Novum redemptionis nomine Nemty in retiaculis apparuit, quod fortasse GrandCrab vel Buran successor est. Malware plus a fake PayPal website distribuitur et plures notas interesting habet. Singula quomodo haec opera redemptionis sub incisa sunt.
Nova Nemty empticii inventa ab usuario September VII, MMXIX. Malware per a website , possibile etiam est ut redemptionis computatrale per facinus ornamentum RIG penetret. Oppugnatores modos machinandi sociales usi sunt ad cogendum utentem ad currendum in cashback.exe fasciculi, quem e loco PayPal receptum asseruit. Etiam curiosum est quod Nemty designatum portum iniuriae ad ministerium loci ineundo Tor, quod malware mitti vetat. data servo. Ideo, utentis fasciculos encryptas ad ipsum Tor retis imponere debebit, si pretium solvere intendit et ab oppugnatoribus decryptionem expectare.
Plures interesting res de Nemty suadent ab eisdem hominibus ortam esse vel cybercriminalibus cum Buran et GrandCrab coniungendis.
- Sicut GandCrab, Nemty ovum paschale habet - nexum cum imagine photographica praesidis Russiae Vladimir Putin cum ioco obscoeno. Legatum GandCrab pretium redemptionis habuit simulacrum cum eodem textu.
- Artificia linguae utriusque programmatis eosdem auctores Russico-dicendi demonstrant.
- Hoc primum est pretium redemptionis uti clavis RSA 8092 frenum. Quamquam hoc punctum nihil est: clavis 1024 frenum satis est ad tuendum contra caesim.
- Sicut Buran, pretium scribitur in Object Pascal et in Borland Delphi compilavit.
Static analysis
Executio malitiose occurrit in quatuor gradibus. Primus gradus est currere cashback.exe, fasciculus exsecutabilis PE32 sub MS Fenestra cum magnitudine bytes 1198936. Eius codicem in Visual C++ conscriptum est et die 14 mensis Octobris anno MMXIII exaravit. Archivum continet eo ipso pacto qui cum cashback.exe curris. Progressio utitur bibliothecam Cabinet.dll eiusque functionibus FDICreate(), FDIDestroy() et aliis ad lima ex archivo .cabi obtinendo.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Tabulario post fasciculum apparebunt tres fasciculi.
Deinde, temp.exe inducitur, fasciculus exsecutabilis PE32 sub MS Fenestra cum magnitudine bytes 307200. Codex in Visual C ++ scriptus est, et fasciculus MPRESS fasciculo similis, UPX fasciculo similis.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Proximum est ironman.exe. Cum deductae sunt, temp.exe decryptae quae datae embedatae in temp et renominantur ad ironman.exe, 32 byte PE544768 documentum exsecutabile. In Borland Delphi codicem exaratum est.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Ultimus gradus est fasciculi ironman.exe sileo. In runtime codicem suum commutat et a memoria se decurrit. Haec versio ironman.exe maligna est et encryption reus est.
impetum vector
In statu, redemptio Nemty per website pp-back.info distribuitur.
Tota catena contagione spectari potest sandbox.
occasum
Cashback.exe - initium oppugnationis. Ut iam dictum est, cashback.exe unpackes .cab lima continet. Tunc facit folder TMP4351$.TMP formae %TEMP%IXxxx.TMP, ubi numerus xxx est ab 001 ad 999.
Deinde in registro clavem inauguratus est, quae hoc modo spectat:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
Solebat delere files unpacked. Demum, cashback.exe incipit the temp.exe process.
Temp.exe est secundus gradus in infectio catenae
Hic est processus e lima cashback.exe deductus, secundus gradus exsecutionis viri. Tentat AutoHotKey, instrumentum pro scriptis currit in Fenestra, et run WindowSpy.ahk scriptorum in sectione fasciculi PE opum sita est.
WindowSpy.ahk script decryptas tabellarum in ironman.exe utens RC4 algorithm et tessera IwantAcake. Clavis e tessera fit utendo algorithmo MD5 hashing.
temp.exe tunc vocat ironman.exe processum.
Ironman.exe - tertius gradus
Ironman.exe legit contenta fasciculi ferrei.bmp et creans fasciculum ferreum.txt cum cryptolocker qui proximo mittetur.
Post hoc, virus iron.txt in memoriam onerat et quasi ironman.exe restat. Postea iron.txt deletum est.
ironman.exe est praecipua pars redemptionis NEMTY quae encryptas imaginum in computatro affectato. Mutex malware dicitur odium creat.
Primum hoc facit situm computatorii geographici determinat. Nemty navigatrum aperit et IP on invenit . Ad locum [IP]/patria Nomen Patria ex IP recepta determinatur, et si computatorium in una ex regionibus infra recensitis situm est, exsecutio codicis malware cessat:
- Russia
- Alba
- Ucraina
- Kazakhstan
- zynga bacillo
Maxime, tincidunt nolunt attrahere curas institutionum legis in regionibus residentiae, et ideo lima in "domo" non encrypt.
Si IP oratio victimae ad album superius non pertinet, virus encryptarum utentis notitias.
Ad limam ne recuperandam, eorum umbrae exemplaria deleta sunt;
Tunc facit indicem tabularum et folder quod non erit encryptum, sicut indicem extensionum documentorum.
- Fenestra
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- etc
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop. ini
- CONFIG.SYS
- BOOTSECT.BAK
- tabernus
- programdata
- appdatamicrosoftwindowsrecentautomaticdestinations
- osoft
- Tabularia communia
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Obfuscation
Ad delata celare et configurationem infixam datam, Nemty base64 utitur et RC4 algorithmum cum keyword fuckav transcribit.
