Ransomware-ya nû ya bi navê Nemty li ser torê derketiye, ku tê texmîn kirin ku cîgirê GrandCrab an Buran e. Malware bi giranî ji malpera sexte ya PayPal tê belav kirin û çend taybetmendiyên balkêş hene. Hûrguliyên di derheqê ka ev ransomware çawa dixebite di bin qutbûnê de ne.
Ransomware ya nû ya Nemty ji hêla bikarhêner ve hatî vedîtin 7 Îlon 2019. Malware bi riya malperek hate belav kirin , di heman demê de mimkun e ku ransomware bi navgîniya kîteya îstîsmarê ya RIG derbasî komputerê bibe. Êrîşkaran rêbazên endezyariya civakî bikar anîn da ku bikarhêner neçar bikin ku pelê cashback.exe, ku tê îdiakirin ji malpera PayPal wergirtiye, bixebitîne. Her weha balkêş e ku Nemty porta xelet ji bo karûbarê proxy herêmî Tor destnîşan kiriye, ku rê nade malware bişîne. daneyên pêşkêşkarê. Ji ber vê yekê, bikarhêner neçar e ku pelên şîfrekirî bixwe li tora Tor bar bike ger ku ew niyeta drav bide û li benda deşîfrekirina ji êrîşkaran bimîne.
Gelek rastiyên balkêş ên derbarê Nemty de destnîşan dikin ku ew ji hêla heman kesan ve an jî ji hêla sûcdarên sîber ve bi Buran û GrandCrab ve hatî pêşve xistin.
- Mîna GandCrab, Nemty jî hêkek Paskalyayê heye - lînka wêneyek Serokê Rûsyayê Vladîmîr Pûtîn bi henekek bêaqil. Ransomware-ya mîras GandCrab wêneyek bi heman nivîsê hebû.
- Zencîreyên ziman ên her du bernameyan îşaret bi heman nivîskarên rûsî-axêv dikin.
- Ev yekem ransomware ye ku mifteyek RSA ya 8092-bit bikar tîne. Her çend di vê yekê de ti xalek tune: mifteyek 1024-bit ji bo parastina li dijî hakkirinê têr e.
- Mîna Buran, ransomware di Object Pascal de hatî nivîsandin û li Borland Delphi hatî berhev kirin.
Analîza statîk
Pêkanîna koda xerab di çar qonaxan de pêk tê. Pêngava yekem ev e ku meriv cashback.exe, pelek darvekirî ya PE32 di binê MS Windows-ê de bi mezinahiya 1198936 byte bimeşîne. Koda wê di Visual C++ de hate nivîsandin û di 14ê Cotmeha 2013-an de hate berhev kirin. Di nav de arşîvek heye ku gava ku hûn cashback.exe-ê dimeşînin bixweber vedibe. Nermalava pirtûkxaneya Cabinet.dll û fonksiyonên wê FDICreate(), FDIDestroy() û yên din bikar tîne da ku pelan ji arşîva .cab bigire.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Piştî vekirina arşîvê, sê pel dê xuya bibin.
Dûv re, temp.exe tê dest pê kirin, pelek PE32-ê di bin MS Windows-ê de bi mezinahiya 307200 byte. Kod di Visual C++ de hatiye nivîsandin û bi pakkerê MPRESS, pakkerek mîna UPX-ê ve hatî pakêt kirin.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Pêngava paşîn ironman.exe ye. Piştî destpêkirinê, temp.exe daneyên bicîbûyî yên di temp deşîfre dike û navên wê diguhezîne ironman.exe, pelê 32 byte PE544768. Kod di Borland Delphi de hatî berhev kirin.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Gava paşîn ev e ku hûn pelê ironman.exe ji nû ve bidin destpêkirin. Di dema xebitandinê de, ew koda xwe vediguherîne û xwe ji bîrê dimeşîne. Ev guhertoya ironman.exe xerab e û ji şîfrekirinê berpirsiyar e.
