Nemty ಎಂಬ ಹೊಸ ransomware ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡಿದೆ, ಇದು GrandCrab ಅಥವಾ Buran ನ ಉತ್ತರಾಧಿಕಾರಿಯಾಗಿದೆ. ಮಾಲ್ವೇರ್ ಅನ್ನು ಮುಖ್ಯವಾಗಿ ನಕಲಿ ಪೇಪಾಲ್ ವೆಬ್ಸೈಟ್ನಿಂದ ವಿತರಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಹಲವಾರು ಆಸಕ್ತಿದಾಯಕ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಹೊಂದಿದೆ. ಈ ransomware ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದರ ಕುರಿತು ವಿವರಗಳನ್ನು ಕಡಿತಗೊಳಿಸಲಾಗಿದೆ.
ಹೊಸ Nemty ransomware ಅನ್ನು ಬಳಕೆದಾರರು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ ಸೆಪ್ಟೆಂಬರ್ 7, 2019. ಮಾಲ್ವೇರ್ ಅನ್ನು ವೆಬ್ಸೈಟ್ ಮೂಲಕ ವಿತರಿಸಲಾಗಿದೆ , RIG ಶೋಷಣೆ ಕಿಟ್ ಮೂಲಕ ransomware ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ಭೇದಿಸಲು ಸಹ ಸಾಧ್ಯವಿದೆ. ಪೇಪಾಲ್ ವೆಬ್ಸೈಟ್ನಿಂದ ಅವರು ಸ್ವೀಕರಿಸಿದ್ದಾರೆಂದು ಹೇಳಲಾದ cashback.exe ಫೈಲ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಬಳಕೆದಾರರನ್ನು ಒತ್ತಾಯಿಸಲು ಆಕ್ರಮಣಕಾರರು ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ ವಿಧಾನಗಳನ್ನು ಬಳಸಿದ್ದಾರೆ. ಮಾಲ್ವೇರ್ ಕಳುಹಿಸುವುದನ್ನು ತಡೆಯುವ ಸ್ಥಳೀಯ ಪ್ರಾಕ್ಸಿ ಸೇವೆ Tor ಗಾಗಿ Nemty ತಪ್ಪು ಪೋರ್ಟ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ್ದಾರೆ ಎಂಬ ಕುತೂಹಲವೂ ಇದೆ. ಸರ್ವರ್ಗೆ ಡೇಟಾ. ಆದ್ದರಿಂದ, ಬಳಕೆದಾರರು ಸುಲಿಗೆ ಪಾವತಿಸಲು ಮತ್ತು ದಾಳಿಕೋರರಿಂದ ಡೀಕ್ರಿಪ್ಶನ್ಗಾಗಿ ಕಾಯಲು ಬಯಸಿದರೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ಗಳನ್ನು ಟಾರ್ ನೆಟ್ವರ್ಕ್ಗೆ ಅಪ್ಲೋಡ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ.
ನೆಮ್ಟಿಯ ಬಗ್ಗೆ ಹಲವಾರು ಕುತೂಹಲಕಾರಿ ಸಂಗತಿಗಳು ಇದನ್ನು ಅದೇ ಜನರು ಅಥವಾ ಬುರಾನ್ ಮತ್ತು ಗ್ರ್ಯಾಂಡ್ಕ್ರ್ಯಾಬ್ಗೆ ಸಂಬಂಧಿಸಿದ ಸೈಬರ್ ಅಪರಾಧಿಗಳು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ್ದಾರೆ ಎಂದು ಸೂಚಿಸುತ್ತವೆ.
- ಗ್ಯಾಂಡ್ಕ್ರ್ಯಾಬ್ನಂತೆ, ನೆಮ್ಟಿಯು ಈಸ್ಟರ್ ಎಗ್ ಅನ್ನು ಹೊಂದಿದೆ - ರಷ್ಯಾದ ಅಧ್ಯಕ್ಷ ವ್ಲಾಡಿಮಿರ್ ಪುಟಿನ್ ಅವರ ಫೋಟೋಗೆ ಅಶ್ಲೀಲ ಹಾಸ್ಯದೊಂದಿಗೆ ಲಿಂಕ್. ಪರಂಪರೆಯ GandCrab ransomware ಅದೇ ಪಠ್ಯದೊಂದಿಗೆ ಚಿತ್ರವನ್ನು ಹೊಂದಿತ್ತು.
