გაიცანით Nemty ransomware ყალბი PayPal საიტიდან

ქსელში გამოჩნდა ახალი გამოსასყიდი პროგრამა, სახელად Nemty, რომელიც, სავარაუდოდ, GrandCrab-ის ან Buran-ის მემკვიდრეა. მავნე პროგრამა ძირითადად გავრცელებულია ყალბი PayPal ვებსაიტიდან და აქვს არაერთი საინტერესო ფუნქცია. დეტალები იმის შესახებ, თუ როგორ მუშაობს ეს გამოსასყიდი პროგრამა, მოჭრილია.

მომხმარებელმა აღმოაჩინა ახალი Nemty გამოსასყიდი პროგრამა nao_sec 7 წლის 2019 სექტემბერი. მავნე პროგრამა გავრცელდა ვებსაიტის საშუალებით გადაცმული PayPal-ით, ასევე შესაძლებელია გამოსასყიდმა პროგრამამ შეაღწიოს კომპიუტერში RIG ექსპლოიტის ნაკრების მეშვეობით. თავდამსხმელებმა გამოიყენეს სოციალური ინჟინერიის მეთოდები, რათა აიძულონ მომხმარებელი გაუშვა cashback.exe ფაილი, რომელიც მან სავარაუდოდ მიიღო PayPal ვებსაიტიდან. ასევე საინტერესოა, რომ ნემტიმ მიუთითა არასწორი პორტი ადგილობრივი პროქსი სერვისისთვის Tor, რომელიც ხელს უშლის მავნე პროგრამის გაგზავნას. მონაცემები სერვერზე. ამიტომ, მომხმარებელს მოუწევს თავად ატვირთოს დაშიფრული ფაილები Tor ქსელში, თუ ის აპირებს გამოსასყიდის გადახდას და დაელოდოს თავდამსხმელებისგან გაშიფვრას.

რამდენიმე საინტერესო ფაქტი ნემტის შესახებ ვარაუდობს, რომ ის შემუშავდა იმავე ადამიანებმა ან ბურანთან და გრანდკრაბთან ასოცირებულ კიბერდანაშაულებებმა.

• GandCrab-ის მსგავსად, ნემტის აქვს სააღდგომო კვერცხი - ბმული რუსეთის პრეზიდენტის ვლადიმერ პუტინის ფოტოზე უხამსი ხუმრობით. მემკვიდრეობით GandCrab ransomware-ს ჰქონდა სურათი იგივე ტექსტით.
• ორივე პროგრამის ენობრივი არტეფაქტები მიუთითებს იმავე რუსულენოვან ავტორებზე.
• ეს არის პირველი გამოსასყიდი პროგრამა, რომელიც იყენებს 8092-ბიტიან RSA კლავიშს. თუმცა ამას აზრი არ აქვს: 1024-ბიტიანი გასაღები სავსებით საკმარისია ჰაკერებისგან დასაცავად.
• Buran-ის მსგავსად, გამოსასყიდი პროგრამა იწერება Object Pascal-ში და შედგენილია Borland Delphi-ში.

სტატიკური ანალიზი

მავნე კოდის შესრულება ხდება ოთხ ეტაპად. პირველი ნაბიჯი არის cashback.exe-ის გაშვება, PE32 შესრულებადი ფაილი MS Windows-ის ქვეშ, ზომით 1198936 ბაიტი. მისი კოდი დაიწერა Visual C++-ში და შედგენილია 14 წლის 2013 ოქტომბერს. ის შეიცავს არქივს, რომელიც ავტომატურად იხსნება cashback.exe-ის გაშვებისას. პროგრამული უზრუნველყოფა იყენებს Cabinet.dll ბიბლიოთეკას და მის ფუნქციებს FDICreate(), FDIDestroy() და სხვებს ფაილების მოსაპოვებლად .cab არქივიდან.

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

არქივის ამოხსნის შემდეგ გამოჩნდება სამი ფაილი.

შემდეგი, გაშვებულია temp.exe, PE32 შესრულებადი ფაილი MS Windows-ში 307200 ბაიტის ზომით. კოდი იწერება Visual C++-ში და შეფუთულია MPRESS პაკერით, UPX-ის მსგავსი შეფუთვით.

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

შემდეგი ნაბიჯი არის ironman.exe. გაშვების შემდეგ, temp.exe შიფრავს ჩაშენებულ მონაცემებს temp-ში და გადარქმევს მათ ironman.exe-ად, 32 ბაიტიანი PE544768 შესრულებადი ფაილი. კოდი შედგენილია Borland Delphi-ში.

