IV no kēlā me kēia faila a mālama ʻia i kahi faila i hoʻopili ʻia.
- RSA-2048 no ka hoʻopili ʻana i ka faila IV. Hoʻokumu ʻia kahi pālua kī no ke kau. Mālama ʻia ke kī pilikino no ke kau ma kahi faila hoʻonohonoho ma ka kamepiula o ka mea hoʻohana.
- RSA-8192. Hoʻokumu ʻia ke kī lehulehu master i loko o ka papahana a hoʻohana ʻia e hoʻopili i ka faila hoʻonohonoho, kahi e mālama ai i ke kī AES a me ke kī huna no ka hālāwai RSA-2048.
- Hoʻopuka mua ʻo Nemty i 32 bytes o ka ʻikepili maʻamau. Hoʻohana ʻia nā 16 bytes mua e like me ke kī AES-128-CBC.
ʻO ka algorithm encryption ʻelua ʻo RSA-2048. Hoʻokumu ʻia ka lua kī e ka CryptGenKey() hana a lawe ʻia mai e ka CryptImportKey() hana.
Ke hana ʻia ka pālua kī no ke kau, lawe ʻia ke kī lehulehu i loko o ka MS Cryptographic Service Provider.
He laʻana o kahi kī lehulehu i hana ʻia no kahi kau:
A laila, lawe ʻia ke kī pilikino i ka CSP.
He laʻana o kahi kī pilikino i hana ʻia no kahi kau:
A hiki mai ka RSA-8192 hope loa. Mālama ʻia ke kī lehulehu nui ma ke ʻano i hoʻopili ʻia (Base64 + RC4) ma ka ʻāpana .data o ka faila PE.
ʻO ke kī RSA-8192 ma hope o ka decoding base64 a me ka decryption RC4 me ka ʻōlelo huna fuckav e like me kēia.
ʻO ka hopena, ua like kēia kaʻina hana hoʻopunipuni holoʻokoʻa:
- E hana i kahi kī AES 128-bit e hoʻohana ʻia e hoʻopili i nā faila āpau.
- E hana i IV no kēlā me kēia faila.
- Ke hana ʻana i pālua kī no kahi hālāwai RSA-2048.
- ʻO ka wehe ʻana i kahi kī RSA-8192 e hoʻohana ana i ka base64 a me RC4.
- Hoʻopili i nā waihona waihona me ka hoʻohana ʻana i ka algorithm AES-128-CBC mai ka hana mua.
- IV encryption me ka RSA-2048 kī lehulehu a me ka base64 encoding.
- Hoʻohui i kahi IV i hoʻopili ʻia i ka hopena o kēlā me kēia faila i hoʻopili ʻia.
- Hoʻohui i kahi kī AES a me kahi kī pilikino RSA-2048 i ka config.
- ʻIkepili hoʻonohonoho i wehewehe ʻia ma ka ʻāpana e pili ana i ka lolouila i hoʻopili ʻia me ka hoʻohana ʻana i ke kī lehulehu RSA-8192.
- Penei ka waihona i hoʻopili ʻia:
Ka laʻana o nā faila i hoʻopili ʻia:
ʻOhi ʻike e pili ana i ka lolouila maʻi
ʻOhi ka ransomware i nā kī e wehe i nā faila i hoʻopili ʻia, no laila hiki i ka mea hoʻouka ke hana maoli i kahi decryptor. Eia kekahi, hōʻiliʻili ʻo Nemty i ka ʻikepili mea hoʻohana e like me ka inoa inoa, ka inoa kamepiula, ka ʻike lako.
Kāhea ʻo ia i nā hana GetLogicalDrives(), GetFreeSpace(), GetDriveType() no ka hōʻiliʻili ʻana i ka ʻike e pili ana i nā drive o ka lolouila maʻi.
