A ransomware anyar sing diarani Nemty wis muncul ing jaringan, sing mesthine minangka penerus GrandCrab utawa Buran. Malware utamane disebarake saka situs web PayPal palsu lan nduweni sawetara fitur sing menarik. Rincian babagan cara kerja ransomware iki ana ing ngisor iki.
Nemty ransomware anyar ditemokake dening pangguna nao_sec 7 September 2019. Malware disebarake liwat situs web disguised minangka PayPal, ransomware uga bisa nembus komputer liwat RIG exploit kit. Penyerang nggunakake cara rekayasa sosial kanggo meksa pangguna mbukak file cashback.exe, sing diduga ditampa saka situs web PayPal. data menyang server. Mula, pangguna kudu ngunggah file sing dienkripsi menyang jaringan Tor dhewe yen arep mbayar tebusan lan ngenteni dekripsi saka panyerang.
Sawetara fakta menarik babagan Nemty nuduhake manawa iki dikembangake dening wong sing padha utawa dening penjahat cyber sing ana gandhengane karo Buran lan GrandCrab.
Kaya GandCrab, Nemty duwe endhog Paskah - link menyang foto Presiden Rusia Vladimir Putin kanthi lelucon sing saru. Warisan GandCrab ransomware nduweni gambar kanthi teks sing padha.
Artefak basa saka loro program kasebut nuduhake penulis sing nganggo basa Rusia sing padha.
Iki minangka ransomware pisanan sing nggunakake kunci RSA 8092-bit. Sanajan ora ana gunane: tombol 1024-bit cukup kanggo nglindhungi hacking.
Kaya Buran, ransomware ditulis ing Object Pascal lan disusun ing Borland Delphi.
Analisis statis
Eksekusi kode angkoro dumadi ing patang tahap. Langkah pisanan yaiku mbukak cashback.exe, file eksekusi PE32 ing MS Windows kanthi ukuran 1198936 bita. Kode kasebut ditulis ing Visual C ++ lan disusun tanggal 14 Oktober 2013. Isine arsip sing otomatis mbukak nalika sampeyan mbukak cashback.exe. Piranti lunak nggunakake perpustakaan Cabinet.dll lan fungsi FDICreate (), FDIDestroy () lan liyane kanggo njupuk file saka arsip .cab.
Sabanjure, temp.exe diluncurake, file eksekusi PE32 ing MS Windows kanthi ukuran 307200 bita. Kode kasebut ditulis ing Visual C ++ lan dikemas karo MPRESS packer, packer sing padha karo UPX.
Langkah sabanjure yaiku ironman.exe. Sawise diluncurake, temp.exe dekripsi data sing dipasang ing temp lan ganti jeneng dadi ironman.exe, file eksekusi 32 byte PE544768. Kode kasebut disusun ing Borland Delphi.
Langkah pungkasan yaiku miwiti maneh file ironman.exe. Nalika runtime, iku ngowahi kode lan mbukak dhewe saka memori. Versi ironman.exe iki angkoro lan tanggung jawab kanggo enkripsi.
Vektor serangan
Saiki, ransomware Nemty disebarake liwat situs web pp-back.info.
Rantai lengkap infeksi bisa dideleng ing app.any.run kothak wedhi
Instalasi
Cashback.exe - wiwitan serangan. Kaya sing wis kasebut, cashback.exe mbukak file .cab sing ana. Banjur nggawe folder TMP4351$.TMP saka wangun %TEMP%IXxxx.TMP, ngendi xxx iku nomer saka 001 kanggo 999.
Sabanjure, kunci registri wis diinstal, sing katon kaya iki:
Digunakake kanggo mbusak file sing ora dibungkus. Pungkasan, cashback.exe miwiti proses temp.exe.
Temp.exe minangka tahap kapindho ing rantai infeksi
Iki minangka proses sing diluncurake dening file cashback.exe, langkah kapindho saka eksekusi virus. Iku nyoba kanggo ngundhuh AutoHotKey, alat kanggo mbukak Tulisan ing Windows, lan mbukak script WindowSpy.ahk dumunung ing bagean sumber saka file PE.
