E hālāwai me ka Nemty ransomware mai ka pūnaewele PayPal hoʻopunipuni
Ua ʻike ʻia kahi ransomware hou i kapa ʻia ʻo Nemty ma ka pūnaewele, ʻo ia ka mea i manaʻo ʻia ʻo ia ka hope o GrandCrab a i ʻole Buran. Hāʻawi nui ʻia ka malware mai ka pūnaewele PayPal hoʻopunipuni a he nui nā hiʻohiʻona hoihoi. ʻO nā kikoʻī e pili ana i ka hana ʻana o kēia ransomware ma lalo o ka ʻoki.
Ua ʻike ʻia ʻo Nemty ransomware hou e ka mea hoʻohana nao_sec Sepatemaba 7, 2019. Ua hoʻolaha ʻia ka malware ma o kahi pūnaewele hoʻopili ʻia e like me PayPal, hiki nō hoʻi i ka ransomware ke komo i kahi kamepiula ma o ka RIG exploit kit. Ua hoʻohana ka poʻe hoʻouka kaua i nā ʻano hana ʻenehana e koi ai i ka mea hoʻohana e holo i ka faila cashback.exe, i ʻōlelo ʻia ua loaʻa iā ia mai ka pūnaewele PayPal. ʻikepili i ke kikowaena. No laila, pono ka mea hoʻohana e hoʻouka i nā faila i hoʻopili ʻia i ka pūnaewele Tor iā ia iho inā manaʻo ʻo ia e uku i ka pānaʻi a kali i ka decryption mai nā mea hoʻouka.
Manaʻo kekahi mau mea hoihoi e pili ana iā Nemty i hoʻomohala ʻia e ka poʻe like a i ʻole e nā cybercriminals pili pū me Buran a me GrandCrab.
E like me GandCrab, loaʻa iā Nemty kahi hua Easter - kahi loulou i ke kiʻi o ka Pelekikena Lūkini Vladimir Putin me kahi hoʻohenehene ʻino. He kiʻi ko GandCrab ransomware me ka kikokikona like.
Ke kuhikuhi nei nā mea hana ʻōlelo o nā papahana ʻelua i nā mea kākau ʻōlelo Lūkini like.
ʻO kēia ka ransomware mua e hoʻohana i kahi kī RSA 8092-bit. ʻOiai ʻaʻohe kumu o kēia: ua lawa ke kī 1024-bit e pale aku i ka hacking.
E like me Buran, ua kākau ʻia ka ransomware ma Object Pascal a hōʻuluʻulu ʻia ma Borland Delphi.
ʻIkepili paʻa
Loaʻa ka hoʻokō ʻana i nā code malicious i nā pae ʻehā. ʻO ka hana mua e holo i ka cashback.exe, kahi faila hiki ke hoʻokō ʻia PE32 ma lalo o MS Windows me ka nui o 1198936 bytes. Ua kākau ʻia kāna code ma Visual C ++ a ua hōʻuluʻulu ʻia ma ʻOkakopa 14, 2013. Loaʻa iā ia kahi waihona i wehe ʻia i ka wā e holo ai ʻoe i ka cashback.exe. Hoʻohana ka polokalamu i ka waihona Cabinet.dll a me kāna mau hana FDICreate(), FDIDestroy() a me nā mea ʻē aʻe e kiʻi i nā faila mai ka waihona .cab.
Ma hope o ka wehe ʻana i ka waihona, ʻike ʻia ʻekolu faila.
A laila, hoʻokuʻu ʻia ka temp.exe, kahi faila hoʻokō PE32 ma lalo o MS Windows me ka nui o 307200 bytes. Ua kākau ʻia ke code ma Visual C++ a hoʻopili ʻia me ka MPRESS packer, kahi packer e like me UPX.
ʻO ka hana aʻe ʻo ironman.exe. I ka wā i hoʻokuʻu ʻia ai, wehe ʻo temp.exe i ka ʻikepili i hoʻopili ʻia i ka temp a kapa hou iā ia i ironman.exe, kahi faila 32 byte PE544768. Hoʻopili ʻia ke code ma Borland Delphi.
ʻO ka hana hope e hoʻomaka hou i ka faila ironman.exe. I ka wā holo, hoʻololi ia i kāna code a holo iā ia iho mai ka hoʻomanaʻo. He mea ʻino kēia mana o ironman.exe a nona ke kuleana no ka hoʻopunipuni.
