ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > ನಕಲಿ PayPal ಸೈಟ್ನಿಂದ Nemty ransomware ಅನ್ನು ಭೇಟಿ ಮಾಡಿ
ನಕಲಿ PayPal ಸೈಟ್ನಿಂದ Nemty ransomware ಅನ್ನು ಭೇಟಿ ಮಾಡಿ
Nemty ಎಂಬ ಹೊಸ ransomware ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡಿದೆ, ಇದು GrandCrab ಅಥವಾ Buran ನ ಉತ್ತರಾಧಿಕಾರಿಯಾಗಿದೆ. ಮಾಲ್ವೇರ್ ಅನ್ನು ಮುಖ್ಯವಾಗಿ ನಕಲಿ ಪೇಪಾಲ್ ವೆಬ್ಸೈಟ್ನಿಂದ ವಿತರಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಹಲವಾರು ಆಸಕ್ತಿದಾಯಕ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಹೊಂದಿದೆ. ಈ ransomware ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದರ ಕುರಿತು ವಿವರಗಳನ್ನು ಕಡಿತಗೊಳಿಸಲಾಗಿದೆ.
ಹೊಸ Nemty ransomware ಅನ್ನು ಬಳಕೆದಾರರು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ nao_sec ಸೆಪ್ಟೆಂಬರ್ 7, 2019. ಮಾಲ್ವೇರ್ ಅನ್ನು ವೆಬ್ಸೈಟ್ ಮೂಲಕ ವಿತರಿಸಲಾಗಿದೆ ಪೇಪಾಲ್ ವೇಷ, RIG ಶೋಷಣೆ ಕಿಟ್ ಮೂಲಕ ransomware ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ಭೇದಿಸಲು ಸಹ ಸಾಧ್ಯವಿದೆ. ಪೇಪಾಲ್ ವೆಬ್ಸೈಟ್ನಿಂದ ಅವರು ಸ್ವೀಕರಿಸಿದ್ದಾರೆಂದು ಹೇಳಲಾದ cashback.exe ಫೈಲ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಬಳಕೆದಾರರನ್ನು ಒತ್ತಾಯಿಸಲು ಆಕ್ರಮಣಕಾರರು ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ ವಿಧಾನಗಳನ್ನು ಬಳಸಿದ್ದಾರೆ. ಮಾಲ್ವೇರ್ ಕಳುಹಿಸುವುದನ್ನು ತಡೆಯುವ ಸ್ಥಳೀಯ ಪ್ರಾಕ್ಸಿ ಸೇವೆ Tor ಗಾಗಿ Nemty ತಪ್ಪು ಪೋರ್ಟ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ್ದಾರೆ ಎಂಬ ಕುತೂಹಲವೂ ಇದೆ. ಸರ್ವರ್ಗೆ ಡೇಟಾ. ಆದ್ದರಿಂದ, ಬಳಕೆದಾರರು ಸುಲಿಗೆ ಪಾವತಿಸಲು ಮತ್ತು ದಾಳಿಕೋರರಿಂದ ಡೀಕ್ರಿಪ್ಶನ್ಗಾಗಿ ಕಾಯಲು ಬಯಸಿದರೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ಗಳನ್ನು ಟಾರ್ ನೆಟ್ವರ್ಕ್ಗೆ ಅಪ್ಲೋಡ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ.
ನೆಮ್ಟಿಯ ಬಗ್ಗೆ ಹಲವಾರು ಕುತೂಹಲಕಾರಿ ಸಂಗತಿಗಳು ಇದನ್ನು ಅದೇ ಜನರು ಅಥವಾ ಬುರಾನ್ ಮತ್ತು ಗ್ರ್ಯಾಂಡ್ಕ್ರ್ಯಾಬ್ಗೆ ಸಂಬಂಧಿಸಿದ ಸೈಬರ್ ಅಪರಾಧಿಗಳು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ್ದಾರೆ ಎಂದು ಸೂಚಿಸುತ್ತವೆ.
ಗ್ಯಾಂಡ್ಕ್ರ್ಯಾಬ್ನಂತೆ, ನೆಮ್ಟಿಯು ಈಸ್ಟರ್ ಎಗ್ ಅನ್ನು ಹೊಂದಿದೆ - ರಷ್ಯಾದ ಅಧ್ಯಕ್ಷ ವ್ಲಾಡಿಮಿರ್ ಪುಟಿನ್ ಅವರ ಫೋಟೋಗೆ ಅಶ್ಲೀಲ ಹಾಸ್ಯದೊಂದಿಗೆ ಲಿಂಕ್. ಪರಂಪರೆಯ GandCrab ransomware ಅದೇ ಪಠ್ಯದೊಂದಿಗೆ ಚಿತ್ರವನ್ನು ಹೊಂದಿತ್ತು.