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

ბოლო ნაბიჯი არის ironman.exe ფაილის გადატვირთვა. გაშვების დროს, ის გარდაქმნის თავის კოდს და გადის მეხსიერებიდან. ironman.exe-ის ეს ვერსია მავნეა და პასუხისმგებელია დაშიფვრაზე.

შეტევის ვექტორი

ამჟამად, Nemty ransomware ნაწილდება ვებსაიტის pp-back.info-ის მეშვეობით.

ინფექციის სრული ჯაჭვის ნახვა შეგიძლიათ app.any.run ქვიშის ყუთი.

დაყენების

Cashback.exe - თავდასხმის დასაწყისი. როგორც უკვე აღვნიშნეთ, cashback.exe ხსნის მასში შემავალ .cab ფაილს. შემდეგ ის ქმნის %TEMP%IXxxx.TMP საქაღალდეს TMP4351$.TMP, სადაც xxx არის რიცხვი 001-დან 999-მდე.

შემდეგი, დაინსტალირებულია რეესტრის გასაღები, რომელიც ასე გამოიყურება:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrent VersionRunOncewextract_cleanup0]
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""

იგი გამოიყენება შეუფუთავი ფაილების წასაშლელად. საბოლოოდ, cashback.exe იწყებს temp.exe პროცესს.

Temp.exe არის ინფექციის ჯაჭვის მეორე ეტაპი

ეს არის cashback.exe ფაილის მიერ დაწყებული პროცესი, ვირუსის შესრულების მეორე ნაბიჯი. ის ცდილობს ჩამოტვირთოს AutoHotKey, ინსტრუმენტი Windows-ზე სკრიპტების გასაშვებად და გაუშვას WindowSpy.ahk სკრიპტი, რომელიც მდებარეობს PE ფაილის რესურსების განყოფილებაში.

WindowSpy.ahk სკრიპტი შიფრავს temp ფაილს ironman.exe-ში RC4 ალგორითმის და პაროლის IwantAcake გამოყენებით. პაროლიდან გასაღები მიიღება MD5 ჰეშირების ალგორითმის გამოყენებით.

temp.exe შემდეგ უწოდებს ironman.exe პროცესს.

Ironman.exe - მესამე ნაბიჯი

Ironman.exe კითხულობს iron.bmp ფაილის შიგთავსს და ქმნის iron.txt ფაილს კრიპტოლოკერით, რომელიც შემდეგი იქნება გაშვებული.

ამის შემდეგ, ვირუსი იტვირთება iron.txt მეხსიერებაში და გადაიტვირთება როგორც ironman.exe. ამის შემდეგ, iron.txt წაიშლება.

ironman.exe არის NEMTY ransomware-ის ძირითადი ნაწილი, რომელიც დაშიფვრავს ფაილებს დაზარალებულ კომპიუტერზე. მავნე პროგრამა ქმნის მუტექს, რომელსაც ეწოდება სიძულვილი.

პირველი, რასაც აკეთებს, არის კომპიუტერის გეოგრაფიული მდებარეობის განსაზღვრა. Nemty ხსნის ბრაუზერს და აღმოაჩენს IP-ს http://api.ipify.org. ონლაინ api.db-ip.com/v2/free[IP]/countryName ქვეყანა განისაზღვრება მიღებული IP-დან და თუ კომპიუტერი მდებარეობს ქვემოთ ჩამოთვლილ ერთ-ერთ რეგიონში, მავნე პროგრამის კოდის შესრულება ჩერდება:

• Россия
• ბელორუსია
• უკრაინის
• ყაზახეთის
• Таджикистан

სავარაუდოდ, დეველოპერებს არ სურთ მიიპყრონ სამართალდამცავი ორგანოების ყურადღება თავიანთი საცხოვრებელი ქვეყნების ქვეყნებში და, შესაბამისად, არ შიფრავენ ფაილებს თავიანთ "სახლის" იურისდიქციებში.

თუ მსხვერპლის IP მისამართი არ მიეკუთვნება ზემოთ მოცემულ სიას, მაშინ ვირუსი შიფრავს მომხმარებლის ინფორმაციას.

ფაილის აღდგენის თავიდან ასაცილებლად, მათი ჩრდილოვანი ასლები იშლება:

შემდეგ ის ქმნის ფაილებისა და საქაღალდეების სიას, რომლებიც არ იქნება დაშიფრული, ასევე ფაილის გაფართოებების სიას.

• Windows
• $RECYCLE.BIN
• რსა
• NTDETECT.COM
• ნტლდრ
• MSDOS.SYS
• IO.SYS
• boot.ini AUTOEXEC.BAT ntuser.dat
• desktop.ini
• SYS CONFIG.
• BOOTSECT.BAK
• bootmgr
• პროგრამის მონაცემები
• აპლიკაცია
• osoft
• Საერთო ფაილები

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY 

დაბნელება

URL-ების და ჩაშენებული კონფიგურაციის მონაცემების დასამალად, Nemty იყენებს base64 და RC4 კოდირების ალგორითმს fuckav საკვანძო სიტყვით.

