Ransomware baru bernama Nemty telah muncul di jaringan, yang diduga merupakan penerus GrandCrab atau Buran. Malware ini sebagian besar didistribusikan dari situs PayPal palsu dan memiliki sejumlah fitur menarik. Detail tentang cara kerja ransomware ini masih dalam tahap penyempurnaan.
Ransomware Nemty baru ditemukan oleh pengguna 7 September 2019. Malware tersebut didistribusikan melalui sebuah situs web , ransomware juga mungkin menembus komputer melalui kit eksploitasi RIG. Para penyerang menggunakan metode rekayasa sosial untuk memaksa pengguna menjalankan file cashback.exe, yang diduga ia terima dari situs web PayPal. Menariknya juga bahwa Nemty menentukan port yang salah untuk layanan proxy lokal Tor, yang mencegah pengiriman malware. data ke server. Oleh karena itu, pengguna harus mengunggah sendiri file terenkripsi ke jaringan Tor jika ia ingin membayar uang tebusan dan menunggu dekripsi dari penyerang.
Beberapa fakta menarik tentang Nemty menunjukkan bahwa Nemty dikembangkan oleh orang yang sama atau oleh penjahat dunia maya yang terkait dengan Buran dan GrandCrab.
- Seperti GandCrab, Nemty memiliki telur Paskah - tautan ke foto Presiden Rusia Vladimir Putin dengan lelucon cabul. Ransomware GandCrab lama memiliki gambar dengan teks yang sama.
- Artefak bahasa dari kedua program menunjuk pada penulis berbahasa Rusia yang sama.
- Ini adalah ransomware pertama yang menggunakan kunci RSA 8092-bit. Meskipun ini tidak masuk akal: kunci 1024-bit sudah cukup untuk melindungi dari peretasan.
- Seperti Buran, ransomware ini ditulis dalam Object Pascal dan dikompilasi di Borland Delphi.
Analisis statis
Eksekusi kode berbahaya terjadi dalam empat tahap. Langkah pertama adalah menjalankan cashback.exe, file executable PE32 di MS Windows dengan ukuran 1198936 byte. Kodenya ditulis dalam Visual C++ dan dikompilasi pada 14 Oktober 2013. Ini berisi arsip yang secara otomatis dibongkar ketika Anda menjalankan cashback.exe. Perangkat lunak ini menggunakan perpustakaan Cabinet.dll dan fungsinya FDICreate(), FDIDestroy() dan lainnya untuk mendapatkan file dari arsip .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Setelah membongkar arsip, tiga file akan muncul.
Selanjutnya, temp.exe diluncurkan, file executable PE32 di bawah MS Windows dengan ukuran 307200 byte. Kode ini ditulis dalam Visual C++ dan dikemas dengan pengemas MPRESS, pengemas yang mirip dengan UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Langkah selanjutnya adalah ironman.exe. Setelah diluncurkan, temp.exe mendekripsi data yang tertanam di temp dan mengganti namanya menjadi ironman.exe, file PE32 yang dapat dieksekusi 544768 byte. Kode dikompilasi di Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Langkah terakhir adalah me-restart file ironman.exe. Saat runtime, ia mengubah kodenya dan menjalankan dirinya sendiri dari memori. Versi ironman.exe ini berbahaya dan bertanggung jawab atas enkripsi.
Vektor serangan
Saat ini, ransomware Nemty didistribusikan melalui situs pp-back.info.
Rantai infeksi selengkapnya dapat dilihat di bak pasir.
Instalasi
Cashback.exe - awal serangan. Seperti yang telah disebutkan, cashback.exe membongkar file .cab yang ada di dalamnya. Kemudian membuat folder TMP4351$.TMP dalam bentuk %TEMP%IXxxx.TMP, dengan xxx adalah angka dari 001 hingga 999.
Selanjutnya, kunci registri diinstal, yang terlihat seperti ini:
βrundll32.exeβ βC:Windowssystem32advpack.dll,DelNodeRunDLL32 βC:UsersMALWAR~1AppDataLocalTempIXPxxx.TMPββ
Ini digunakan untuk menghapus file yang belum dibongkar. Terakhir, cashback.exe memulai proses temp.exe.
Temp.exe adalah tahap kedua dalam rantai infeksi
Ini adalah proses yang diluncurkan oleh file cashback.exe, langkah kedua dari eksekusi virus. Ia mencoba mengunduh AutoHotKey, alat untuk menjalankan skrip di Windows, dan menjalankan skrip WindowSpy.ahk yang terletak di bagian sumber daya file PE.