ಎರಡೂ ಕಾರ್ಯಕ್ರಮಗಳ ಭಾಷಾ ಕಲಾಕೃತಿಗಳು ಒಂದೇ ರಷ್ಯನ್-ಮಾತನಾಡುವ ಲೇಖಕರನ್ನು ಸೂಚಿಸುತ್ತವೆ.
ಇದು 8092-ಬಿಟ್ RSA ಕೀಯನ್ನು ಬಳಸುವ ಮೊದಲ ransomware ಆಗಿದೆ. ಇದರಲ್ಲಿ ಯಾವುದೇ ಅರ್ಥವಿಲ್ಲದಿದ್ದರೂ: ಹ್ಯಾಕಿಂಗ್ ವಿರುದ್ಧ ರಕ್ಷಿಸಲು 1024-ಬಿಟ್ ಕೀ ಸಾಕಷ್ಟು ಸಾಕು.
ಬುರಾನ್ನಂತೆ, ransomware ಅನ್ನು ಆಬ್ಜೆಕ್ಟ್ ಪ್ಯಾಸ್ಕಲ್ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು ಬೋರ್ಲ್ಯಾಂಡ್ ಡೆಲ್ಫಿಯಲ್ಲಿ ಸಂಕಲಿಸಲಾಗಿದೆ.
ಸ್ಥಾಯೀ ವಿಶ್ಲೇಷಣೆ
ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯು ನಾಲ್ಕು ಹಂತಗಳಲ್ಲಿ ಸಂಭವಿಸುತ್ತದೆ. 32 ಬೈಟ್ಗಳ ಗಾತ್ರದೊಂದಿಗೆ MS ವಿಂಡೋಸ್ ಅಡಿಯಲ್ಲಿ PE1198936 ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಕ್ಯಾಶ್ಬ್ಯಾಕ್.exe ಅನ್ನು ರನ್ ಮಾಡುವುದು ಮೊದಲ ಹಂತವಾಗಿದೆ. ಇದರ ಕೋಡ್ ಅನ್ನು ವಿಷುಯಲ್ C++ ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು ಅಕ್ಟೋಬರ್ 14, 2013 ರಂದು ಸಂಕಲಿಸಲಾಗಿದೆ. ನೀವು cashback.exe ಅನ್ನು ರನ್ ಮಾಡಿದಾಗ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಅನ್ಪ್ಯಾಕ್ ಮಾಡಲಾದ ಆರ್ಕೈವ್ ಅನ್ನು ಇದು ಒಳಗೊಂಡಿದೆ. ಸಾಫ್ಟ್ವೇರ್ Cabinet.dll ಲೈಬ್ರರಿ ಮತ್ತು ಅದರ ಕಾರ್ಯಗಳಾದ FDICreate(), FDIDestroy() ಮತ್ತು .cab ಆರ್ಕೈವ್ನಿಂದ ಫೈಲ್ಗಳನ್ನು ಪಡೆಯಲು ಬಳಸುತ್ತದೆ.
ಆರ್ಕೈವ್ ಅನ್ನು ಅನ್ಪ್ಯಾಕ್ ಮಾಡಿದ ನಂತರ, ಮೂರು ಫೈಲ್ಗಳು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತವೆ.
ಮುಂದೆ, temp.exe ಅನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ, 32 ಬೈಟ್ಗಳ ಗಾತ್ರದೊಂದಿಗೆ MS ವಿಂಡೋಸ್ ಅಡಿಯಲ್ಲಿ PE307200 ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್. ಕೋಡ್ ಅನ್ನು ವಿಷುಯಲ್ C++ ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು UPX ಅನ್ನು ಹೋಲುವ ಪ್ಯಾಕರ್ MPRESS ಪ್ಯಾಕರ್ನೊಂದಿಗೆ ಪ್ಯಾಕ್ ಮಾಡಲಾಗಿದೆ.
