Ti presentiamo il ransomware Nemty dal falso sito PayPal
In rete è apparso un nuovo ransomware chiamato Nemty, che presumibilmente è il successore di GrandCrab o Buran. Il malware viene distribuito principalmente dal falso sito PayPal e presenta una serie di caratteristiche interessanti. I dettagli su come funziona questo ransomware sono sotto taglio.
Nuovo ransomware Nemty scoperto dall'utente nao_sec 7 settembre 2019. Il malware è stato distribuito tramite un sito web mascherato da PayPal, è anche possibile che il ransomware penetri in un computer tramite l'exploit kit RIG. Gli aggressori hanno costretto l'utente con metodi di ingegneria sociale a eseguire il file cashback.exe, che avrebbe ricevuto dal sito PayPal, ed è curioso anche che Nemty abbia indicato la porta sbagliata per il servizio proxy locale Tor, che impedisce al malware di inviare dati al server. Pertanto, l'utente dovrà caricare lui stesso i file crittografati sulla rete Tor se intende pagare il riscatto e attendere la decrittazione da parte degli aggressori.
Diversi fatti interessanti su Nemty suggeriscono che sia stato sviluppato dalle stesse persone o da criminali informatici associati a Buran e GrandCrab.
Come GandCrab, Nemty ha un uovo di Pasqua: un collegamento a una foto del presidente russo Vladimir Putin con una battuta oscena. Il ransomware legacy GandCrab aveva un'immagine con lo stesso testo.
Gli artefatti linguistici di entrambi i programmi rimandano agli stessi autori di lingua russa.
Questo è il primo ransomware a utilizzare una chiave RSA a 8092 bit. Anche se non ha senso: una chiave a 1024 bit è abbastanza per proteggersi dagli hacker.
Come Buran, il ransomware è scritto in Object Pascal e compilato in Borland Delphi.
Analisi statica
L'esecuzione del codice dannoso avviene in quattro fasi. Il primo passo è eseguire cashback.exe, un file eseguibile PE32 sotto MS Windows con una dimensione di 1198936 byte. Il suo codice è stato scritto in Visual C++ e compilato il 14 ottobre 2013. Contiene un archivio che viene decompresso automaticamente quando si esegue cashback.exe. Il software utilizza la libreria Cabinet.dll e le sue funzioni FDICreate(), FDIDestroy() e altre per ottenere file dall'archivio .cab.
Dopo aver decompresso l'archivio, appariranno tre file.
Successivamente viene avviato temp.exe, un file eseguibile PE32 in MS Windows con una dimensione di 307200 byte. Il codice è scritto in Visual C++ e confezionato con MPRESS packer, un packer simile a UPX.
Il passo successivo è ironman.exe. Una volta avviato, temp.exe decodifica i dati incorporati in temp e li rinomina in ironman.exe, un file eseguibile PE32 da 544768 byte. Il codice è compilato in Borland Delphi.
L'ultimo passaggio è riavviare il file ironman.exe. In fase di esecuzione, trasforma il proprio codice e si esegue dalla memoria. Questa versione di ironman.exe è dannosa ed è responsabile della crittografia.
Vettore di attacco
Attualmente il ransomware Nemty viene distribuito tramite il sito pp-back.info.
La catena completa dell'infezione può essere visualizzata su app.any.run sandbox.
Installazione
Cashback.exe: l'inizio dell'attacco. Come già accennato, cashback.exe decomprime il file .cab che contiene. Quindi crea una cartella TMP4351$.TMP nel formato %TEMP%IXxxx.TMP, dove xxx è un numero compreso tra 001 e 999.
Successivamente, viene installata una chiave di registro, simile alla seguente:
Viene utilizzato per eliminare i file decompressi. Infine, cashback.exe avvia il processo temp.exe.
Temp.exe è la seconda fase della catena di infezione
Questo è il processo avviato dal file cashback.exe, il secondo passaggio dell'esecuzione del virus. Tenta di scaricare AutoHotKey, uno strumento per eseguire script su Windows, ed eseguire lo script WindowSpy.ahk situato nella sezione risorse del file PE.
