Ntsib Nemty ransomware los ntawm qhov chaw fake PayPal
Ib tug tshiab ransomware hu ua Nemty tau tshwm sim nyob rau hauv lub network, uas yog supposedly tus successor rau GrandCrab los yog Buran. Cov malware feem ntau yog muab faib los ntawm lub vev xaib PayPal cuav thiab muaj ntau yam nthuav dav. Cov ntsiab lus hais txog yuav ua li cas ransomware no ua haujlwm nyob rau hauv kev txiav.
Tshiab Nemty ransomware nrhiav tau los ntawm cov neeg siv nao_sec Cuaj hlis 7, 2019. Cov malware tau muab faib los ntawm lub vev xaib disguised li PayPal, nws tseem ua tau rau ransomware nkag mus rau lub computer los ntawm RIG exploit kit. Cov neeg tawm tsam siv cov txheej txheem social engineering los yuam cov neeg siv kom khiav cov ntaub ntawv cashback.exe, uas nws tau liam tias tau txais los ntawm PayPal lub vev xaib. cov ntaub ntawv rau lub server. Yog li ntawd, tus neeg siv yuav tau upload cov ntaub ntawv encrypted rau Tor network nws tus kheej yog tias nws npaj siab them tus nqe txhiv thiab tos kom decryption los ntawm cov neeg tawm tsam.
Ntau qhov tseeb nthuav txog Nemty qhia tias nws tau tsim los ntawm tib neeg lossis los ntawm cybercriminals txuam nrog Buran thiab GrandCrab.
Zoo li GandCrab, Nemty muaj lub qe Easter - qhov txuas mus rau ib daim duab ntawm Lavxias Thawj Tswj Hwm Vladimir Putin nrog kev tso dag dag. Cov cuab yeej cuab tam GandCrab ransomware muaj cov duab nrog tib cov ntawv nyeem.
Cov lus artifacts ntawm ob qhov kev pab cuam taw qhia rau tib cov neeg sau lus Lavxias.
Qhov no yog thawj ransomware siv tus yuam sij 8092-ntsis RSA. Txawm hais tias tsis muaj qhov tseem ceeb hauv qhov no: tus yuam sij 1024-ntsis txaus los tiv thaiv kev nyiag.
Zoo li Buran, ransomware tau sau rau hauv Object Pascal thiab muab tso ua ke hauv Borland Delphi.
Kev soj ntsuam zoo li qub
Kev ua phem ntawm txoj cai phem tshwm sim hauv plaub theem. Thawj kauj ruam yog khiav cashback.exe, PE32 executable ntaub ntawv nyob rau hauv MS Windows nrog ib tug loj ntawm 1198936 bytes. Nws cov cai tau sau rau hauv Visual C ++ thiab muab tso ua ke thaum Lub Kaum Hli 14, 2013. Nws muaj cov ntaub ntawv khaws cia uas tau muab tshem tawm thaum koj khiav cashback.exe. Lub software siv lub tsev qiv ntawv Cabinet.dll thiab nws cov haujlwm FDICreate(), FDIDestroy() thiab lwm yam kom tau txais cov ntaub ntawv los ntawm .cab archive.
Tom qab unpacking lub archive, peb cov ntaub ntawv yuav tshwm sim.
Tom ntej no, temp.exe yog launched, ib tug PE32 executable ntaub ntawv nyob rau hauv MS Windows nrog ib tug loj ntawm 307200 bytes. Cov cai tau sau rau hauv Visual C ++ thiab ntim nrog MPRESS packer, ib lub hnab ntim khoom zoo ib yam li UPX.
Tom qab no, tus kab mob loads iron.txt rau hauv lub cim xeeb thiab rov pib dua li ironman.exe. Tom qab no, iron.txt yog deleted.
ironman.exe yog ib feem tseem ceeb ntawm NEMTY ransomware, uas encrypts cov ntaub ntawv ntawm lub computer cuam tshuam. Malware tsim mutex hu ua kev ntxub.
Thawj qhov nws ua yog txiav txim siab thaj chaw ntawm lub computer. Nemty qhib qhov browser thiab pom tus IP ntawm http://api.ipify.org. Ntawm qhov chaw api.db-ip.com/v2/free[IP]/countryName Lub teb chaws raug txiav txim los ntawm tus IP tau txais, thiab yog tias lub khoos phis tawj nyob hauv ib qho ntawm cov cheeb tsam tau teev tseg hauv qab no, kev ua tiav ntawm malware code nres:
Zog ntawm Guj kuj
Belarus
Ukraine
Kazakhstan
Tuam Tshoj
Feem ntau, cov neeg tsim khoom tsis xav kom nyiam cov koom haum tub ceev xwm hauv lawv lub teb chaws nyob, thiab yog li tsis txhob zais cov ntaub ntawv hauv lawv qhov "tsev" txoj cai.