Vektora êrîşê
Heya nuha, ransomware Nemty bi navgîniya malpera pp-back.info ve tê belav kirin.
Bi tevahî zincîra enfeksiyonê dikare were dîtin sandbox.
mîhengê
Cashback.exe - destpêka êrîşê. Wekî ku berê jî behs kir, cashback.exe pelê .cab ku tê de ye vedike. Dûv re peldankek TMP4351$.TMP bi forma %TEMP%IXxxx.TMP diafirîne, ku xxx jimareyek ji 001 heta 999 e.
Dûv re, mifteyek qeydê tê saz kirin, ku bi vî rengî xuya dike:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
Ew ji bo jêbirina pelên nepakkirî tê bikar anîn. Di dawiyê de, cashback.exe pêvajoya temp.exe dest pê dike.
Temp.exe di zincîra enfeksiyonê de qonaxa duyemîn e
Ev pêvajoyek e ku ji hêla pelê cashback.exe ve hatî destpêkirin, gava duyemîn a darvekirina vîrusê ye. Ew hewl dide ku AutoHotKey, amûrek ji bo xebitandina nivîsarên li ser Windows-ê dakêşîne, û skrîpta WindowSpy.ahk ku di beşa çavkaniyan a pelê PE-ê de ye, bimeşîne.
Skrîpta WindowSpy.ahk bi karanîna algorîtmaya RC4 û şîfreya IwantAcake pelê tempoyê di ironman.exe de şîfre dike. Mifteya şîfreyê bi karanîna algorîtmaya haşkirinê ya MD5 tête wergirtin.
temp.exe paşê pêvajoya ironman.exe bang dike.
Ironman.exe - gava sêyemîn
Ironman.exe naveroka pelê iron.bmp dixwîne û pelek iron.txt bi cryptolockerek ku dê paşê were destpêkirin diafirîne.
Piştî vê yekê, vîrus iron.txt li bîra bar dike û wekî ironman.exe ji nû ve dest pê dike. Piştî vê yekê, iron.txt tê jêbirin.
ironman.exe beşa sereke ya ransomware NEMTY ye, ku pelên li ser komputera bandorkirî şîfre dike. Malware mutexek bi navê nefret diafirîne.
Yekem tiştê ku ew dike ev e ku cîhê erdnîgarî yê komputerê diyar bike. Nemty gerokê vedike û IP-ya li ser dibîne . Li ser malperê [IP]/countryName Welat ji IP-ya wergirtî tê destnîşankirin, û heke kompîtur li yek ji herêmên ku li jêr hatine rêz kirin be, pêkanîna koda malware raweste:
- Rûsya
- Belarus
- Ukraine
- Kazaxistan
- Tajikistan
Bi îhtîmalek mezin, pêşdebiran naxwazin bala ajansên dadrêsî yên li welatên xwe yên niştecîh bikişîne, û ji ber vê yekê pelan di dadrêsiyên xwe yên "malê" de şîfre nakin.
Ger navnîşana IP-ya mexdûr ne di navnîşa jorîn de be, wê hingê vîrus agahdariya bikarhêner şîfre dike.
Ji bo pêşîgirtina li vegerandina pelan, kopiyên wan ên siya têne jêbirin:
Dûv re ew navnîşek pel û peldankên ku dê neyên şîfrekirin, û her weha navnîşek dirêjkirina pelan diafirîne.
- windows
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- etc
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- sermaseya. ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- programdata
- daneyên app
- osoft
- Pelên Hevbeş
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Obfuscation
Ji bo veşêre URL û daneyên mîhengê yên pêvekirî, Nemty algorîtmaya şîfrekirina bingehîn64 û RC4 bi keyworda fuckav bikar tîne.