Lo script WindowSpy.ahk decodifica il file temporaneo in ironman.exe utilizzando l'algoritmo RC4 e la password IwantAcake. La chiave della password viene ottenuta utilizzando l'algoritmo di hashing MD5.
temp.exe chiama quindi il processo ironman.exe.
Ironman.exe - terzo passaggio
Ironman.exe legge il contenuto del file iron.bmp e crea un file iron.txt con un cryptolocker che verrà lanciato successivamente.
Successivamente, il virus carica iron.txt in memoria e lo riavvia come ironman.exe. Successivamente, iron.txt viene eliminato.
ironman.exe è la parte principale del ransomware NEMTY, che crittografa i file sul computer interessato. Il malware crea un mutex chiamato odio.
La prima cosa che fa è determinare la posizione geografica del computer. Nemty apre il browser e scopre l'IP attivo http://api.ipify.org. Sul posto api.db-ip.com/v2/free[IP]/countryName Il paese viene determinato dall'IP ricevuto e se il computer si trova in una delle regioni elencate di seguito, l'esecuzione del codice malware si interrompe:
Russia
Белоруссия
Ucraina
Kazakhstan
Tagikistan
Molto probabilmente, gli sviluppatori non vogliono attirare l'attenzione delle forze dell'ordine nei loro paesi di residenza e quindi non crittografano i file nelle loro giurisdizioni “d'origine”.
Se l'indirizzo IP della vittima non appartiene all'elenco sopra, il virus crittografa le informazioni dell'utente.
Per impedire il ripristino dei file, le relative copie shadow vengono eliminate:
Quindi crea un elenco di file e cartelle che non verranno crittografati, nonché un elenco di estensioni di file.
finestre
$ RECYCLE.BIN
rsa
NTDETECT.COM
ntldr
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
CONFIG.SYS
BOOTSECT.BAK
Bootmgr
dati del programma
appdata
osoft
File comuni
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Offuscazione
Per nascondere URL e dati di configurazione incorporati, Nemty utilizza un algoritmo di codifica base64 e RC4 con la parola chiave fottuto.
Il processo di decrittazione utilizzando CryptStringToBinary è il seguente
Шифрование
Nemty utilizza la crittografia a tre livelli:
AES-128-CBC per i file. La chiave AES a 128 bit viene generata in modo casuale e viene utilizzata allo stesso modo per tutti i file. È memorizzato in un file di configurazione sul computer dell'utente. L'IV viene generato in modo casuale per ciascun file e archiviato in un file crittografato.
RSA-2048 per la crittografia dei file IV. Viene generata una coppia di chiavi per la sessione. La chiave privata per la sessione è archiviata in un file di configurazione sul computer dell'utente.
RSA-8192. La chiave pubblica principale è incorporata nel programma e viene utilizzata per crittografare il file di configurazione, che memorizza la chiave AES e la chiave segreta per la sessione RSA-2048.
Nemty genera prima 32 byte di dati casuali. I primi 16 byte vengono utilizzati come chiave AES-128-CBC.
Il secondo algoritmo di crittografia è RSA-2048. La coppia di chiavi viene generata dalla funzione CryptGenKey() e importata dalla funzione CryptImportKey().
Una volta generata la coppia di chiavi per la sessione, la chiave pubblica viene importata nel provider del servizio di crittografia MS.
Un esempio di chiave pubblica generata per una sessione:
Successivamente, la chiave privata viene importata nel CSP.
Un esempio di chiave privata generata per una sessione:
E per ultimo arriva RSA-8192. La chiave pubblica principale è archiviata in forma crittografata (Base64 + RC4) nella sezione .data del file PE.
La chiave RSA-8192 dopo la decodifica Base64 e la decrittazione RC4 con la password Fuckav si presenta così.
Di conseguenza, l'intero processo di crittografia è simile al seguente:
Genera una chiave AES a 128 bit che verrà utilizzata per crittografare tutti i file.
Crea un IV per ogni file.
Creazione di una coppia di chiavi per una sessione RSA-2048.