- ಎರಡೂ ಕಾರ್ಯಕ್ರಮಗಳ ಭಾಷಾ ಕಲಾಕೃತಿಗಳು ಒಂದೇ ರಷ್ಯನ್-ಮಾತನಾಡುವ ಲೇಖಕರನ್ನು ಸೂಚಿಸುತ್ತವೆ.
- ಇದು 8092-ಬಿಟ್ RSA ಕೀಯನ್ನು ಬಳಸುವ ಮೊದಲ ransomware ಆಗಿದೆ. ಇದರಲ್ಲಿ ಯಾವುದೇ ಅರ್ಥವಿಲ್ಲದಿದ್ದರೂ: ಹ್ಯಾಕಿಂಗ್ ವಿರುದ್ಧ ರಕ್ಷಿಸಲು 1024-ಬಿಟ್ ಕೀ ಸಾಕಷ್ಟು ಸಾಕು.
- ಬುರಾನ್ನಂತೆ, ransomware ಅನ್ನು ಆಬ್ಜೆಕ್ಟ್ ಪ್ಯಾಸ್ಕಲ್ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು ಬೋರ್ಲ್ಯಾಂಡ್ ಡೆಲ್ಫಿಯಲ್ಲಿ ಸಂಕಲಿಸಲಾಗಿದೆ.
ಸ್ಥಾಯೀ ವಿಶ್ಲೇಷಣೆ
ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯು ನಾಲ್ಕು ಹಂತಗಳಲ್ಲಿ ಸಂಭವಿಸುತ್ತದೆ. 32 ಬೈಟ್ಗಳ ಗಾತ್ರದೊಂದಿಗೆ MS ವಿಂಡೋಸ್ ಅಡಿಯಲ್ಲಿ PE1198936 ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಕ್ಯಾಶ್ಬ್ಯಾಕ್.exe ಅನ್ನು ರನ್ ಮಾಡುವುದು ಮೊದಲ ಹಂತವಾಗಿದೆ. ಇದರ ಕೋಡ್ ಅನ್ನು ವಿಷುಯಲ್ C++ ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು ಅಕ್ಟೋಬರ್ 14, 2013 ರಂದು ಸಂಕಲಿಸಲಾಗಿದೆ. ನೀವು cashback.exe ಅನ್ನು ರನ್ ಮಾಡಿದಾಗ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಅನ್ಪ್ಯಾಕ್ ಮಾಡಲಾದ ಆರ್ಕೈವ್ ಅನ್ನು ಇದು ಒಳಗೊಂಡಿದೆ. ಸಾಫ್ಟ್ವೇರ್ Cabinet.dll ಲೈಬ್ರರಿ ಮತ್ತು ಅದರ ಕಾರ್ಯಗಳಾದ FDICreate(), FDIDestroy() ಮತ್ತು .cab ಆರ್ಕೈವ್ನಿಂದ ಫೈಲ್ಗಳನ್ನು ಪಡೆಯಲು ಬಳಸುತ್ತದೆ.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
ಆರ್ಕೈವ್ ಅನ್ನು ಅನ್ಪ್ಯಾಕ್ ಮಾಡಿದ ನಂತರ, ಮೂರು ಫೈಲ್ಗಳು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತವೆ.
ಮುಂದೆ, temp.exe ಅನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ, 32 ಬೈಟ್ಗಳ ಗಾತ್ರದೊಂದಿಗೆ MS ವಿಂಡೋಸ್ ಅಡಿಯಲ್ಲಿ PE307200 ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್. ಕೋಡ್ ಅನ್ನು ವಿಷುಯಲ್ C++ ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು UPX ಅನ್ನು ಹೋಲುವ ಪ್ಯಾಕರ್ MPRESS ಪ್ಯಾಕರ್ನೊಂದಿಗೆ ಪ್ಯಾಕ್ ಮಾಡಲಾಗಿದೆ.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
ಮುಂದಿನ ಹಂತವೆಂದರೆ ironman.exe. ಒಮ್ಮೆ ಪ್ರಾರಂಭಿಸಿದ ನಂತರ, temp.exe ಎಂಬೆಡೆಡ್ ಡೇಟಾವನ್ನು ಟೆಂಪ್ನಲ್ಲಿ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದನ್ನು 32 ಬೈಟ್ PE544768 ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ ಅನ್ನು ironman.exe ಎಂದು ಮರುಹೆಸರಿಸುತ್ತದೆ. ಕೋಡ್ ಅನ್ನು ಬೋರ್ಲ್ಯಾಂಡ್ ಡೆಲ್ಫಿಯಲ್ಲಿ ಸಂಕಲಿಸಲಾಗಿದೆ.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
ಕಬ್ಬಿಣದ.exe ಫೈಲ್ ಅನ್ನು ಮರುಪ್ರಾರಂಭಿಸುವುದು ಕೊನೆಯ ಹಂತವಾಗಿದೆ. ರನ್ಟೈಮ್ನಲ್ಲಿ, ಅದು ತನ್ನ ಕೋಡ್ ಅನ್ನು ರೂಪಾಂತರಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಮೆಮೊರಿಯಿಂದ ಸ್ವತಃ ಚಲಿಸುತ್ತದೆ. ironman.exe ನ ಈ ಆವೃತ್ತಿಯು ದುರುದ್ದೇಶಪೂರಿತವಾಗಿದೆ ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಶನ್ಗೆ ಕಾರಣವಾಗಿದೆ.