Pêvajoya deşîfrekirinê bi karanîna CryptStringToBinary wiha ye
Encîfrekirin
Nemty şîfrekirina sê-qat bikar tîne:
- AES-128-CBC ji bo pelan. Mifteya AES ya 128-bit bi korfelaqî tê çêkirin û ji bo hemî pelan heman tê bikar anîn. Ew di pelek veavakirinê de li ser komputera bikarhêner tê hilanîn. IV ji bo her pelê bi rengek rasthatî tê hilberandin û di pelek şîfrekirî de tê hilanîn.
- RSA-2048 ji bo şîfrekirina pelê IV. Ji bo danişînê cotek sereke tê çêkirin. Mifteya taybet a danişînê di pelek veavakirinê de li ser komputera bikarhêner tê hilanîn.
- RSA-8192. Mifteya giştî ya sereke di bernameyê de hatî çêkirin û ji bo şîfrekirina pelê veavakirinê, ku mifteya AES û mifteya veşartî ji bo danişîna RSA-2048 hilîne, tê bikar anîn.
- Nemty yekem car 32 byte daneyên rasthatî çêdike. 16 baytên pêşîn wekî mifteya AES-128-CBC têne bikar anîn.
Algorîtmaya şîfrekirinê ya duyemîn RSA-2048 e. Cotê mifteyê ji hêla fonksiyona CryptGenKey () ve tê çêkirin û ji hêla fonksiyona CryptImportKey () ve tê derxistin.
Dema ku cotê mifteyê ji bo danişînê were çêkirin, mifteya giştî di nav Pêşkêşvanê Karûbarê Krîptografî ya MS-ê de tê şandin.
Mînakek mifteyek giştî ya hatî çêkirin ji bo danişînê:
Dûv re, mifteya taybet di CSP-ê de tê şandin.
Mînakek mifteyek taybet a çêkirî ji bo danişînê:
Û dawî RSA-8192 tê. Mifteya giştî ya sereke bi forma şîfrekirî (Base64 + RC4) di beşa .data pelê PE de tê hilanîn.
Mifteya RSA-8192 piştî deşîfrekirina base64 û deşîfrekirina RC4 bi şîfreya fuckav bi vî rengî xuya dike.
Wekî encamek, tevahiya pêvajoya şîfrekirinê wiha xuya dike:
- Mifteyek AES ya 128-bit biafirînin ku dê ji bo şîfrekirina hemî pelan were bikar anîn.
- Ji bo her pelê IV biafirînin.
- Afirandina cotek mifteyê ji bo danişîna RSA-2048.
- Deşîfrekirina mifteyek RSA-8192 ya heyî bi karanîna base64 û RC4.
- Naveroka pelê bi karanîna algorîtmaya AES-128-CBC ji gava yekem ve şîfre bikin.
- Şîfrekirina IV bi karanîna mifteya giştî ya RSA-2048 û şîfrekirina base64.
- Zêdekirina IV-ya şîfrekirî li dawiya her pelê şîfrekirî.
- Zêdekirina mifteyek AES û mifteya taybet a danişîna RSA-2048 li mîhengê.
- Daneyên veavakirinê di beşê de hatine diyarkirin di derbarê komputera vegirtî de bi karanîna mifteya giştî ya sereke RSA-8192 têne şîfre kirin.
- Pelê şîfrekirî bi vî rengî xuya dike:
Mînaka pelên şîfrekirî:
Di derbarê komputera vegirtî de agahdariya berhev dikin
Ransomware mifteyan berhev dike da ku pelên vegirtî deşîfre bike, ji ber vê yekê êrîşkar bi rastî dikare deşîfreyek biafirîne. Wekî din, Nemty daneyên bikarhêner ên wekî navê bikarhêner, navê komputerê, profîla hardware berhev dike.
Ew gazî fonksiyonên GetLogicalDrives (), GetFreeSpace (), GetDriveType () dike da ku agahdariya li ser ajokarên komputera vegirtî berhev bike.