Skrip WindowSpy.ahk mendekripsi file temp di ironman.exe menggunakan algoritma RC4 dan kata sandi IwantAcake. Kunci dari password diperoleh dengan menggunakan algoritma hashing MD5.
temp.exe kemudian memanggil proses ironman.exe.
Ironman.exe - langkah ketiga
Ironman.exe membaca konten file iron.bmp dan membuat file iron.txt dengan cryptolocker yang akan diluncurkan selanjutnya.
Setelah ini, virus memuat iron.txt ke dalam memori dan memulai ulang sebagai ironman.exe. Setelah ini, iron.txt dihapus.
ironman.exe adalah bagian utama dari ransomware NEMTY, yang mengenkripsi file di komputer yang terpengaruh. Malware menciptakan mutex yang disebut kebencian.
Hal pertama yang dilakukannya adalah menentukan lokasi geografis komputer. Nemty membuka browser dan mencari tahu IP-nya . On line [IP]/countryName Negara ditentukan dari IP yang diterima, dan jika komputer terletak di salah satu wilayah yang tercantum di bawah, eksekusi kode malware akan berhenti:
- Rusia
- Belarus
- Ukraine
- Kazakhstan
- Tajikistan
Kemungkinan besar, pengembang tidak ingin menarik perhatian lembaga penegak hukum di negara tempat tinggal mereka, dan oleh karena itu tidak mengenkripsi file di yurisdiksi βrumahβ mereka.
Jika alamat IP korban tidak termasuk dalam daftar di atas, maka virus akan mengenkripsi informasi pengguna.
Untuk mencegah pemulihan file, salinan bayangannya dihapus:
Ini kemudian membuat daftar file dan folder yang tidak akan dienkripsi, serta daftar ekstensi file.
- Windows
- $ RECYCLE.BIN
- RSA
- NTDETECT.COM
- dll.
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- KONFIG.SYS
- BOOTSECT.BAK
- Bootmgr
- data program
- data aplikasi
- osoft
- Berkas umum
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Kebingungan
Untuk menyembunyikan URL dan data konfigurasi yang disematkan, Nemty menggunakan algoritma pengkodean base64 dan RC4 dengan kata kunci sialan.
Proses dekripsi menggunakan CryptStringToBinary adalah sebagai berikut
Enkripsi
Nemty menggunakan enkripsi tiga lapis:
- AES-128-CBC untuk file. Kunci AES 128-bit dibuat secara acak dan digunakan secara sama untuk semua file. Itu disimpan dalam file konfigurasi di komputer pengguna. IV dibuat secara acak untuk setiap file dan disimpan dalam file terenkripsi.
- RSA-2048 untuk enkripsi file IV. Pasangan kunci untuk sesi ini dihasilkan. Kunci pribadi untuk sesi tersebut disimpan dalam file konfigurasi di komputer pengguna.
- RSA-8192. Kunci publik master dibangun ke dalam program dan digunakan untuk mengenkripsi file konfigurasi, yang menyimpan kunci AES dan kunci rahasia untuk sesi RSA-2048.
- Nemty pertama-tama menghasilkan 32 byte data acak. 16 byte pertama digunakan sebagai kunci AES-128-CBC.
Algoritma enkripsi kedua adalah RSA-2048. Pasangan kunci dihasilkan oleh fungsi CryptGenKey() dan diimpor oleh fungsi CryptImportKey().
Setelah pasangan kunci untuk sesi dibuat, kunci publik diimpor ke Penyedia Layanan Kriptografi MS.
Contoh kunci publik yang dihasilkan untuk suatu sesi:
Selanjutnya, kunci privat diimpor ke CSP.
Contoh kunci privat yang dihasilkan untuk suatu sesi:
Dan yang terakhir adalah RSA-8192. Kunci publik utama disimpan dalam bentuk terenkripsi (Base64 + RC4) di bagian .data pada file PE.
Kunci RSA-8192 setelah decoding base64 dan dekripsi RC4 dengan kata sandi sialan terlihat seperti ini.
Hasilnya, keseluruhan proses enkripsi terlihat seperti ini:
- Hasilkan kunci AES 128-bit yang akan digunakan untuk mengenkripsi semua file.
- Buat IV untuk setiap file.
- Membuat pasangan kunci untuk sesi RSA-2048.
- Dekripsi kunci RSA-8192 yang ada menggunakan base64 dan RC4.
- Enkripsi konten file menggunakan algoritma AES-128-CBC dari langkah pertama.