Hoʻouka kaua
I kēia manawa, hoʻolaha ʻia ka Nemty ransomware ma o ka pūnaewele pp-back.info.
Hiki ke nānā 'ia ke kaulahao piha o ka ma'i ma app.any.run pahu one.
Kāu Mau Koho Paʻamau
Cashback.exe - ka hoʻomaka o ka hoʻouka kaua. E like me ka mea i ʻōlelo mua ʻia, wehe ʻo cashback.exe i ka faila .cab i loko. A laila hana ʻo ia i kahi waihona TMP4351$.TMP o ke ʻano %TEMP%IXxxx.TMP, kahi helu xxx mai 001 a i 999.
A laila, hoʻokomo ʻia kahi kī hoʻopaʻa inoa, e like me kēia:
Hoʻohana ʻia e holoi i nā faila i wehe ʻole ʻia. ʻO ka hope, hoʻomaka ka cashback.exe i ke kaʻina hana temp.exe.
ʻO Temp.exe ka lua o ka pae ma ke kaulahao maʻi
ʻO kēia ke kaʻina hana i hoʻokumu ʻia e ka faila cashback.exe, ka lua o ka hana o ka hoʻokō virus. Ho'āʻo ia e hoʻoiho iā AutoHotKey, he mea hana no ka holo ʻana i nā palapala ma Windows, a holo i ka palapala WindowSpy.ahk aia ma ka ʻāpana kumu waiwai o ka faila PE.
Hoʻokaʻawale ka palapala WindowSpy.ahk i ka faila temp ma ironman.exe me ka hoʻohana ʻana i ka RC4 algorithm a me ka ʻōlelo huna IwantAcake. Loaʻa ke kī mai ka ʻōlelo huna me ka hoʻohana ʻana i ka algorithm hashing MD5.
temp.exe a laila kāhea i ke kaʻina hana ironman.exe.
Ironman.exe - kaʻanuʻu ʻekolu
Heluhelu ʻo Ironman.exe i nā mea i loko o ka faila iron.bmp a hana i kahi faila iron.txt me kahi cryptolocker e hoʻomaka ʻia aʻe.
Ma hope o kēia, hoʻouka ka virus i iron.txt i ka hoʻomanaʻo a hoʻomaka hou iā ironman.exe. Ma hope o kēia, holoi ʻia ka iron.txt.
ʻO ironman.exe ka ʻāpana nui o ka ransomware NEMTY, kahi e hoʻopili ai i nā faila ma ka kamepiula i hoʻopilikia ʻia. Hoʻokumu ʻo Malware i kahi mutex i kapa ʻia he inaina.
ʻO ka mea mua e hana ai ʻo ia ka hoʻoholo ʻana i ka wahi ʻāina o ke kamepiula. Wehe ʻo Nemty i ka polokalamu kele pūnaewele a ʻike i ka IP ma http://api.ipify.org. Ma ka pūnaewele api.db-ip.com/v2/free[IP]/countryName Hoʻoholo ʻia ka ʻāina mai ka IP i loaʻa, a inā aia ke kamepiula ma kekahi o nā ʻāpana i helu ʻia ma lalo nei, pau ka hoʻokō ʻana i ka code malware:
Rusia
Belarus
Ukraine
aneea oneiaey
Tajikistan
ʻO ka mea nui, ʻaʻole makemake nā mea hoʻomohala e huki i ka manaʻo o nā keʻena hoʻokō kānāwai ma ko lākou mau ʻāina i noho ai, a no laila ʻaʻole e hoʻopili i nā faila ma kā lākou "home" mana.
Inā ʻaʻole pili ka helu IP o ka mea i pepehi ʻia i ka papa inoa ma luna, a laila hoʻopili ka virus i ka ʻike o ka mea hoʻohana.
No ka pale ʻana i ka hoʻihoʻi ʻana i ka faila, holoi ʻia kā lākou mau kope:
A laila hana ia i kahi papa inoa o nā faila a me nā waihona ʻaʻole e hoʻopili ʻia, a me kahi papa inoa o nā faila.
makani
$RECYCLE.BIN
rsa
NTDETECT.COM
etc
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
ʻoneki.ini
SYS CONFIG.
BOOTSECT.BAK
bootmgr
ʻikepili papahana
ʻikepili app
osoft
Nā waihona maʻamau
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Obfuscation
No ka hūnā i nā URL a me ka ʻikepili hoʻonohonoho hoʻopili ʻia, hoʻohana ʻo Nemty i kahi base64 a me RC4 encoding algorithm me ka huaʻōlelo fuckav.