Decrittografia di una chiave RSA-8192 esistente utilizzando base64 e RC4.
Crittografa il contenuto del file utilizzando l'algoritmo AES-128-CBC dal primo passaggio.
Crittografia IV utilizzando la chiave pubblica RSA-2048 e la codifica base64.
Aggiunta di un IV crittografato alla fine di ciascun file crittografato.
Aggiunta di una chiave AES e di una chiave privata di sessione RSA-2048 al file config.
Dati di configurazione descritti nella sezione la raccolta di informazioni informazioni sul computer infetto vengono crittografati utilizzando la chiave pubblica principale RSA-8192.
Il file crittografato si presenta così:
Esempio di file crittografati:
Raccolta di informazioni sul computer infetto
Il ransomware raccoglie le chiavi per decrittografare i file infetti, in modo che l'aggressore possa effettivamente creare un decrittatore. Inoltre, Nemty raccoglie dati dell'utente come nome utente, nome del computer, profilo hardware.
Chiama le funzioni GetLogicalDrives(), GetFreeSpace() e GetDriveType() per raccogliere informazioni sulle unità del computer infetto.
Le informazioni raccolte vengono archiviate in un file di configurazione. Dopo aver decodificato la stringa, otteniamo un elenco di parametri nel file di configurazione:
Esempio di configurazione di un computer infetto:
Il modello di configurazione può essere rappresentato come segue:
Nemty memorizza i dati raccolti in formato JSON nel file %USER%/_NEMTY_.nemty. FileID è lungo 7 caratteri ed è generato in modo casuale. Ad esempio: _NEMTY_tgdLYrd_.nemty. Il FileID viene aggiunto anche alla fine del file crittografato.
Messaggio di riscatto
Dopo aver crittografato i file, sul desktop viene visualizzato il file _NEMTY_[FileID]-DECRYPT.txt con il seguente contenuto:
Alla fine del file ci sono informazioni crittografate sul computer infetto.
Nemty tenta quindi di inviare i dati di configurazione a 127.0.0.1:9050, dove si aspetta di trovare un proxy del browser Tor funzionante. Tuttavia, per impostazione predefinita il proxy Tor è in ascolto sulla porta 9150 e la porta 9050 viene utilizzata dal demone Tor su Linux o Expert Bundle su Windows. Pertanto, nessun dato viene inviato al server dell'aggressore. Invece, l'utente può scaricare manualmente il file di configurazione visitando il servizio di decrittazione Tor tramite il collegamento fornito nel messaggio di riscatto.
Connessione al proxy Tor:
HTTP GET crea una richiesta a 127.0.0.1:9050/public/gate?data=
Qui puoi vedere le porte TCP aperte utilizzate dal proxy TORlocal:
Servizio di decrittazione Nemty sulla rete Tor:
Puoi caricare una foto crittografata (jpg, png, bmp) per testare il servizio di decrittazione.
Successivamente, l'aggressore chiede di pagare un riscatto. In caso di mancato pagamento il prezzo viene raddoppiato.
conclusione
Al momento non è possibile decriptare i file crittografati da Nemty senza pagare un riscatto. Questa versione del ransomware ha caratteristiche comuni con il ransomware Buran e l'obsoleto GandCrab: compilazione in Borland Delphi e immagini con lo stesso testo. Inoltre, questo è il primo crittografo che utilizza una chiave RSA da 8092 bit, il che, ancora una volta, non ha alcun senso, poiché per la protezione è sufficiente una chiave da 1024 bit. Infine, cosa interessante, tenta di utilizzare la porta sbagliata per il servizio proxy Tor locale.
Tuttavia, soluzioni Acronis Backup и Acronis True Image impediscono al ransomware Nemty di raggiungere i PC e i dati degli utenti e i fornitori possono proteggere i propri clienti Acronis Backup Cloud... Pieno Protezione informatica fornisce non solo backup, ma anche protezione utilizzando Protezione attiva Acronis, una speciale tecnologia basata sull'intelligenza artificiale e sull'euristica comportamentale che consente di neutralizzare anche i malware ancora sconosciuti.