Agahdariya berhevkirî di pelek veavakirinê de tê hilanîn. Piştî şîfrekirina rêzê, em di pelê veavakirinê de navnîşek pîvanan digirin:
Mînak veavakirina komputerek vegirtî:
Şablona veavakirinê dikare wekî jêrîn were temsîl kirin:
{"Giştî": {"IP":"[IP]", "Welat":"[Welat]", "Navê Computer":"[Navê Kompîterê]", "Navê Bikarhêner":"[Navê bikarhêner]", "OS": "[OS]", "isRU": derewîn, "guherto":"1.4", "CompID":"{[CompID]}", "IDa pelê":"_NEMTY_[ID]_", "Nasnameya Bikarhêner":"[ Bikarhêner ID]", "key":"[bişkoj]", "pr_key":"[pr_key]
Nemty daneyên berhevkirî bi formata JSON di pelê %USER%/_NEMTY_.nemty de hilîne. Pelê ID 7 tîpan dirêj e û bi rengek rasthatî hatî çêkirin. Mînak: _NEMTY_tgdLYrd_.nemty. Pelê ID jî li dawiya pelê şîfrekirî tê pêve kirin.
Peyama ransom
Piştî şîfrekirina pelan, pelê _NEMTY_[FileID]-DECRYPT.txt bi naveroka jêrîn li ser sermaseyê xuya dibe:
Di dawiya pelê de agahdariya şîfrekirî ya li ser komputera vegirtî heye.
pêwendiya torê
Pêvajoya ironman.exe belavkirina geroka Tor ji navnîşanê dakêşîne û hewl dide ku wê saz bike.
Dûv re Nemty hewl dide ku daneyên mîhengê bişîne 127.0.0.1: 9050, ku ew li bendê ye ku proxyek gerokek Tor-ê bixebite. Lêbelê, ji hêla xwerû ve proxy Tor li porta 9150 guhdarî dike, û porta 9050 ji hêla Tor daemon ve li Linux an Expert Bundle li ser Windows-ê tê bikar anîn. Ji ber vê yekê, tu data ji servera êrîşkar re nayê şandin. Di şûna wê de, bikarhêner dikare bi seredana karûbarê deşîfrekirina Tor-ê bi riya zencîreya ku di peyama ransom de hatî peyda kirin pelê vesazkirinê bi destan dakêşîne.
Girêdana bi Tor proxy:
HTTP GET daxwazek ji 127.0.0.1:9050/public/gate?data=
Li vir hûn dikarin portên TCP yên vekirî yên ku ji hêla proxy TORlocal ve têne bikar anîn bibînin:
Karûbarê deşîfrekirina Nemty li ser tora Tor:
Hûn dikarin wêneyek şîfrekirî (jpg, png, bmp) bar bikin da ku karûbarê deşîfrekirinê biceribînin.
Piştî vê yekê êrîşkar fîdyeyê dixwaze. Di rewşa nedayînê de biha du qat dibe.
encamê
Heya nuha, ne mimkûn e ku pelên ku ji hêla Nemty ve hatine şîfrekirin bêyî dayîna berdêl veşêrin. Vê guhertoya ransomware bi Buran ransomware û GandCrab-a kevnar re taybetmendiyên hevpar hene: berhevkirina li Borland Delphi û wêneyên bi heman nivîsê. Wekî din, ev şîfrekera yekem e ku mifteyek RSA ya 8092-bit bikar tîne, ku, dîsa, ti wate nake, ji ber ku mifteyek 1024-bit ji bo parastinê bes e. Di dawiyê de, û balkêş e, ew hewl dide ku porta çewt ji bo karûbarê proxy Tor-ya herêmî bikar bîne.
Lêbelê, çareseriyên и nehêle ku ransomware Nemty bigihîje PC-ya bikarhêner û daneyan, û pêşkêşvan dikarin bi xerîdarên xwe biparêzin. . Tije ne tenê hilanînê, lê di heman demê de bi karanîna parastinê jî peyda dike , teknolojiyek taybetî ku li ser bingeha îstîxbarata sûnî û heurîstîkên behrê ye ku dihêle hûn malwareyên nenas jî bêbandor bikin.
Source: www.habr.com