ʻO ke kaʻina hana decryption me CryptStringToBinary penei
Hoʻopāʻālua
Ke hoʻohana nei ʻo Nemty i ka hoʻopunipuni ʻekolu-papa:
AES-128-CBC no nā faila. Hana ʻia ke kī 128-bit AES a hoʻohana like ʻia no nā faila āpau. Mālama ʻia ia ma kahi faila hoʻonohonoho ma ka kamepiula o ka mea hoʻohana. Hoʻokumu ʻia ka IV no kēlā me kēia faila a mālama ʻia i kahi faila i hoʻopili ʻia.
RSA-2048 no ka hoʻopili ʻana i ka faila IV. Hoʻokumu ʻia kahi pālua kī no ke kau. Mālama ʻia ke kī pilikino no ke kau ma kahi faila hoʻonohonoho ma ka kamepiula o ka mea hoʻohana.
RSA-8192. Hoʻokumu ʻia ke kī lehulehu master i loko o ka papahana a hoʻohana ʻia e hoʻopili i ka faila hoʻonohonoho, kahi e mālama ai i ke kī AES a me ke kī huna no ka hālāwai RSA-2048.
Hoʻopuka mua ʻo Nemty i 32 bytes o ka ʻikepili maʻamau. Hoʻohana ʻia nā 16 bytes mua e like me ke kī AES-128-CBC.
ʻO ka algorithm encryption ʻelua ʻo RSA-2048. Hoʻokumu ʻia ka lua kī e ka CryptGenKey() hana a lawe ʻia mai e ka CryptImportKey() hana.
Ke hana ʻia ka pālua kī no ke kau, lawe ʻia ke kī lehulehu i loko o ka MS Cryptographic Service Provider.
He laʻana o kahi kī lehulehu i hana ʻia no kahi kau:
A laila, lawe ʻia ke kī pilikino i ka CSP.
He laʻana o kahi kī pilikino i hana ʻia no kahi kau:
A hiki mai ka RSA-8192 hope loa. Mālama ʻia ke kī lehulehu nui ma ke ʻano i hoʻopili ʻia (Base64 + RC4) ma ka ʻāpana .data o ka faila PE.
ʻO ke kī RSA-8192 ma hope o ka decoding base64 a me ka decryption RC4 me ka ʻōlelo huna fuckav e like me kēia.
ʻO ka hopena, ua like kēia kaʻina hana hoʻopunipuni holoʻokoʻa:
E hana i kahi kī AES 128-bit e hoʻohana ʻia e hoʻopili i nā faila āpau.
E hana i IV no kēlā me kēia faila.
Ke hana ʻana i pālua kī no kahi hālāwai RSA-2048.
ʻO ka wehe ʻana i kahi kī RSA-8192 e hoʻohana ana i ka base64 a me RC4.
Hoʻopili i nā waihona waihona me ka hoʻohana ʻana i ka algorithm AES-128-CBC mai ka hana mua.
IV encryption me ka RSA-2048 kī lehulehu a me ka base64 encoding.
Hoʻohui i kahi IV i hoʻopili ʻia i ka hopena o kēlā me kēia faila i hoʻopili ʻia.
Hoʻohui i kahi kī AES a me kahi kī pilikino RSA-2048 i ka config.
ʻIkepili hoʻonohonoho i wehewehe ʻia ma ka ʻāpana Hōʻiliʻiliʻike e pili ana i ka lolouila i hoʻopili ʻia me ka hoʻohana ʻana i ke kī lehulehu RSA-8192.
Penei ka waihona i hoʻopili ʻia:
Ka laʻana o nā faila i hoʻopili ʻia:
ʻOhi ʻike e pili ana i ka lolouila maʻi
ʻOhi ka ransomware i nā kī e wehe i nā faila i hoʻopili ʻia, no laila hiki i ka mea hoʻouka ke hana maoli i kahi decryptor. Eia kekahi, hōʻiliʻili ʻo Nemty i ka ʻikepili mea hoʻohana e like me ka inoa inoa, ka inoa kamepiula, ka ʻike lako.
Kāhea ʻo ia i nā hana GetLogicalDrives(), GetFreeSpace(), GetDriveType() no ka hōʻiliʻili ʻana i ka ʻike e pili ana i nā drive o ka lolouila maʻi.