გაშიფვრის პროცესი CryptStringToBinary-ის გამოყენებით შემდეგია

დაშიფვრა

Nemty იყენებს სამ ფენის დაშიფვრას:

• AES-128-CBC ფაილებისთვის. 128-ბიტიანი AES გასაღები წარმოიქმნება შემთხვევით და გამოიყენება ყველა ფაილისთვის ერთნაირად. ის ინახება კონფიგურაციის ფაილში მომხმარებლის კომპიუტერში. IV შემთხვევით გენერირდება თითოეული ფაილისთვის და ინახება დაშიფრულ ფაილში.
• RSA-2048 ფაილის დაშიფვრისთვის IV. სესიისთვის გასაღებების წყვილი გენერირებულია. სესიის პირადი გასაღები ინახება მომხმარებლის კომპიუტერის კონფიგურაციის ფაილში.
• RSA-8192. ძირითადი საჯარო გასაღები ჩაშენებულია პროგრამაში და გამოიყენება კონფიგურაციის ფაილის დაშიფვრად, რომელიც ინახავს AES გასაღებს და საიდუმლო გასაღებს RSA-2048 სესიისთვის.
• ნემტი პირველად წარმოქმნის 32 ბაიტი შემთხვევით მონაცემებს. პირველი 16 ბაიტი გამოიყენება AES-128-CBC გასაღებად.

დაშიფვრის მეორე ალგორითმი არის RSA-2048. გასაღების წყვილი გენერირდება CryptGenKey() ფუნქციით და იმპორტირებულია CryptImportKey() ფუნქციით.

სესიისთვის გასაღებების წყვილის გენერირების შემდეგ, საჯარო გასაღები იმპორტირებულია MS კრიპტოგრაფიული სერვისის პროვაიდერში.

სესიისთვის გენერირებული საჯარო გასაღების მაგალითი:

შემდეგი, პირადი გასაღები იმპორტირებულია CSP-ში.

სესიისთვის გენერირებული პირადი გასაღების მაგალითი:

და ბოლოს მოდის RSA-8192. მთავარი საჯარო გასაღები ინახება დაშიფრული ფორმით (Base64 + RC4) PE ფაილის .data განყოფილებაში.

RSA-8192 გასაღები base64 დეკოდირების და RC4 გაშიფვრის შემდეგ fuckav პაროლით ასე გამოიყურება.

შედეგად, დაშიფვრის მთელი პროცესი ასე გამოიყურება:

• შექმენით 128-ბიტიანი AES გასაღები, რომელიც გამოყენებული იქნება ყველა ფაილის დაშიფვრისთვის.
• შექმენით IV თითოეული ფაილისთვის.
• გასაღების წყვილის შექმნა RSA-2048 სესიისთვის.
• არსებული RSA-8192 გასაღების გაშიფვრა base64 და RC4 გამოყენებით.
• დაშიფრეთ ფაილის შინაარსი AES-128-CBC ალგორითმის გამოყენებით პირველი ნაბიჯიდან.
• IV დაშიფვრა RSA-2048 საჯარო გასაღების და base64 კოდირების გამოყენებით.
• დაშიფრული IV-ის დამატება ყოველი დაშიფრული ფაილის ბოლოს.
• კონფიგურაციაში AES გასაღების და RSA-2048 სესიის პირადი გასაღების დამატება.
• კონფიგურაციის მონაცემები აღწერილია განყოფილებაში ინფორმაციის შეგროვება ინფიცირებული კომპიუტერის შესახებ დაშიფრულია მთავარი საჯარო გასაღების RSA-8192 გამოყენებით.
• დაშიფრული ფაილი ასე გამოიყურება:

დაშიფრული ფაილების მაგალითი:

ინფიცირებული კომპიუტერის შესახებ ინფორმაციის შეგროვება

გამოსასყიდი აგროვებს გასაღებებს ინფიცირებული ფაილების გასაშიფრად, ასე რომ თავდამსხმელს შეუძლია რეალურად შექმნას დეშიფრატორი. გარდა ამისა, Nemty აგროვებს მომხმარებლის მონაცემებს, როგორიცაა მომხმარებლის სახელი, კომპიუტერის სახელი, აპარატურის პროფილი.

ის უწოდებს GetLogicalDrives(), GetFreeSpace(), GetDriveType() ფუნქციებს ინფიცირებული კომპიუტერის დისკების შესახებ ინფორმაციის შესაგროვებლად.