Decryption processus usura CryptStringToBinary hoc modo
encryption
Nemty ter encryption utitur:
- AES-128-CBC pro files. The 128-bit AES clavis passim generatur et eadem omnibus fasciculis adhibetur. Reponitur in conformatione fasciculi in computatrum usoris. IV in singulis fasciculis passim generatur et in tabella encryptata reponitur.
- RSA-2048 pro tabella encryption IV. Clavis par sessionis generatur. Clavis privata sessionis reponitur in conformatione fasciculi in computatro utentis.
- RSA-8192. Dominus clavem publicam in programmatis construit et ad limam configurationis encrypt, quae clavis AES et clavem secretam pro RSA-2048 sessione reponit.
- Nemty primus 32 bytes temere data generat. Primae 16 bytes adhibentur ut clavis AES-128-CBC.
Secunda encryption algorithmus est RSA-2048. Coniugatio clavis ab CryptGenKey () functione CryptGenKey () generatur et ab CryptImportKey () functione importata est.
Postquam par clavis sessionis generatur, clavis publica in Cryptographica Muneris Providentis MS importatur.
Exemplum cuiusdam clavis publici generati pro sessione:
Deinde clavis privata in CSP importatur.
Exemplum de clavibus privatis generatae pro sessione:
RSA-8192 et novissimus venit. Praecipua clavis publica in forma encryptata reponitur (Base64 + RC4) in .data sectione fasciculi PE.
Clavis RSA-8192 cum base64 decocta et RC4 decryption cum tesserae fuckav huic similis est.
Quam ob rem tota encryption processus hoc simile est:
- Gignere clavem AES 128 frenum qui ad omnes tabulas encrypt adhibebitur.
- Create an IV pro sulum lima.
- Creando par clavis pro sessione RSA-2048.
- Decryptio existentis RSA-8192 clavis utendi base64 et RC4.
- Fasciculi encrypt contenta in algorithmo AES-128-CBC a primo gradu utentes.
- IV encryption utens RSA-2048 clavem publicam et base64 descriptam.
- Addit encrypted IV ad finem cuiusque fasciculi encrypted.
- Addito clavis AES et RSA-2048 clavem ad config sessionem privatam.
- Configurationis notitia in sectione de computatro infectis encryptae utentes principales clavem publicam RSA-8192.
- Fasciculus encrypted similis est:
Exemplum de encrypted files:
De colligendis notitia computatrum infectis
Redemptionis claves ad decryptas infectas colligit, ut oppugnator decryptorem revera creare possit. Praeterea Nemty colligit utentis notitias ut nomen usoris, computatrum nomen, profile ferramenta.
Munera GetLogicalDrives(), GetFreeSpace(), GetDriveType() vocat ad informationes colligendas de activitate computatoris infecti.
Collecta notitia in lima configuratione reponitur. Filo decocto, album parametri in fasciculi configurationis accipimus:
Exemplum figurae computatoris infecti:
Formula configurationis exprimi potest sic:
{"Ip":"[IP]", "Patria":" [patriae]", "ComputerName":" [ComputerName]", "Username":" [Username]", "OS": "[OS]", "isRU": falsum, "versio":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "clavem": "[clavem]", "pr_key":" [pr_key]
Nemty notitias collectas in forma JSON in tabella %USER%/_NEMTY_.nemty recondit. FileID est 7 characteribus longis et passim generatis. Verbi gratia: _NEMTY_tgdLYrd_.nemty. FileID etiam ad finem fasciculi encrypted additur.
Pretium nuntius
Post tabellas encryptas, tabella _NEMTY_[FileID]-DECRYPT.txt apparet in escritorio cum sequenti contento:
In fine tabella notitiae encryptae sunt de computatro infecto.
Communicatio Network
The ironman.exe process downloads the Tor browser distribution from the address et studet instituere.
Nemty deinde conatur ad 127.0.0.1:9050 datas configurationes mittere, ubi exspectat Tortorem navigatoris procuratorem laborantem invenire. Nihilominus per defaltam Tor procuratorem in portu 9150 audit, et portus 9050 a Tor daemone in Linux vel Peritus Fasciculus in Fenestra adhibetur. Ita nulla notitia servo percussoris mittitur. Sed usor potest manualem limam configurationem inire, ministerium Tor decryption visitare per nexum in pretio nuntio provisum.
Connectens ad Tor procuratorem:
HTTP GET postulatio ut 127.0.0.1:9050/public/porta?data=
Hic videre potes portus apertos TCP qui per procuratorem TORlocal adhibentur:
Nemty decryption officium in Tor retis:
Potes imaginem photographicam encryptam (jpg, png, bmp) imponere ut servitium decryptionis experiatur.
Post hoc oppugnator petit redemptionem reddere. In casu non solutionis pretium duplicatur.
conclusio,
In momento, non potest decryptas tabellas a Nemty inscriptas sine pretio redimere. Haec versio redemptionis communes notas habet cum Buran pretio et GandCrab iam pridem: compilationem in Borland Delphi et imagines eodem textu. Praeterea haec est prima encryptor, quae 8092 frenum RSA clavis utitur, quae rursus nullum sensum efficit, cum 1024 frenum clavis ad tutelam sufficit. Denique, et interestingly, iniuria portum uti conatur ad officium loci Tor procuratorem.
Sed solutiones ΠΈ Nemty redemptio impediatur quominus usorum PCs et notitiae perveniant, et provisores suos clientes tueri possint ... Plenus non solum tergum praebet, sed etiam tutelam utens technologia peculiaris fundatur in intelligentia artificiali et heuristicis dissuadendi, quae te permittit corrumpere etiam malware ignotas.
Source: www.habr.com