ದಾಳಿ ವೆಕ್ಟರ್
ಪ್ರಸ್ತುತ, Nemty ransomware ಅನ್ನು ವೆಬ್ಸೈಟ್ pp-back.info ಮೂಲಕ ವಿತರಿಸಲಾಗುತ್ತದೆ.
ಸೋಂಕಿನ ಸಂಪೂರ್ಣ ಸರಪಳಿಯನ್ನು ವೀಕ್ಷಿಸಬಹುದು ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್.
ಸೆಟ್ಟಿಂಗ್
Cashback.exe - ದಾಳಿಯ ಪ್ರಾರಂಭ. ಈಗಾಗಲೇ ಹೇಳಿದಂತೆ, cashback.exe ಅದು ಒಳಗೊಂಡಿರುವ .cab ಫೈಲ್ ಅನ್ನು ಅನ್ಪ್ಯಾಕ್ ಮಾಡುತ್ತದೆ. ಇದು ನಂತರ %TEMP%IXxxx.TMP ರೂಪದ TMP4351$.TMP ಫೋಲ್ಡರ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ, ಇಲ್ಲಿ xxx 001 ರಿಂದ 999 ರವರೆಗಿನ ಸಂಖ್ಯೆಯಾಗಿದೆ.
ಮುಂದೆ, ನೋಂದಾವಣೆ ಕೀಲಿಯನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಅದು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
ಅನ್ಪ್ಯಾಕ್ ಮಾಡಲಾದ ಫೈಲ್ಗಳನ್ನು ಅಳಿಸಲು ಇದನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಅಂತಿಮವಾಗಿ, cashback.exe temp.exe ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ.
Temp.exe ಸೋಂಕಿನ ಸರಪಳಿಯಲ್ಲಿ ಎರಡನೇ ಹಂತವಾಗಿದೆ
ಇದು ವೈರಸ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ನ ಎರಡನೇ ಹಂತವಾದ cashback.exe ಫೈಲ್ನಿಂದ ಪ್ರಾರಂಭಿಸಲಾದ ಪ್ರಕ್ರಿಯೆಯಾಗಿದೆ. ಇದು ವಿಂಡೋಸ್ನಲ್ಲಿ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಚಲಾಯಿಸುವ ಸಾಧನವಾದ AutoHotKey ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ ಮತ್ತು PE ಫೈಲ್ನ ಸಂಪನ್ಮೂಲಗಳ ವಿಭಾಗದಲ್ಲಿ ಇರುವ WindowSpy.ahk ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತದೆ.
WindowSpy.ahk ಸ್ಕ್ರಿಪ್ಟ್ RC4 ಅಲ್ಗಾರಿದಮ್ ಮತ್ತು ಪಾಸ್ವರ್ಡ್ IwantAcake ಅನ್ನು ಬಳಸಿಕೊಂಡು ironman.exe ನಲ್ಲಿ ಟೆಂಪ್ ಫೈಲ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ. MD5 ಹ್ಯಾಶಿಂಗ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪಾಸ್ವರ್ಡ್ನಿಂದ ಕೀಲಿಯನ್ನು ಪಡೆಯಲಾಗುತ್ತದೆ.
temp.exe ನಂತರ ironman.exe ಪ್ರಕ್ರಿಯೆಯನ್ನು ಕರೆಯುತ್ತದೆ.
Ironman.exe - ಮೂರನೇ ಹಂತ
Ironman.exe, iron.bmp ಫೈಲ್ನ ವಿಷಯಗಳನ್ನು ಓದುತ್ತದೆ ಮತ್ತು ಕ್ರಿಪ್ಟೋಲಾಕರ್ನೊಂದಿಗೆ iron.txt ಫೈಲ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ, ಅದನ್ನು ಮುಂದೆ ಪ್ರಾರಂಭಿಸಲಾಗುವುದು.