Mālama ʻia ka ʻike i hōʻiliʻili ʻia ma kahi faila hoʻonohonoho. Ma ka wehe ʻana i ke kaula, loaʻa iā mākou kahi papa inoa o nā ʻāpana i ka faila hoʻonohonoho:
Ka laʻana hoʻonohonoho o kahi kamepiula i hoʻopilikia ʻia:
Hiki ke hōʻike ʻia ke kumu hoʻonohonoho hoʻonohonoho penei:
{"General": {"IP":"[IP]", "Country":"[Country]", "Computer Name":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "kī":"[ki]", "pr_key":"[pr_key]
Mālama ʻo Nemty i ka ʻikepili i hōʻiliʻili ʻia ma ke ʻano JSON ma ka faila %USER%/_NEMTY_.nemty. ʻO FileID he 7 mau huaʻōlelo ka lōʻihi a hana ʻole ʻia. No ka laʻana: _NEMTY_tgdLYrd_.nemty. Hoʻopili pū ʻia ka FileID i ka hope o ka faila i hoʻopili ʻia.
Ka leka ho'ōla
Ma hope o ka hoʻopili ʻana i nā faila, ʻike ʻia ka faila _NEMTY_[FileID]-DECRYPT.txt ma ka pākaukau me kēia ʻike:
Ma ka hope o ka faila aia ka ʻike i hoʻopili ʻia e pili ana i ka kamepiula i hoʻopili ʻia.
Kūkākūkā pūnaewele
Hoʻoiho ke kaʻina hana ironman.exe i ka hāʻawi ʻana i ka polokalamu kele Tor mai ka helu wahi a ho'āʻo e hoʻokomo.
A laila ho'āʻo ʻo Nemty e hoʻouna i ka ʻikepili hoʻonohonoho i 127.0.0.1:9050, kahi e manaʻo ai e loaʻa kahi mea hoʻohana Tor browser proxy. Eia naʻe, ma ka maʻamau, hoʻolohe ka Tor proxy ma ke awa 9150, a hoʻohana ʻia ka port 9050 e ka Tor daemon ma Linux a i ʻole Expert Bundle ma Windows. No laila, ʻaʻohe ʻikepili i hoʻouna ʻia i ke kikowaena o ka mea hoʻouka. Akā, hiki i ka mea hoʻohana ke hoʻoiho lima i ka faila hoʻonohonoho ma ke kipa ʻana i ka lawelawe decryption Tor ma o ka loulou i hāʻawi ʻia i ka leka hoʻouku.
Ke hoʻohui nei i Tor proxy:
Hana ʻo HTTP GET i kahi noi i 127.0.0.1:9050/public/gate?data=
Maanei hiki iā ʻoe ke ʻike i nā awa TCP wehe i hoʻohana ʻia e ka TORlocal proxy:
ʻO ka lawelawe decryption Nemty ma ka pūnaewele Tor:
Hiki iā ʻoe ke hoʻouka i kahi kiʻi i hoʻopili ʻia (jpg, png, bmp) e hoʻāʻo i ka lawelawe decryption.
Ma hope o kēia, noi ka mea hoʻouka e uku i kahi pānaʻi. Inā ʻaʻole i uku ʻia, ua pālua ʻia ke kumukūʻai.
hopena
I kēia manawa, ʻaʻole hiki ke hoʻokaʻawale i nā faila i hoʻopili ʻia e Nemty me ka ʻole e uku i kahi pānaʻi. He mau hiʻohiʻona maʻamau kēia mana o ka ransomware me ka Buran ransomware a me ka GandCrab kahiko: ka hui ʻana ma Borland Delphi a me nā kiʻi me ka kikokikona like. Eia kekahi, ʻo kēia ka mea hoʻopunipuni mua e hoʻohana ana i kahi kī RSA 8092-bit, ʻaʻole ia he manaʻo, no ka mea, ua lawa ke kī 1024-bit no ka pale. ʻO ka hope, a me ka hoihoi, hoʻāʻo ʻo ia e hoʻohana i ke awa hewa no ka lawelawe proxy Tor kūloko.
Eia naʻe, nā hoʻonā и pale i ka Nemty ransomware mai ka hiki ʻana i nā PC hoʻohana a me ka ʻikepili, a hiki i nā mea hoʻolako ke pale aku i kā lākou mea kūʻai aku me ... Piha ʻAʻole hāʻawi wale i ke kākoʻo, akā hoʻohana pū kekahi i ka hoʻohana , he ʻenehana kūikawā i hoʻokumu ʻia i ka naʻauao hana a me ka heuristic behavio e hiki ai iā ʻoe ke hoʻopau i ka malware ʻike ʻole ʻia.
Source: www.habr.com