Mālama ʻia ka ʻike i hōʻiliʻili ʻia ma kahi faila hoʻonohonoho. Ma ka wehe ʻana i ke kaula, loaʻa iā mākou kahi papa inoa o nā ʻāpana i ka faila hoʻonohonoho:
Ka laʻana hoʻonohonoho o kahi kamepiula i hoʻopilikia ʻia:
Hiki ke hōʻike ʻia ke kumu hoʻonohonoho hoʻonohonoho penei:
Mālama ʻo Nemty i ka ʻikepili i hōʻiliʻili ʻia ma ke ʻano JSON ma ka faila %USER%/_NEMTY_.nemty. ʻO FileID he 7 mau huaʻōlelo ka lōʻihi a hana ʻole ʻia. No ka laʻana: _NEMTY_tgdLYrd_.nemty. Hoʻopili pū ʻia ka FileID i ka hope o ka faila i hoʻopili ʻia.
Ka leka ho'ōla
Ma hope o ka hoʻopili ʻana i nā faila, ʻike ʻia ka faila _NEMTY_[FileID]-DECRYPT.txt ma ka pākaukau me kēia ʻike:
Ma ka hope o ka faila aia ka ʻike i hoʻopili ʻia e pili ana i ka kamepiula i hoʻopili ʻia.
A laila ho'āʻo ʻo Nemty e hoʻouna i ka ʻikepili hoʻonohonoho i 127.0.0.1:9050, kahi e manaʻo ai e loaʻa kahi mea hoʻohana Tor browser proxy. Eia naʻe, ma ka maʻamau, hoʻolohe ka Tor proxy ma ke awa 9150, a hoʻohana ʻia ka port 9050 e ka Tor daemon ma Linux a i ʻole Expert Bundle ma Windows. No laila, ʻaʻohe ʻikepili i hoʻouna ʻia i ke kikowaena o ka mea hoʻouka. Akā, hiki i ka mea hoʻohana ke hoʻoiho lima i ka faila hoʻonohonoho ma ke kipa ʻana i ka lawelawe decryption Tor ma o ka loulou i hāʻawi ʻia i ka leka hoʻouku.
Ke hoʻohui nei i Tor proxy:
Hana ʻo HTTP GET i kahi noi i 127.0.0.1:9050/public/gate?data=
Maanei hiki iā ʻoe ke ʻike i nā awa TCP wehe i hoʻohana ʻia e ka TORlocal proxy:
ʻO ka lawelawe decryption Nemty ma ka pūnaewele Tor:
Hiki iā ʻoe ke hoʻouka i kahi kiʻi i hoʻopili ʻia (jpg, png, bmp) e hoʻāʻo i ka lawelawe decryption.
Ma hope o kēia, noi ka mea hoʻouka e uku i kahi pānaʻi. Inā ʻaʻole i uku ʻia, ua pālua ʻia ke kumukūʻai.
hopena
I kēia manawa, ʻaʻole hiki ke hoʻokaʻawale i nā faila i hoʻopili ʻia e Nemty me ka ʻole e uku i kahi pānaʻi. He mau hiʻohiʻona maʻamau kēia mana o ka ransomware me ka Buran ransomware a me ka GandCrab kahiko: ka hui ʻana ma Borland Delphi a me nā kiʻi me ka kikokikona like. Eia kekahi, ʻo kēia ka mea hoʻopunipuni mua e hoʻohana ana i kahi kī RSA 8092-bit, ʻaʻole ia he manaʻo, no ka mea, ua lawa ke kī 1024-bit no ka pale. ʻO ka hope, a me ka hoihoi, hoʻāʻo ʻo ia e hoʻohana i ke awa hewa no ka lawelawe proxy Tor kūloko.
Eia naʻe, nā hoʻonā Papaʻa Acronis и Hōʻike kiʻiʻo Acronis pale i ka Nemty ransomware mai ka hiki ʻana i nā PC hoʻohana a me ka ʻikepili, a hiki i nā mea hoʻolako ke pale aku i kā lākou mea kūʻai aku me Acronis Backup Cloud... Piha Palekana Cyber ʻAʻole hāʻawi wale i ke kākoʻo, akā hoʻohana pū kekahi i ka hoʻohana Acronis Active Protection, he ʻenehana kūikawā i hoʻokumu ʻia i ka naʻauao hana a me ka heuristic behavio e hiki ai iā ʻoe ke hoʻopau i ka malware ʻike ʻole ʻia.