ಮುಂದಿನ ಹಂತವೆಂದರೆ ironman.exe. ಒಮ್ಮೆ ಪ್ರಾರಂಭಿಸಿದ ನಂತರ, temp.exe ಎಂಬೆಡೆಡ್ ಡೇಟಾವನ್ನು ಟೆಂಪ್ನಲ್ಲಿ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದನ್ನು 32 ಬೈಟ್ PE544768 ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ ಅನ್ನು ironman.exe ಎಂದು ಮರುಹೆಸರಿಸುತ್ತದೆ. ಕೋಡ್ ಅನ್ನು ಬೋರ್ಲ್ಯಾಂಡ್ ಡೆಲ್ಫಿಯಲ್ಲಿ ಸಂಕಲಿಸಲಾಗಿದೆ.
ಕಬ್ಬಿಣದ.exe ಫೈಲ್ ಅನ್ನು ಮರುಪ್ರಾರಂಭಿಸುವುದು ಕೊನೆಯ ಹಂತವಾಗಿದೆ. ರನ್ಟೈಮ್ನಲ್ಲಿ, ಅದು ತನ್ನ ಕೋಡ್ ಅನ್ನು ರೂಪಾಂತರಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಮೆಮೊರಿಯಿಂದ ಸ್ವತಃ ಚಲಿಸುತ್ತದೆ. ironman.exe ನ ಈ ಆವೃತ್ತಿಯು ದುರುದ್ದೇಶಪೂರಿತವಾಗಿದೆ ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಶನ್ಗೆ ಕಾರಣವಾಗಿದೆ.
ದಾಳಿ ವೆಕ್ಟರ್
ಪ್ರಸ್ತುತ, Nemty ransomware ಅನ್ನು ವೆಬ್ಸೈಟ್ pp-back.info ಮೂಲಕ ವಿತರಿಸಲಾಗುತ್ತದೆ.
ಸೋಂಕಿನ ಸಂಪೂರ್ಣ ಸರಪಳಿಯನ್ನು ವೀಕ್ಷಿಸಬಹುದು app.any.run ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್.
ಸೆಟ್ಟಿಂಗ್
Cashback.exe - ದಾಳಿಯ ಪ್ರಾರಂಭ. ಈಗಾಗಲೇ ಹೇಳಿದಂತೆ, cashback.exe ಅದು ಒಳಗೊಂಡಿರುವ .cab ಫೈಲ್ ಅನ್ನು ಅನ್ಪ್ಯಾಕ್ ಮಾಡುತ್ತದೆ. ಇದು ನಂತರ %TEMP%IXxxx.TMP ರೂಪದ TMP4351$.TMP ಫೋಲ್ಡರ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ, ಇಲ್ಲಿ xxx 001 ರಿಂದ 999 ರವರೆಗಿನ ಸಂಖ್ಯೆಯಾಗಿದೆ.
ಮುಂದೆ, ನೋಂದಾವಣೆ ಕೀಲಿಯನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಅದು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಅನ್ಪ್ಯಾಕ್ ಮಾಡಲಾದ ಫೈಲ್ಗಳನ್ನು ಅಳಿಸಲು ಇದನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಅಂತಿಮವಾಗಿ, cashback.exe temp.exe ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ.
Temp.exe ಸೋಂಕಿನ ಸರಪಳಿಯಲ್ಲಿ ಎರಡನೇ ಹಂತವಾಗಿದೆ
ಇದು ವೈರಸ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ನ ಎರಡನೇ ಹಂತವಾದ cashback.exe ಫೈಲ್ನಿಂದ ಪ್ರಾರಂಭಿಸಲಾದ ಪ್ರಕ್ರಿಯೆಯಾಗಿದೆ. ಇದು ವಿಂಡೋಸ್ನಲ್ಲಿ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಚಲಾಯಿಸುವ ಸಾಧನವಾದ AutoHotKey ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ ಮತ್ತು PE ಫೈಲ್ನ ಸಂಪನ್ಮೂಲಗಳ ವಿಭಾಗದಲ್ಲಿ ಇರುವ WindowSpy.ahk ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತದೆ.
WindowSpy.ahk ಸ್ಕ್ರಿಪ್ಟ್ RC4 ಅಲ್ಗಾರಿದಮ್ ಮತ್ತು ಪಾಸ್ವರ್ಡ್ IwantAcake ಅನ್ನು ಬಳಸಿಕೊಂಡು ironman.exe ನಲ್ಲಿ ಟೆಂಪ್ ಫೈಲ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ. MD5 ಹ್ಯಾಶಿಂಗ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪಾಸ್ವರ್ಡ್ನಿಂದ ಕೀಲಿಯನ್ನು ಪಡೆಯಲಾಗುತ್ತದೆ.
temp.exe ನಂತರ ironman.exe ಪ್ರಕ್ರಿಯೆಯನ್ನು ಕರೆಯುತ್ತದೆ.