Yog tias tus neeg raug tsim txom tus IP chaw nyob tsis nyob rau hauv cov npe saum toj no, ces tus kab mob encrypts tus neeg siv cov ntaub ntawv.
Ntxiv tus yuam sij AES thiab RSA-2048 kev sib kho tus yuam sij rau kev teeb tsa.
Cov ntaub ntawv teeb tsa tau piav qhia hauv ntu Sau cov ntaub ntawv hais txog lub khoos phis tawj uas muaj tus kab mob no tau encrypted siv tus yuam sij pej xeem tseem ceeb RSA-8192.
Cov ntaub ntawv encrypted zoo li no:
Piv txwv ntawm cov ntaub ntawv encrypted:
Sau cov ntaub ntawv hais txog tus kab mob lub computer
Lub ransomware sau cov yuam sij rau decrypt cov ntaub ntawv muaj kab mob, yog li tus neeg tawm tsam tuaj yeem tsim tus decryptor tiag tiag. Tsis tas li ntawd, Nemty sau cov neeg siv cov ntaub ntawv xws li username, computer name, hardware profile.
Nws hu rau GetLogicalDrives(), GetFreeSpace(), GetDriveType() ua haujlwm los sau cov ntaub ntawv hais txog cov tsav ntawm lub khoos phis tawj muaj kab mob.
Cov ntaub ntawv sau tau muab khaws cia rau hauv cov ntaub ntawv teeb tsa. Tom qab txiav txim siab txoj hlua, peb tau txais cov npe ntawm cov tsis muaj nyob hauv cov ntaub ntawv teeb tsa:
Nemty mam li sim xa cov ntaub ntawv teeb tsa mus rau 127.0.0.1:9050, qhov uas nws xav tias yuav pom qhov ua haujlwm Tor browser npe. Txawm li cas los xij, los ntawm lub neej ntawd Tor npe mloog ntawm qhov chaw nres nkoj 9150, thiab chaw nres nkoj 9050 yog siv los ntawm Tor daemon ntawm Linux lossis Kws Tshaj Lij Pob ntawm Windows. Yog li, tsis muaj cov ntaub ntawv xa mus rau tus neeg tua neeg lub server. Hloov chaw, tus neeg siv tuaj yeem rub tawm cov ntaub ntawv teeb tsa manually los ntawm kev mus saib Tor decryption kev pabcuam ntawm qhov txuas uas tau muab hauv cov lus nqe txhiv.
Txuas rau Tor npe:
HTTP GET tsim kev thov rau 127.0.0.1:9050/public/gate?data=
Ntawm no koj tuaj yeem pom qhov qhib TCP chaw nres nkoj uas siv los ntawm TORlocal npe:
Nemty decryption kev pabcuam ntawm Tor network:
Koj tuaj yeem xa cov duab encrypted (jpg, png, bmp) los kuaj qhov kev pabcuam decryption.
Tom qab no, tus neeg tawm tsam thov kom them tus nqe txhiv. Nyob rau hauv cov ntaub ntawv ntawm tsis them nyiaj tus nqi yog ob npaug.
xaus
Tam sim no, nws tsis tuaj yeem decrypt cov ntaub ntawv encrypted los ntawm Nemty yam tsis tau them tus nqe txhiv. Qhov version ntawm ransomware no muaj cov yam ntxwv zoo ib yam nrog Buran ransomware thiab cov GandCrab uas tsis muaj hnub nyoog: muab tso ua ke hauv Borland Delphi thiab cov duab nrog tib cov ntawv. Tsis tas li ntawd, qhov no yog thawj tus encryptor uas siv 8092-ntsis RSA tus yuam sij, uas, dua, tsis ua rau muaj kev nkag siab, txij li tus yuam sij 1024-ntsis txaus rau kev tiv thaiv. Thaum kawg, thiab nthuav, nws sim siv qhov chaw nres nkoj tsis ncaj ncees rau Tor cov kev pabcuam hauv zos.
Txawm li cas los xij, kev daws teeb meem Acronis thaub qab ΠΈ Acronis Tseeb Duab tiv thaiv Nemty ransomware los ntawm kev ncav cuag cov neeg siv PCs thiab cov ntaub ntawv, thiab cov neeg muab kev pabcuam tuaj yeem tiv thaiv lawv cov neeg siv khoom Acronis Backup Huab... puv Cyber ββββkev tiv thaiv muab tsis tau tsuas yog thaub qab, tab sis kuj tiv thaiv siv Acronis Active Kev Tiv Thaiv, tshwj xeeb thev naus laus zis raws li kev txawj ntse txawj ntse thiab kev coj tus cwj pwm uas tso cai rau koj los cuam tshuam txawm tias tseem tsis tau paub txog malware.