ಇದರ ನಂತರ, ವೈರಸ್ ಕಬ್ಬಿಣ.txt ಅನ್ನು ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ironman.exe ಎಂದು ಮರುಪ್ರಾರಂಭಿಸುತ್ತದೆ. ಇದರ ನಂತರ, iron.txt ಅನ್ನು ಅಳಿಸಲಾಗುತ್ತದೆ.
ironman.exe NEMTY ransomware ನ ಮುಖ್ಯ ಭಾಗವಾಗಿದೆ, ಇದು ಪೀಡಿತ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ ಫೈಲ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ. ಮಾಲ್ವೇರ್ ದ್ವೇಷ ಎಂಬ ಮ್ಯೂಟೆಕ್ಸ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ.
ಕಂಪ್ಯೂಟರ್ನ ಭೌಗೋಳಿಕ ಸ್ಥಳವನ್ನು ನಿರ್ಧರಿಸುವುದು ಅದು ಮಾಡುವ ಮೊದಲನೆಯದು. Nemty ಬ್ರೌಸರ್ ಅನ್ನು ತೆರೆಯುತ್ತದೆ ಮತ್ತು IP ಅನ್ನು ಕಂಡುಹಿಡಿಯುತ್ತದೆ . ಸೈಟ್ನಲ್ಲಿ [IP]/countryName ಸ್ವೀಕರಿಸಿದ IP ಯಿಂದ ದೇಶವನ್ನು ನಿರ್ಧರಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಕೆಳಗೆ ಪಟ್ಟಿ ಮಾಡಲಾದ ಪ್ರದೇಶಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿ ಕಂಪ್ಯೂಟರ್ ನೆಲೆಗೊಂಡಿದ್ದರೆ, ಮಾಲ್ವೇರ್ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯು ನಿಲ್ಲುತ್ತದೆ:
- ರಶಿಯಾ
- ಬೆಲಾರಸ್
- ಉಕ್ರೇನ್
- ಕಝಾಕಿಸ್ತಾನ್
- ತಜಾಕಿಸ್ಥಾನ್
ಹೆಚ್ಚಾಗಿ, ಡೆವಲಪರ್ಗಳು ತಮ್ಮ ನಿವಾಸದ ದೇಶಗಳಲ್ಲಿ ಕಾನೂನು ಜಾರಿ ಸಂಸ್ಥೆಗಳ ಗಮನವನ್ನು ಸೆಳೆಯಲು ಬಯಸುವುದಿಲ್ಲ ಮತ್ತು ಆದ್ದರಿಂದ ಅವರ "ಮನೆ" ನ್ಯಾಯವ್ಯಾಪ್ತಿಯಲ್ಲಿ ಫೈಲ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಬೇಡಿ.
ಬಲಿಪಶುವಿನ IP ವಿಳಾಸವು ಮೇಲಿನ ಪಟ್ಟಿಗೆ ಸೇರಿಲ್ಲದಿದ್ದರೆ, ವೈರಸ್ ಬಳಕೆದಾರರ ಮಾಹಿತಿಯನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ.
ಫೈಲ್ ಮರುಪಡೆಯುವಿಕೆ ತಡೆಯಲು, ಅವುಗಳ ನೆರಳು ಪ್ರತಿಗಳನ್ನು ಅಳಿಸಲಾಗುತ್ತದೆ:
ಇದು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ ಫೈಲ್ಗಳು ಮತ್ತು ಫೋಲ್ಡರ್ಗಳ ಪಟ್ಟಿಯನ್ನು ಮತ್ತು ಫೈಲ್ ವಿಸ್ತರಣೆಗಳ ಪಟ್ಟಿಯನ್ನು ರಚಿಸುತ್ತದೆ.