Ironman.exe - ಮೂರನೇ ಹಂತ
Ironman.exe, iron.bmp ಫೈಲ್ನ ವಿಷಯಗಳನ್ನು ಓದುತ್ತದೆ ಮತ್ತು ಕ್ರಿಪ್ಟೋಲಾಕರ್ನೊಂದಿಗೆ iron.txt ಫೈಲ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ, ಅದನ್ನು ಮುಂದೆ ಪ್ರಾರಂಭಿಸಲಾಗುವುದು.
ಇದರ ನಂತರ, ವೈರಸ್ ಕಬ್ಬಿಣ.txt ಅನ್ನು ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ironman.exe ಎಂದು ಮರುಪ್ರಾರಂಭಿಸುತ್ತದೆ. ಇದರ ನಂತರ, iron.txt ಅನ್ನು ಅಳಿಸಲಾಗುತ್ತದೆ.
ironman.exe NEMTY ransomware ನ ಮುಖ್ಯ ಭಾಗವಾಗಿದೆ, ಇದು ಪೀಡಿತ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ ಫೈಲ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ. ಮಾಲ್ವೇರ್ ದ್ವೇಷ ಎಂಬ ಮ್ಯೂಟೆಕ್ಸ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ.
ಕಂಪ್ಯೂಟರ್ನ ಭೌಗೋಳಿಕ ಸ್ಥಳವನ್ನು ನಿರ್ಧರಿಸುವುದು ಅದು ಮಾಡುವ ಮೊದಲನೆಯದು. Nemty ಬ್ರೌಸರ್ ಅನ್ನು ತೆರೆಯುತ್ತದೆ ಮತ್ತು IP ಅನ್ನು ಕಂಡುಹಿಡಿಯುತ್ತದೆ http://api.ipify.org. ಸೈಟ್ನಲ್ಲಿ api.db-ip.com/v2/free[IP]/countryName ಸ್ವೀಕರಿಸಿದ IP ಯಿಂದ ದೇಶವನ್ನು ನಿರ್ಧರಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಕೆಳಗೆ ಪಟ್ಟಿ ಮಾಡಲಾದ ಪ್ರದೇಶಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿ ಕಂಪ್ಯೂಟರ್ ನೆಲೆಗೊಂಡಿದ್ದರೆ, ಮಾಲ್ವೇರ್ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯು ನಿಲ್ಲುತ್ತದೆ:
ರಶಿಯಾ
ಬೆಲಾರಸ್
ಉಕ್ರೇನ್
ಕಝಾಕಿಸ್ತಾನ್
ತಜಾಕಿಸ್ಥಾನ್
ಹೆಚ್ಚಾಗಿ, ಡೆವಲಪರ್ಗಳು ತಮ್ಮ ನಿವಾಸದ ದೇಶಗಳಲ್ಲಿ ಕಾನೂನು ಜಾರಿ ಸಂಸ್ಥೆಗಳ ಗಮನವನ್ನು ಸೆಳೆಯಲು ಬಯಸುವುದಿಲ್ಲ ಮತ್ತು ಆದ್ದರಿಂದ ಅವರ "ಮನೆ" ನ್ಯಾಯವ್ಯಾಪ್ತಿಯಲ್ಲಿ ಫೈಲ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಬೇಡಿ.
ಬಲಿಪಶುವಿನ IP ವಿಳಾಸವು ಮೇಲಿನ ಪಟ್ಟಿಗೆ ಸೇರಿಲ್ಲದಿದ್ದರೆ, ವೈರಸ್ ಬಳಕೆದಾರರ ಮಾಹಿತಿಯನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ.
ಫೈಲ್ ಮರುಪಡೆಯುವಿಕೆ ತಡೆಯಲು, ಅವುಗಳ ನೆರಳು ಪ್ರತಿಗಳನ್ನು ಅಳಿಸಲಾಗುತ್ತದೆ:
ಇದು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ ಫೈಲ್ಗಳು ಮತ್ತು ಫೋಲ್ಡರ್ಗಳ ಪಟ್ಟಿಯನ್ನು ಮತ್ತು ಫೈಲ್ ವಿಸ್ತರಣೆಗಳ ಪಟ್ಟಿಯನ್ನು ರಚಿಸುತ್ತದೆ.