შეგროვებული ინფორმაცია ინახება კონფიგურაციის ფაილში. სტრიქონის გაშიფვრის შემდეგ, ჩვენ ვიღებთ პარამეტრების ჩამონათვალს კონფიგურაციის ფაილში:

ინფიცირებული კომპიუტერის კონფიგურაციის მაგალითი:

კონფიგურაციის შაბლონი შეიძლება წარმოდგენილი იყოს შემდეგნაირად:

{"General": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":false, "ვერსია":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]

Nemty ინახავს შეგროვებულ მონაცემებს JSON ფორმატში ფაილში %USER%/_NEMTY_.nemty. FileID არის 7 სიმბოლო და შემთხვევით გენერირებული. მაგალითად: _NEMTY_tgdLYrd_.nemty. FileID ასევე დართულია დაშიფრული ფაილის ბოლოს.

გამოსასყიდის შეტყობინება

ფაილების დაშიფვრის შემდეგ, ფაილი _NEMTY_[FileID]-DECRYPT.txt გამოჩნდება სამუშაო მაგიდაზე შემდეგი შინაარსით:

ფაილის ბოლოს არის დაშიფრული ინფორმაცია ინფიცირებული კომპიუტერის შესახებ.

ქსელური კომუნიკაცია

ironman.exe პროცესი ჩამოტვირთავს Tor ბრაუზერის განაწილებას მისამართიდან https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip და ცდილობს დააინსტალიროს.

შემდეგ Nemty ცდილობს გაგზავნოს კონფიგურაციის მონაცემები 127.0.0.1:9050-ზე, სადაც ის მოელის, რომ იპოვის სამუშაო Tor ბრაუზერის პროქსი. თუმცა, ნაგულისხმევად Tor პროქსი უსმენს 9150 პორტს, ხოლო 9050 პორტს იყენებს Tor დემონი Linux-ზე ან Expert Bundle Windows-ზე. ამრიგად, თავდამსხმელის სერვერზე მონაცემები არ იგზავნება. ამის ნაცვლად, მომხმარებელს შეუძლია კონფიგურაციის ფაილი ხელით გადმოწეროს Tor-ის გაშიფვრის სერვისის მონახულების გზით გამოსასყიდის შეტყობინებაში მოცემული ბმულის მეშვეობით.

Tor proxy-თან დაკავშირება:

HTTP GET ქმნის მოთხოვნას 127.0.0.1:9050/public/gate?data=

აქ შეგიძლიათ იხილოთ ღია TCP პორტები, რომლებსაც იყენებს TORlocal პროქსი:

ნემტის გაშიფვრის სერვისი Tor ქსელში:

გაშიფვრის სერვისის შესამოწმებლად შეგიძლიათ ატვირთოთ დაშიფრული ფოტო (jpg, png, bmp).

ამის შემდეგ თავდამსხმელი გამოსასყიდის გადახდას ითხოვს. გადაუხდელობის შემთხვევაში ფასი ორმაგდება.

დასკვნა

ამ დროისთვის შეუძლებელია ნემტის მიერ დაშიფრული ფაილების გაშიფვრა გამოსასყიდის გადახდის გარეშე. გამოსასყიდის ამ ვერსიას აქვს საერთო მახასიათებლები Buran ransomware-თან და მოძველებულ GandCrab-თან: კომპილაცია Borland Delphi-ში და სურათები იგივე ტექსტით. გარდა ამისა, ეს არის პირველი შიფრატორი, რომელიც იყენებს 8092-ბიტიან RSA კლავიშს, რასაც, ისევ და ისევ, აზრი არ აქვს, რადგან დაცვისთვის საკმარისია 1024-ბიტიანი გასაღები. დაბოლოს, და საინტერესოა, რომ ის ცდილობს არასწორი პორტის გამოყენებას ადგილობრივი Tor proxy სერვისისთვის.

თუმცა, გადაწყვეტილებები Acronis სარეზერვო и აკრონის ჭეშმარიტი გამოსახულება თავიდან აიცილონ Nemty გამოსასყიდი პროგრამა მომხმარებელთა კომპიუტერებზე და მონაცემებზე, და პროვაიდერებს შეუძლიათ დაიცვან თავიანთი კლიენტები Acronis Backup Cloud. სრული კიბერ დაცვა უზრუნველყოფს არა მხოლოდ სარეზერვო ასლს, არამედ დაცვას გამოყენებით Acronis Active Protection, ხელოვნური ინტელექტისა და ქცევის ევრისტიკაზე დაფუძნებული სპეციალური ტექნოლოგია, რომელიც საშუალებას გაძლევთ გაანეიტრალოთ ჯერ კიდევ უცნობი მავნე პროგრამები.

წყარო: www.habr.com