- ವಿಂಡೋಸ್
- $RECYCLE.BIN
- ಆರ್ಎಸ್ಎ
- NTDETECT.COM
- ಇತ್ಯಾದಿ
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- config.SYS
- BOOTSECT.BAK
- ಬೂಟ್ ಎಂಜಿಆರ್
- ಕಾರ್ಯಕ್ರಮದ ಡೇಟಾ
- ಅಪ್ಲಿಕೇಶನ್ ಡೇಟಾವನ್ನು
- ಒಸಾಫ್ಟ್
- ಸಾಮಾನ್ಯ ಕಡತಗಳು
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY ಅಸ್ಪಷ್ಟತೆ
URL ಗಳು ಮತ್ತು ಎಂಬೆಡೆಡ್ ಕಾನ್ಫಿಗರೇಶನ್ ಡೇಟಾವನ್ನು ಮರೆಮಾಡಲು, ನೆಮ್ಟಿ ಫುಕಾವ್ ಕೀವರ್ಡ್ನೊಂದಿಗೆ ಬೇಸ್64 ಮತ್ತು RC4 ಎನ್ಕೋಡಿಂಗ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸುತ್ತದೆ.
CryptStringToBinary ಬಳಸಿಕೊಂಡು ಡೀಕ್ರಿಪ್ಶನ್ ಪ್ರಕ್ರಿಯೆಯು ಈ ಕೆಳಗಿನಂತಿರುತ್ತದೆ
ಗೂ ry ಲಿಪೀಕರಣ
Nemty ಮೂರು-ಪದರದ ಗೂಢಲಿಪೀಕರಣವನ್ನು ಬಳಸುತ್ತದೆ:
- ಫೈಲ್ಗಳಿಗಾಗಿ AES-128-CBC. 128-ಬಿಟ್ AES ಕೀಯನ್ನು ಯಾದೃಚ್ಛಿಕವಾಗಿ ರಚಿಸಲಾಗಿದೆ ಮತ್ತು ಎಲ್ಲಾ ಫೈಲ್ಗಳಿಗೆ ಒಂದೇ ರೀತಿ ಬಳಸಲಾಗುತ್ತದೆ. ಇದನ್ನು ಬಳಕೆದಾರರ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ. IV ಅನ್ನು ಪ್ರತಿ ಫೈಲ್ಗೆ ಯಾದೃಚ್ಛಿಕವಾಗಿ ರಚಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ.
- ಫೈಲ್ ಎನ್ಕ್ರಿಪ್ಶನ್ IV ಗಾಗಿ RSA-2048. ಅಧಿವೇಶನಕ್ಕಾಗಿ ಒಂದು ಪ್ರಮುಖ ಜೋಡಿಯನ್ನು ರಚಿಸಲಾಗಿದೆ. ಅಧಿವೇಶನಕ್ಕಾಗಿ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಬಳಕೆದಾರರ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ.
- RSA-8192. ಮಾಸ್ಟರ್ ಸಾರ್ವಜನಿಕ ಕೀಲಿಯನ್ನು ಪ್ರೋಗ್ರಾಂನಲ್ಲಿ ನಿರ್ಮಿಸಲಾಗಿದೆ ಮತ್ತು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು RSA-2048 ಸೆಶನ್ಗಾಗಿ AES ಕೀ ಮತ್ತು ರಹಸ್ಯ ಕೀಲಿಯನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ.
- ನೆಮ್ಟಿಯು ಮೊದಲು 32 ಬೈಟ್ಗಳ ಯಾದೃಚ್ಛಿಕ ಡೇಟಾವನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ. ಮೊದಲ 16 ಬೈಟ್ಗಳನ್ನು AES-128-CBC ಕೀಲಿಯಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ.
ಎರಡನೇ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ RSA-2048 ಆಗಿದೆ. ಪ್ರಮುಖ ಜೋಡಿಯನ್ನು CryptGenKey() ಕಾರ್ಯದಿಂದ ರಚಿಸಲಾಗಿದೆ ಮತ್ತು CryptImportKey() ಕಾರ್ಯದಿಂದ ಆಮದು ಮಾಡಿಕೊಳ್ಳಲಾಗುತ್ತದೆ.
ಸೆಷನ್ಗಾಗಿ ಕೀ ಜೋಡಿಯನ್ನು ರಚಿಸಿದ ನಂತರ, ಸಾರ್ವಜನಿಕ ಕೀಲಿಯನ್ನು MS ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಸೇವಾ ಪೂರೈಕೆದಾರರಿಗೆ ಆಮದು ಮಾಡಿಕೊಳ್ಳಲಾಗುತ್ತದೆ.
ಅಧಿವೇಶನಕ್ಕಾಗಿ ರಚಿಸಲಾದ ಸಾರ್ವಜನಿಕ ಕೀಲಿಯ ಉದಾಹರಣೆ:
ಮುಂದೆ, ಖಾಸಗಿ ಕೀಲಿಯನ್ನು CSP ಗೆ ಆಮದು ಮಾಡಿಕೊಳ್ಳಲಾಗುತ್ತದೆ.