ವಿಂಡೋಸ್
$RECYCLE.BIN
ಆರ್ಎಸ್ಎ
NTDETECT.COM
ಇತ್ಯಾದಿ
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
config.SYS
BOOTSECT.BAK
ಬೂಟ್ ಎಂಜಿಆರ್
ಕಾರ್ಯಕ್ರಮದ ಡೇಟಾ
ಅಪ್ಲಿಕೇಶನ್ ಡೇಟಾವನ್ನು
ಒಸಾಫ್ಟ್
ಸಾಮಾನ್ಯ ಕಡತಗಳು
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
ಅಸ್ಪಷ್ಟತೆ
URL ಗಳು ಮತ್ತು ಎಂಬೆಡೆಡ್ ಕಾನ್ಫಿಗರೇಶನ್ ಡೇಟಾವನ್ನು ಮರೆಮಾಡಲು, ನೆಮ್ಟಿ ಫುಕಾವ್ ಕೀವರ್ಡ್ನೊಂದಿಗೆ ಬೇಸ್64 ಮತ್ತು RC4 ಎನ್ಕೋಡಿಂಗ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸುತ್ತದೆ.
CryptStringToBinary ಬಳಸಿಕೊಂಡು ಡೀಕ್ರಿಪ್ಶನ್ ಪ್ರಕ್ರಿಯೆಯು ಈ ಕೆಳಗಿನಂತಿರುತ್ತದೆ
ಗೂ ry ಲಿಪೀಕರಣ
Nemty ಮೂರು-ಪದರದ ಗೂಢಲಿಪೀಕರಣವನ್ನು ಬಳಸುತ್ತದೆ:
ಫೈಲ್ಗಳಿಗಾಗಿ AES-128-CBC. 128-ಬಿಟ್ AES ಕೀಯನ್ನು ಯಾದೃಚ್ಛಿಕವಾಗಿ ರಚಿಸಲಾಗಿದೆ ಮತ್ತು ಎಲ್ಲಾ ಫೈಲ್ಗಳಿಗೆ ಒಂದೇ ರೀತಿ ಬಳಸಲಾಗುತ್ತದೆ. ಇದನ್ನು ಬಳಕೆದಾರರ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ. IV ಅನ್ನು ಪ್ರತಿ ಫೈಲ್ಗೆ ಯಾದೃಚ್ಛಿಕವಾಗಿ ರಚಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ.
ಫೈಲ್ ಎನ್ಕ್ರಿಪ್ಶನ್ IV ಗಾಗಿ RSA-2048. ಅಧಿವೇಶನಕ್ಕಾಗಿ ಒಂದು ಪ್ರಮುಖ ಜೋಡಿಯನ್ನು ರಚಿಸಲಾಗಿದೆ. ಅಧಿವೇಶನಕ್ಕಾಗಿ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಬಳಕೆದಾರರ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ.
RSA-8192. ಮಾಸ್ಟರ್ ಸಾರ್ವಜನಿಕ ಕೀಲಿಯನ್ನು ಪ್ರೋಗ್ರಾಂನಲ್ಲಿ ನಿರ್ಮಿಸಲಾಗಿದೆ ಮತ್ತು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು RSA-2048 ಸೆಶನ್ಗಾಗಿ AES ಕೀ ಮತ್ತು ರಹಸ್ಯ ಕೀಲಿಯನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ.
ನೆಮ್ಟಿಯು ಮೊದಲು 32 ಬೈಟ್ಗಳ ಯಾದೃಚ್ಛಿಕ ಡೇಟಾವನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ. ಮೊದಲ 16 ಬೈಟ್ಗಳನ್ನು AES-128-CBC ಕೀಲಿಯಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ.
ಎರಡನೇ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ RSA-2048 ಆಗಿದೆ. ಪ್ರಮುಖ ಜೋಡಿಯನ್ನು CryptGenKey() ಕಾರ್ಯದಿಂದ ರಚಿಸಲಾಗಿದೆ ಮತ್ತು CryptImportKey() ಕಾರ್ಯದಿಂದ ಆಮದು ಮಾಡಿಕೊಳ್ಳಲಾಗುತ್ತದೆ.
ಸೆಷನ್ಗಾಗಿ ಕೀ ಜೋಡಿಯನ್ನು ರಚಿಸಿದ ನಂತರ, ಸಾರ್ವಜನಿಕ ಕೀಲಿಯನ್ನು MS ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಸೇವಾ ಪೂರೈಕೆದಾರರಿಗೆ ಆಮದು ಮಾಡಿಕೊಳ್ಳಲಾಗುತ್ತದೆ.