- Enkripsi IV menggunakan kunci publik RSA-2048 dan pengkodean base64.
- Menambahkan IV terenkripsi ke akhir setiap file terenkripsi.
- Menambahkan kunci AES dan kunci pribadi sesi RSA-2048 ke konfigurasi.
- Data konfigurasi dijelaskan di bagian tentang komputer yang terinfeksi dienkripsi menggunakan kunci publik utama RSA-8192.
- File terenkripsi terlihat seperti ini:
Contoh file terenkripsi:
Mengumpulkan informasi tentang komputer yang terinfeksi
Ransomware mengumpulkan kunci untuk mendekripsi file yang terinfeksi, sehingga penyerang benar-benar dapat membuat dekripsi. Selain itu, Nemty mengumpulkan data pengguna seperti nama pengguna, nama komputer, profil perangkat keras.
Ia memanggil fungsi GetLogicalDrives(), GetFreeSpace(), GetDriveType() untuk mengumpulkan informasi tentang drive komputer yang terinfeksi.
Informasi yang dikumpulkan disimpan dalam file konfigurasi. Setelah mendekodekan string, kami mendapatkan daftar parameter di file konfigurasi:
Contoh konfigurasi komputer yang terinfeksi:
Templat konfigurasi dapat direpresentasikan sebagai berikut:
{"Umum": {"IP":"[IP]", "Negara":"[Negara]", "Nama Komputer":"[Nama Komputer]", "Nama Pengguna":"[Nama Pengguna]", "OS": "[OS]", "isRU":false, "versi":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ ID Pengguna]", "kunci":"[kunci]", "pr_key":"[pr_key]
Nemty menyimpan data yang dikumpulkan dalam format JSON di file %USER%/_NEMTY_.nemty. FileID panjangnya 7 karakter dan dihasilkan secara acak. Misalnya: _NEMTY_tgdLYrd_.nemty. FileID juga ditambahkan ke akhir file terenkripsi.
Pesan tebusan
Setelah mengenkripsi file, file _NEMTY_[FileID]-DECRYPT.txt muncul di desktop dengan konten berikut:
Di akhir file terdapat informasi terenkripsi tentang komputer yang terinfeksi.
Jaringan komunikasi
Proses ironman.exe mengunduh distribusi browser Tor dari alamatnya dan mencoba menginstalnya.
Nemty kemudian mencoba mengirim data konfigurasi ke 127.0.0.1:9050, yang diharapkan dapat menemukan proksi browser Tor yang berfungsi. Namun, secara default proksi Tor mendengarkan pada port 9150, dan port 9050 digunakan oleh daemon Tor di Linux atau Expert Bundle di Windows. Dengan demikian, tidak ada data yang dikirim ke server penyerang. Sebagai gantinya, pengguna dapat mengunduh file konfigurasi secara manual dengan mengunjungi layanan dekripsi Tor melalui tautan yang disediakan dalam pesan tebusan.
Menghubungkan ke proksi Tor:
HTTP GET membuat permintaan ke 127.0.0.1:9050/public/gate?data=
Di sini Anda dapat melihat port TCP terbuka yang digunakan oleh proxy TORlocal:
Layanan dekripsi Nemty di jaringan Tor:
Anda dapat mengunggah foto terenkripsi (jpg, png, bmp) untuk menguji layanan dekripsi.
Setelah itu, penyerang meminta untuk membayar uang tebusan. Jika tidak membayar, harganya menjadi dua kali lipat.
Kesimpulan
Saat ini, tidak mungkin mendekripsi file yang dienkripsi oleh Nemty tanpa membayar uang tebusan. Versi ransomware ini memiliki fitur yang sama dengan ransomware Buran dan GandCrab yang sudah ketinggalan zaman: kompilasi di Borland Delphi dan gambar dengan teks yang sama. Selain itu, ini adalah enkripsi pertama yang menggunakan kunci RSA 8092-bit, yang sekali lagi, tidak masuk akal, karena kunci 1024-bit sudah cukup untuk perlindungan. Terakhir, dan yang menarik, ia mencoba menggunakan port yang salah untuk layanan proxy Tor lokal.
Namun, solusi ΠΈ mencegah ransomware Nemty menjangkau PC dan data pengguna, dan penyedia dapat melindungi klien mereka dengan itu . Penuh menyediakan tidak hanya cadangan, tetapi juga perlindungan menggunakan , teknologi khusus berdasarkan kecerdasan buatan dan heuristik perilaku yang memungkinkan Anda menetralisir malware yang belum dikenal sekalipun.
Sumber: www.habr.com