ಸೆಷನ್ಗಾಗಿ ರಚಿಸಲಾದ ಖಾಸಗಿ ಕೀಲಿಯ ಉದಾಹರಣೆ:
ಮತ್ತು ಕೊನೆಯದಾಗಿ RSA-8192 ಬರುತ್ತದೆ. ಮುಖ್ಯ ಸಾರ್ವಜನಿಕ ಕೀಲಿಯನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ರೂಪದಲ್ಲಿ (Base64 + RC4) PE ಫೈಲ್ನ .ಡೇಟಾ ವಿಭಾಗದಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ.
Fuckav ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ Base8192 ಡಿಕೋಡಿಂಗ್ ಮತ್ತು RC64 ಡೀಕ್ರಿಪ್ಶನ್ ನಂತರ RSA-4 ಕೀ ಈ ರೀತಿ ಕಾಣುತ್ತದೆ.
ಪರಿಣಾಮವಾಗಿ, ಸಂಪೂರ್ಣ ಗೂಢಲಿಪೀಕರಣ ಪ್ರಕ್ರಿಯೆಯು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
- ಎಲ್ಲಾ ಫೈಲ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸಲಾಗುವ 128-ಬಿಟ್ AES ಕೀಯನ್ನು ರಚಿಸಿ.
- ಪ್ರತಿ ಫೈಲ್ಗೆ IV ರಚಿಸಿ.
- RSA-2048 ಸೆಷನ್ಗಾಗಿ ಪ್ರಮುಖ ಜೋಡಿಯನ್ನು ರಚಿಸಲಾಗುತ್ತಿದೆ.
- Base8192 ಮತ್ತು RC64 ಬಳಸಿಕೊಂಡು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ RSA-4 ಕೀಲಿಯ ಡೀಕ್ರಿಪ್ಶನ್.
- ಮೊದಲ ಹಂತದಿಂದ AES-128-CBC ಅಲ್ಗಾರಿದಮ್ ಬಳಸಿ ಫೈಲ್ ವಿಷಯಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿ.
- RSA-2048 ಸಾರ್ವಜನಿಕ ಕೀ ಮತ್ತು ಬೇಸ್ 64 ಎನ್ಕೋಡಿಂಗ್ ಬಳಸಿಕೊಂಡು IV ಎನ್ಕ್ರಿಪ್ಶನ್.
- ಪ್ರತಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ನ ಅಂತ್ಯಕ್ಕೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ IV ಅನ್ನು ಸೇರಿಸುವುದು.
- ಸಂರಚನೆಗೆ AES ಕೀ ಮತ್ತು RSA-2048 ಸೆಶನ್ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಸೇರಿಸಲಾಗುತ್ತಿದೆ.
- ವಿಭಾಗದಲ್ಲಿ ವಿವರಿಸಿದ ಕಾನ್ಫಿಗರೇಶನ್ ಡೇಟಾ ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ ಬಗ್ಗೆ ಮುಖ್ಯ ಸಾರ್ವಜನಿಕ ಕೀ RSA-8192 ಅನ್ನು ಬಳಸಿಕೊಂಡು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ.
- ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ಗಳ ಉದಾಹರಣೆ:
ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸುವುದು
ransomware ಸೋಂಕಿತ ಫೈಲ್ಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಕೀಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ, ಆದ್ದರಿಂದ ಆಕ್ರಮಣಕಾರರು ವಾಸ್ತವವಾಗಿ ಡೀಕ್ರಿಪ್ಟರ್ ಅನ್ನು ರಚಿಸಬಹುದು. ಇದರ ಜೊತೆಗೆ, ಬಳಕೆದಾರರ ಹೆಸರು, ಕಂಪ್ಯೂಟರ್ ಹೆಸರು, ಹಾರ್ಡ್ವೇರ್ ಪ್ರೊಫೈಲ್ನಂತಹ ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ನೆಮ್ಟಿ ಸಂಗ್ರಹಿಸುತ್ತದೆ.
ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ನ ಡ್ರೈವ್ಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ಇದು GetLogicalDrives(), GetFreeSpace(), GetDriveType() ಕಾರ್ಯಗಳನ್ನು ಕರೆಯುತ್ತದೆ.