ಅಧಿವೇಶನಕ್ಕಾಗಿ ರಚಿಸಲಾದ ಸಾರ್ವಜನಿಕ ಕೀಲಿಯ ಉದಾಹರಣೆ:
ಮುಂದೆ, ಖಾಸಗಿ ಕೀಲಿಯನ್ನು CSP ಗೆ ಆಮದು ಮಾಡಿಕೊಳ್ಳಲಾಗುತ್ತದೆ.
ಸೆಷನ್ಗಾಗಿ ರಚಿಸಲಾದ ಖಾಸಗಿ ಕೀಲಿಯ ಉದಾಹರಣೆ:
ಮತ್ತು ಕೊನೆಯದಾಗಿ RSA-8192 ಬರುತ್ತದೆ. ಮುಖ್ಯ ಸಾರ್ವಜನಿಕ ಕೀಲಿಯನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ರೂಪದಲ್ಲಿ (Base64 + RC4) PE ಫೈಲ್ನ .ಡೇಟಾ ವಿಭಾಗದಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ.
Fuckav ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ Base8192 ಡಿಕೋಡಿಂಗ್ ಮತ್ತು RC64 ಡೀಕ್ರಿಪ್ಶನ್ ನಂತರ RSA-4 ಕೀ ಈ ರೀತಿ ಕಾಣುತ್ತದೆ.
ಪರಿಣಾಮವಾಗಿ, ಸಂಪೂರ್ಣ ಗೂಢಲಿಪೀಕರಣ ಪ್ರಕ್ರಿಯೆಯು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಎಲ್ಲಾ ಫೈಲ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸಲಾಗುವ 128-ಬಿಟ್ AES ಕೀಯನ್ನು ರಚಿಸಿ.
ಪ್ರತಿ ಫೈಲ್ಗೆ IV ರಚಿಸಿ.
RSA-2048 ಸೆಷನ್ಗಾಗಿ ಪ್ರಮುಖ ಜೋಡಿಯನ್ನು ರಚಿಸಲಾಗುತ್ತಿದೆ.
Base8192 ಮತ್ತು RC64 ಬಳಸಿಕೊಂಡು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ RSA-4 ಕೀಲಿಯ ಡೀಕ್ರಿಪ್ಶನ್.
ಮೊದಲ ಹಂತದಿಂದ AES-128-CBC ಅಲ್ಗಾರಿದಮ್ ಬಳಸಿ ಫೈಲ್ ವಿಷಯಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿ.
RSA-2048 ಸಾರ್ವಜನಿಕ ಕೀ ಮತ್ತು ಬೇಸ್ 64 ಎನ್ಕೋಡಿಂಗ್ ಬಳಸಿಕೊಂಡು IV ಎನ್ಕ್ರಿಪ್ಶನ್.
ಪ್ರತಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ನ ಅಂತ್ಯಕ್ಕೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ IV ಅನ್ನು ಸೇರಿಸುವುದು.
ಸಂರಚನೆಗೆ AES ಕೀ ಮತ್ತು RSA-2048 ಸೆಶನ್ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಸೇರಿಸಲಾಗುತ್ತಿದೆ.
ವಿಭಾಗದಲ್ಲಿ ವಿವರಿಸಿದ ಕಾನ್ಫಿಗರೇಶನ್ ಡೇಟಾ ಮಾಹಿತಿ ಸಂಗ್ರಹಣೆ ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ ಬಗ್ಗೆ ಮುಖ್ಯ ಸಾರ್ವಜನಿಕ ಕೀ RSA-8192 ಅನ್ನು ಬಳಸಿಕೊಂಡು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ.
ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ಗಳ ಉದಾಹರಣೆ:
ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸುವುದು
ransomware ಸೋಂಕಿತ ಫೈಲ್ಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಕೀಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ, ಆದ್ದರಿಂದ ಆಕ್ರಮಣಕಾರರು ವಾಸ್ತವವಾಗಿ ಡೀಕ್ರಿಪ್ಟರ್ ಅನ್ನು ರಚಿಸಬಹುದು. ಇದರ ಜೊತೆಗೆ, ಬಳಕೆದಾರರ ಹೆಸರು, ಕಂಪ್ಯೂಟರ್ ಹೆಸರು, ಹಾರ್ಡ್ವೇರ್ ಪ್ರೊಫೈಲ್ನಂತಹ ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ನೆಮ್ಟಿ ಸಂಗ್ರಹಿಸುತ್ತದೆ.
ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ನ ಡ್ರೈವ್ಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ಇದು GetLogicalDrives(), GetFreeSpace(), GetDriveType() ಕಾರ್ಯಗಳನ್ನು ಕರೆಯುತ್ತದೆ.