Skrip WindowSpy.ahk decrypts file temp ing ironman.exe nggunakake algoritma RC4 lan sandi IwantAcake. Kunci saka sandhi dijupuk nggunakake algoritma hashing MD5.
Sawise iki, virus mbukak iron.txt menyang memori lan miwiti maneh minangka ironman.exe. Sawise iki, iron.txt dibusak.
ironman.exe minangka bagean utama saka ransomware NEMTY, sing ngenkripsi file ing komputer sing kena pengaruh. Malware nggawe mutex sing diarani sengit.
Babagan pisanan sing ditindakake yaiku nemtokake lokasi geografis komputer. Nemty mbukak browser lan nemokake IP ing http://api.ipify.org. Ing situs api.db-ip.com/v2/free[IP]/countryName Negara ditemtokake saka IP sing ditampa, lan yen komputer ana ing salah sawijining wilayah ing ngisor iki, eksekusi kode malware mandheg:
Rusia
Belarus
Ukraine
Kazakhstan
Tajikistan
Paling kamungkinan, pangembang ora pengin narik kawigatosan lembaga penegak hukum ing negara panggonane, lan mulane ora ngenkripsi file ing yurisdiksi "omah".
Yen alamat IP korban ora kalebu ing dhaptar ing ndhuwur, virus kasebut ngenkripsi informasi pangguna.
Kanggo nyegah pemulihan file, salinan bayangan bakal dibusak:
Banjur nggawe dhaptar file lan folder sing ora bakal dienkripsi, uga dhaptar ekstensi file.
windows
$RECYCLE.BIN
rsa
NTDETECT.COM
lsp
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop. iki
SYS CONFIG.
BOOTSECT.BAK
bootmgr
data program
data aplikasi
osoft
File umum
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Obfuscation
Kanggo ndhelikake URL lan data konfigurasi sing dipasang, Nemty nggunakake algoritma enkoding base64 lan RC4 kanthi tembung kunci fuckav.
Proses dekripsi nggunakake CryptStringToBinary kaya ing ngisor iki
Enkripsi
Nemty nggunakake enkripsi telung lapisan:
AES-128-CBC kanggo file. Tombol AES 128-bit digawe kanthi acak lan digunakake padha kanggo kabeh file. Iki disimpen ing file konfigurasi ing komputer pangguna. IV digawe kanthi acak kanggo saben file lan disimpen ing file sing dienkripsi.
RSA-2048 kanggo enkripsi file IV. Pasangan kunci kanggo sesi kasebut digawe. Tombol pribadi kanggo sesi kasebut disimpen ing file konfigurasi ing komputer pangguna.
RSA-8192. Kunci umum master dibangun ing program kasebut lan digunakake kanggo ndhelik file konfigurasi, sing nyimpen kunci AES lan kunci rahasia kanggo sesi RSA-2048.
Nemty pisanan ngasilake 32 bita data acak. 16 byte pisanan digunakake minangka kunci AES-128-CBC.
Algoritma enkripsi kapindho yaiku RSA-2048. Pasangan tombol kui dening fungsi CryptGenKey () lan diimpor dening fungsi CryptImportKey ().
Sawise pasangan tombol kanggo sesi kui, kunci umum diimpor menyang MS Cryptographic Service Provider.
Conto kunci umum sing digawe kanggo sesi:
Sabanjure, kunci pribadi diimpor menyang CSP.
Conto kunci pribadi sing digawe kanggo sesi:
Lan pungkasan rawuh RSA-8192. Tombol umum utama disimpen ing wangun ndhelik (Base64 + RC4) ing bagean .data file PE.
Tombol RSA-8192 sawise dekoding base64 lan dekripsi RC4 nganggo sandi fuckav katon kaya iki.
Gawe kunci AES 128-bit sing bakal digunakake kanggo ndhelik kabeh file.
Nggawe IV kanggo saben file.
Nggawe pasangan kunci kanggo sesi RSA-2048.
Dekripsi kunci RSA-8192 sing ana nggunakake base64 lan RC4.
Enkripsi isi file nggunakake algoritma AES-128-CBC saka langkah pisanan.