ಸಂಗ್ರಹಿಸಿದ ಮಾಹಿತಿಯನ್ನು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ. ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಡಿಕೋಡ್ ಮಾಡಿದ ನಂತರ, ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ನಾವು ನಿಯತಾಂಕಗಳ ಪಟ್ಟಿಯನ್ನು ಪಡೆಯುತ್ತೇವೆ:
ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ನ ಉದಾಹರಣೆ ಕಾನ್ಫಿಗರೇಶನ್:
ಕಾನ್ಫಿಗರೇಶನ್ ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಪ್ರತಿನಿಧಿಸಬಹುದು:
{"ಸಾಮಾನ್ಯ": {"IP":"[IP]", "ದೇಶ":"[ದೇಶ]", "ಕಂಪ್ಯೂಟರ್ ಹೆಸರು":"[ComputerName]", "ಬಳಕೆದಾರ ಹೆಸರು":"[ಬಳಕೆದಾರ ಹೆಸರು]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "ಕೀ":"[ಕೀ]", "pr_key":"[pr_key]
Nemty ಸಂಗ್ರಹಿಸಿದ ಡೇಟಾವನ್ನು JSON ಫಾರ್ಮ್ಯಾಟ್ನಲ್ಲಿ %USER%/_NEMTY_.nemty ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸುತ್ತದೆ. FileID 7 ಅಕ್ಷರಗಳ ಉದ್ದ ಮತ್ತು ಯಾದೃಚ್ಛಿಕವಾಗಿ ರಚಿಸಲಾಗಿದೆ. ಉದಾಹರಣೆಗೆ: _NEMTY_tgdLYrd_.nemty. ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಫೈಲ್ನ ಕೊನೆಯಲ್ಲಿ ಫೈಲ್ಐಡಿ ಅನ್ನು ಸಹ ಸೇರಿಸಲಾಗಿದೆ.
ಸುಲಿಗೆ ಸಂದೇಶ
ಫೈಲ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ನಂತರ, _NEMTY_[FileID]-DECRYPT.txt ಫೈಲ್ ಈ ಕೆಳಗಿನ ವಿಷಯದೊಂದಿಗೆ ಡೆಸ್ಕ್ಟಾಪ್ನಲ್ಲಿ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ:
ಫೈಲ್ನ ಕೊನೆಯಲ್ಲಿ ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ ಬಗ್ಗೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಮಾಹಿತಿ ಇರುತ್ತದೆ.
ನೆಟ್ವರ್ಕ್ ಸಂವಹನ
Ironman.exe ಪ್ರಕ್ರಿಯೆಯು ವಿಳಾಸದಿಂದ ಟಾರ್ ಬ್ರೌಸರ್ ವಿತರಣೆಯನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಸ್ಥಾಪಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ.
Nemty ನಂತರ ಕಾನ್ಫಿಗರೇಶನ್ ಡೇಟಾವನ್ನು 127.0.0.1:9050 ಗೆ ಕಳುಹಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ, ಅಲ್ಲಿ ಅದು ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಟಾರ್ ಬ್ರೌಸರ್ ಪ್ರಾಕ್ಸಿಯನ್ನು ಹುಡುಕಲು ನಿರೀಕ್ಷಿಸುತ್ತದೆ. ಆದಾಗ್ಯೂ, ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಪೋರ್ಟ್ 9150 ನಲ್ಲಿ ಟಾರ್ ಪ್ರಾಕ್ಸಿ ಆಲಿಸುತ್ತದೆ ಮತ್ತು ಪೋರ್ಟ್ 9050 ಅನ್ನು ಲಿನಕ್ಸ್ನಲ್ಲಿ ಟಾರ್ ಡೀಮನ್ ಅಥವಾ ವಿಂಡೋಸ್ನಲ್ಲಿ ಎಕ್ಸ್ಪರ್ಟ್ ಬಂಡಲ್ ಬಳಸುತ್ತದೆ. ಹೀಗಾಗಿ, ಆಕ್ರಮಣಕಾರರ ಸರ್ವರ್ಗೆ ಯಾವುದೇ ಡೇಟಾವನ್ನು ಕಳುಹಿಸಲಾಗುವುದಿಲ್ಲ. ಬದಲಾಗಿ, ರಾನ್ಸಮ್ ಸಂದೇಶದಲ್ಲಿ ಒದಗಿಸಲಾದ ಲಿಂಕ್ ಮೂಲಕ ಟಾರ್ ಡೀಕ್ರಿಪ್ಶನ್ ಸೇವೆಗೆ ಭೇಟಿ ನೀಡುವ ಮೂಲಕ ಬಳಕೆದಾರರು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ಡೌನ್ಲೋಡ್ ಮಾಡಬಹುದು.