ಸಂಗ್ರಹಿಸಿದ ಮಾಹಿತಿಯನ್ನು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ. ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಡಿಕೋಡ್ ಮಾಡಿದ ನಂತರ, ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ನಾವು ನಿಯತಾಂಕಗಳ ಪಟ್ಟಿಯನ್ನು ಪಡೆಯುತ್ತೇವೆ:
ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ನ ಉದಾಹರಣೆ ಕಾನ್ಫಿಗರೇಶನ್:
ಕಾನ್ಫಿಗರೇಶನ್ ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಪ್ರತಿನಿಧಿಸಬಹುದು:
Nemty ಸಂಗ್ರಹಿಸಿದ ಡೇಟಾವನ್ನು JSON ಫಾರ್ಮ್ಯಾಟ್ನಲ್ಲಿ %USER%/_NEMTY_.nemty ಫೈಲ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸುತ್ತದೆ. FileID 7 ಅಕ್ಷರಗಳ ಉದ್ದ ಮತ್ತು ಯಾದೃಚ್ಛಿಕವಾಗಿ ರಚಿಸಲಾಗಿದೆ. ಉದಾಹರಣೆಗೆ: _NEMTY_tgdLYrd_.nemty. ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಫೈಲ್ನ ಕೊನೆಯಲ್ಲಿ ಫೈಲ್ಐಡಿ ಅನ್ನು ಸಹ ಸೇರಿಸಲಾಗಿದೆ.
ಸುಲಿಗೆ ಸಂದೇಶ
ಫೈಲ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ನಂತರ, _NEMTY_[FileID]-DECRYPT.txt ಫೈಲ್ ಈ ಕೆಳಗಿನ ವಿಷಯದೊಂದಿಗೆ ಡೆಸ್ಕ್ಟಾಪ್ನಲ್ಲಿ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ:
ಫೈಲ್ನ ಕೊನೆಯಲ್ಲಿ ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ ಬಗ್ಗೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಮಾಹಿತಿ ಇರುತ್ತದೆ.
Nemty ನಂತರ ಕಾನ್ಫಿಗರೇಶನ್ ಡೇಟಾವನ್ನು 127.0.0.1:9050 ಗೆ ಕಳುಹಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ, ಅಲ್ಲಿ ಅದು ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಟಾರ್ ಬ್ರೌಸರ್ ಪ್ರಾಕ್ಸಿಯನ್ನು ಹುಡುಕಲು ನಿರೀಕ್ಷಿಸುತ್ತದೆ. ಆದಾಗ್ಯೂ, ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಪೋರ್ಟ್ 9150 ನಲ್ಲಿ ಟಾರ್ ಪ್ರಾಕ್ಸಿ ಆಲಿಸುತ್ತದೆ ಮತ್ತು ಪೋರ್ಟ್ 9050 ಅನ್ನು ಲಿನಕ್ಸ್ನಲ್ಲಿ ಟಾರ್ ಡೀಮನ್ ಅಥವಾ ವಿಂಡೋಸ್ನಲ್ಲಿ ಎಕ್ಸ್ಪರ್ಟ್ ಬಂಡಲ್ ಬಳಸುತ್ತದೆ. ಹೀಗಾಗಿ, ಆಕ್ರಮಣಕಾರರ ಸರ್ವರ್ಗೆ ಯಾವುದೇ ಡೇಟಾವನ್ನು ಕಳುಹಿಸಲಾಗುವುದಿಲ್ಲ. ಬದಲಾಗಿ, ರಾನ್ಸಮ್ ಸಂದೇಶದಲ್ಲಿ ಒದಗಿಸಲಾದ ಲಿಂಕ್ ಮೂಲಕ ಟಾರ್ ಡೀಕ್ರಿಪ್ಶನ್ ಸೇವೆಗೆ ಭೇಟಿ ನೀಡುವ ಮೂಲಕ ಬಳಕೆದಾರರು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ಡೌನ್ಲೋಡ್ ಮಾಡಬಹುದು.