Enkripsi IV nggunakake kunci publik RSA-2048 lan enkoding base64.
Nambahake IV sing dienkripsi ing pungkasan saben file sing dienkripsi.
Nambahake kunci AES lan kunci pribadi sesi RSA-2048 menyang konfigurasi.
Data konfigurasi diterangake ing bagean Koleksi informasi babagan komputer sing kena infeksi dienkripsi nggunakake kunci umum utama RSA-8192.
File sing dienkripsi katon kaya iki:
Conto file sing dienkripsi:
Nglumpukake informasi babagan komputer sing kena infeksi
Ransomware nglumpukake kunci kanggo dekripsi file sing kena infeksi, mula panyerang bisa nggawe decryptor. Kajaba iku, Nemty ngumpulake data pangguna kayata jeneng pangguna, jeneng komputer, profil hardware.
Telpon GetLogicalDrives (), GetFreeSpace (), GetDriveType () fungsi kanggo ngumpulake informasi bab drive saka komputer infèksi.
Informasi sing diklumpukake disimpen ing file konfigurasi. Sawise decoded string, kita entuk dhaptar parameter ing file konfigurasi:
Conto konfigurasi komputer sing kena infeksi:
Cithakan konfigurasi bisa diwakili kaya ing ngisor iki:
Nemty nyimpen data sing diklumpukake ing format JSON ing file %USER%/_NEMTY_.nemty. FileID dawane 7 karakter lan digawe kanthi acak. Contone: _NEMTY_tgdLYrd_.nemty. FileID uga ditambahake ing mburi file sing dienkripsi.
Pesen tebusan
Sawise ndhelik file, file _NEMTY_[FileID]-DECRYPT.txt katon ing desktop kanthi isi ing ngisor iki:
Ing pungkasan file ana informasi sing dienkripsi babagan komputer sing kena infeksi.
Nemty banjur nyoba kanggo ngirim data konfigurasi kanggo 127.0.0.1:9050, ngendi iku ngarepake golek proxy browser Tor bisa digunakake. Nanging, kanthi gawan proxy Tor ngrungokake port 9150, lan port 9050 digunakake dening daemon Tor ing Linux utawa Expert Bundle ing Windows. Dadi, ora ana data sing dikirim menyang server penyerang. Nanging, pangguna bisa ndownload file konfigurasi kanthi manual kanthi ngunjungi layanan dekripsi Tor liwat link sing kasedhiya ing pesen tebusan.
Nyambung menyang proxy Tor:
HTTP GET nggawe panjalukan kanggo 127.0.0.1:9050/public/gate?data=
Ing kene sampeyan bisa ndeleng port TCP mbukak sing digunakake dening proxy TORlocal:
Layanan dekripsi Nemty ing jaringan Tor:
Sampeyan bisa ngunggah foto sing dienkripsi (jpg, png, bmp) kanggo nyoba layanan dekripsi.
Sawise iki, penyerang njaluk mbayar tebusan. Yen ora mbayar, regane tikel kaping pindho.
kesimpulan
Saiki, ora bisa dekripsi file sing dienkripsi dening Nemty tanpa mbayar tebusan. Versi ransomware iki nduweni fitur umum karo ransomware Buran lan GandCrab sing wis lawas: kompilasi ing Borland Delphi lan gambar kanthi teks sing padha. Kajaba iku, iki minangka enkripsi pertama sing nggunakake kunci RSA 8092-bit, sing, maneh, ora ana gunane, amarga kunci 1024-bit cukup kanggo proteksi. Pungkasan, lan sing menarik, nyoba nggunakake port sing salah kanggo layanan proxy Tor lokal.
Nanging, solusi Serep Acronis ΠΈ Acronis True Image nyegah ransomware Nemty tekan PC pangguna lan data, lan panyedhiya bisa nglindhungi klien karo Acronis Backup Cloud. kebak Perlindhungan siber menehi ora mung serep, nanging uga pangayoman nggunakake Acronis Active Protection, teknologi khusus adhedhasar intelijen buatan lan heuristik prilaku sing ngidini sampeyan netralake malware sing durung dingerteni.