ಟಾರ್ ಪ್ರಾಕ್ಸಿಗೆ ಸಂಪರ್ಕಿಸಲಾಗುತ್ತಿದೆ:
HTTP GET 127.0.0.1:9050/public/gate?data= ಗೆ ವಿನಂತಿಯನ್ನು ರಚಿಸುತ್ತದೆ
TORlocal ಪ್ರಾಕ್ಸಿಯಿಂದ ಬಳಸಲಾಗುವ ತೆರೆದ TCP ಪೋರ್ಟ್ಗಳನ್ನು ನೀವು ಇಲ್ಲಿ ನೋಡಬಹುದು:
ಟಾರ್ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ನೆಮ್ಟಿ ಡೀಕ್ರಿಪ್ಶನ್ ಸೇವೆ:
ಡೀಕ್ರಿಪ್ಶನ್ ಸೇವೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು ನೀವು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೋಟೋವನ್ನು (jpg, png, bmp) ಅಪ್ಲೋಡ್ ಮಾಡಬಹುದು.
ಇದರ ನಂತರ, ಆಕ್ರಮಣಕಾರನು ಸುಲಿಗೆ ಪಾವತಿಸಲು ಕೇಳುತ್ತಾನೆ. ಪಾವತಿಸದಿದ್ದಲ್ಲಿ ಬೆಲೆ ದ್ವಿಗುಣಗೊಳ್ಳುತ್ತದೆ.
ತೀರ್ಮಾನಕ್ಕೆ
ಈ ಸಮಯದಲ್ಲಿ, ಸುಲಿಗೆ ಪಾವತಿಸದೆ ನೆಮ್ಟಿಯಿಂದ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ. ransomware ನ ಈ ಆವೃತ್ತಿಯು Buran ransomware ಮತ್ತು ಹಳೆಯ GandCrab ನೊಂದಿಗೆ ಸಾಮಾನ್ಯ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಹೊಂದಿದೆ: Borland Delphi ನಲ್ಲಿ ಸಂಕಲನ ಮತ್ತು ಅದೇ ಪಠ್ಯದೊಂದಿಗೆ ಚಿತ್ರಗಳು. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಇದು 8092-ಬಿಟ್ RSA ಕೀಲಿಯನ್ನು ಬಳಸುವ ಮೊದಲ ಎನ್ಕ್ರಿಪ್ಟರ್ ಆಗಿದೆ, ಇದು ಮತ್ತೊಮ್ಮೆ ಯಾವುದೇ ಅರ್ಥವನ್ನು ನೀಡುವುದಿಲ್ಲ, ಏಕೆಂದರೆ 1024-ಬಿಟ್ ಕೀ ರಕ್ಷಣೆಗೆ ಸಾಕಾಗುತ್ತದೆ. ಅಂತಿಮವಾಗಿ, ಮತ್ತು ಆಸಕ್ತಿದಾಯಕವಾಗಿ, ಇದು ಸ್ಥಳೀಯ ಟಾರ್ ಪ್ರಾಕ್ಸಿ ಸೇವೆಗಾಗಿ ತಪ್ಪು ಪೋರ್ಟ್ ಅನ್ನು ಬಳಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ.
ಆದಾಗ್ಯೂ, ಪರಿಹಾರಗಳು и Nemty ransomware ಬಳಕೆದಾರರ PC ಗಳು ಮತ್ತು ಡೇಟಾವನ್ನು ತಲುಪದಂತೆ ತಡೆಯಿರಿ ಮತ್ತು ಪೂರೈಕೆದಾರರು ತಮ್ಮ ಗ್ರಾಹಕರನ್ನು ರಕ್ಷಿಸಬಹುದು . ಪೂರ್ಣ ಬ್ಯಾಕ್ಅಪ್ ಮಾತ್ರವಲ್ಲದೆ ರಕ್ಷಣೆಯನ್ನು ಸಹ ಒದಗಿಸುತ್ತದೆ , ಕೃತಕ ಬುದ್ಧಿಮತ್ತೆ ಮತ್ತು ವರ್ತನೆಯ ಹ್ಯೂರಿಸ್ಟಿಕ್ಸ್ ಆಧಾರಿತ ವಿಶೇಷ ತಂತ್ರಜ್ಞಾನವು ಇನ್ನೂ ತಿಳಿದಿಲ್ಲದ ಮಾಲ್ವೇರ್ ಅನ್ನು ತಟಸ್ಥಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಮೂಲ: www.habr.com