ಟಾರ್ ಪ್ರಾಕ್ಸಿಗೆ ಸಂಪರ್ಕಿಸಲಾಗುತ್ತಿದೆ:
HTTP GET 127.0.0.1:9050/public/gate?data= ಗೆ ವಿನಂತಿಯನ್ನು ರಚಿಸುತ್ತದೆ
TORlocal ಪ್ರಾಕ್ಸಿಯಿಂದ ಬಳಸಲಾಗುವ ತೆರೆದ TCP ಪೋರ್ಟ್ಗಳನ್ನು ನೀವು ಇಲ್ಲಿ ನೋಡಬಹುದು:
ಟಾರ್ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ನೆಮ್ಟಿ ಡೀಕ್ರಿಪ್ಶನ್ ಸೇವೆ:
ಡೀಕ್ರಿಪ್ಶನ್ ಸೇವೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು ನೀವು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೋಟೋವನ್ನು (jpg, png, bmp) ಅಪ್ಲೋಡ್ ಮಾಡಬಹುದು.
ಇದರ ನಂತರ, ಆಕ್ರಮಣಕಾರನು ಸುಲಿಗೆ ಪಾವತಿಸಲು ಕೇಳುತ್ತಾನೆ. ಪಾವತಿಸದಿದ್ದಲ್ಲಿ ಬೆಲೆ ದ್ವಿಗುಣಗೊಳ್ಳುತ್ತದೆ.
ತೀರ್ಮಾನಕ್ಕೆ
ಈ ಸಮಯದಲ್ಲಿ, ಸುಲಿಗೆ ಪಾವತಿಸದೆ ನೆಮ್ಟಿಯಿಂದ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ. ransomware ನ ಈ ಆವೃತ್ತಿಯು Buran ransomware ಮತ್ತು ಹಳೆಯ GandCrab ನೊಂದಿಗೆ ಸಾಮಾನ್ಯ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಹೊಂದಿದೆ: Borland Delphi ನಲ್ಲಿ ಸಂಕಲನ ಮತ್ತು ಅದೇ ಪಠ್ಯದೊಂದಿಗೆ ಚಿತ್ರಗಳು. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಇದು 8092-ಬಿಟ್ RSA ಕೀಲಿಯನ್ನು ಬಳಸುವ ಮೊದಲ ಎನ್ಕ್ರಿಪ್ಟರ್ ಆಗಿದೆ, ಇದು ಮತ್ತೊಮ್ಮೆ ಯಾವುದೇ ಅರ್ಥವನ್ನು ನೀಡುವುದಿಲ್ಲ, ಏಕೆಂದರೆ 1024-ಬಿಟ್ ಕೀ ರಕ್ಷಣೆಗೆ ಸಾಕಾಗುತ್ತದೆ. ಅಂತಿಮವಾಗಿ, ಮತ್ತು ಆಸಕ್ತಿದಾಯಕವಾಗಿ, ಇದು ಸ್ಥಳೀಯ ಟಾರ್ ಪ್ರಾಕ್ಸಿ ಸೇವೆಗಾಗಿ ತಪ್ಪು ಪೋರ್ಟ್ ಅನ್ನು ಬಳಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ.
ಆದಾಗ್ಯೂ, ಪರಿಹಾರಗಳು ಅಕ್ರೊನಿಸ್ ಬ್ಯಾಕಪ್ и ಎಕ್ರೊನಿಸ್ ಟ್ರೂ ಇಮೇಜ್ Nemty ransomware ಬಳಕೆದಾರರ PC ಗಳು ಮತ್ತು ಡೇಟಾವನ್ನು ತಲುಪದಂತೆ ತಡೆಯಿರಿ ಮತ್ತು ಪೂರೈಕೆದಾರರು ತಮ್ಮ ಗ್ರಾಹಕರನ್ನು ರಕ್ಷಿಸಬಹುದು ಅಕ್ರೊನಿಸ್ ಬ್ಯಾಕಪ್ ಮೇಘ. ಪೂರ್ಣ ಸೈಬರ್ ರಕ್ಷಣೆ ಬ್ಯಾಕ್ಅಪ್ ಮಾತ್ರವಲ್ಲದೆ ರಕ್ಷಣೆಯನ್ನು ಸಹ ಒದಗಿಸುತ್ತದೆ ಅಕ್ರೊನಿಸ್ ಸಕ್ರಿಯ ರಕ್ಷಣೆ, ಕೃತಕ ಬುದ್ಧಿಮತ್ತೆ ಮತ್ತು ವರ್ತನೆಯ ಹ್ಯೂರಿಸ್ಟಿಕ್ಸ್ ಆಧಾರಿತ ವಿಶೇಷ ತಂತ್ರಜ್ಞಾನವು ಇನ್ನೂ ತಿಳಿದಿಲ್ಲದ ಮಾಲ್ವೇರ್ ಅನ್ನು ತಟಸ್ಥಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.