Eng nei Ransomware genannt Nemty ass am Netz erschéngt, deen anscheinend den Nofolger vum GrandCrab oder Buran ass. D'Malware gëtt haaptsächlech vun der falscher PayPal Websäit verdeelt an huet eng Rei interessant Features. Detailer iwwer wéi dës Ransomware funktionnéiert sinn ënner dem Schnëtt.
Nei Nemty Ransomware entdeckt vum Benotzer September 7, 2019. De Malware gouf iwwer eng Websäit verdeelt , et ass och méiglech fir Ransomware e Computer duerch de RIG Exploit Kit ze penetréieren. D'Attacker hunn Social Engineering Methoden benotzt fir de Benotzer ze zwéngen d'cashback.exe Datei ze lafen, déi hien angeblech vun der PayPal Websäit kritt huet.Et ass och virwëtzeg datt Nemty de falsche Port fir de lokalen Proxy Service Tor uginn huet, wat verhënnert datt d'Malware verschéckt Daten op de Server. Dofir muss de Benotzer verschlësselte Dateien an den Tor Netz selwer eroplueden wann hien wëlles de Léisegeld ze bezuelen an op d'Entschlësselung vun den Ugräifer ze waarden.
Verschidde interessant Fakten iwwer Nemty suggeréieren datt et vun deene selwechte Leit entwéckelt gouf oder vu Cyberkrimineller mat Buran a GrandCrab verbonnen.
- Wéi GandCrab, Nemty huet en Ouschtereeër - e Link op eng Foto vum russesche President Vladimir Putin mat engem obszöne Witz. Déi legacy GandCrab Ransomware hat e Bild mam selwechten Text.
- D'Sprooch Artefakte vu béide Programmer weisen op déiselwecht russeschsproocheg Autoren.
- Dëst ass déi éischt Ransomware fir en 8092-Bit RSA Schlëssel ze benotzen. Och wann et kee Sënn an dësem ass: en 1024-Bit Schlëssel ass ganz genuch fir géint Hacking ze schützen.
- Wéi Buran ass d'Ransomware am Object Pascal geschriwwen a kompiléiert a Borland Delphi.
Statesch Analyse
Ausféierung vu béiswëllegen Code geschitt a véier Etappen. Den éischte Schrëtt ass Cashback.exe auszeféieren, eng PE32 ausführbar Datei ënner MS Windows mat enger Gréisst vun 1198936 Bytes. Säi Code gouf a Visual C++ geschriwwen an de 14. Oktober 2013 kompiléiert. Et enthält en Archiv dat automatesch ausgepackt gëtt wann Dir cashback.exe leeft. D'Software benotzt der Cabinet.dll Bibliothéik a seng Funktiounen FDICreate (), FDIDestroy () an anerer fir eng kréien Fichier'en aus der .cab Archiv.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Nodeems Dir den Archiv auspackt, erschéngen dräi Dateien.
Als nächst gëtt temp.exe gestart, eng PE32 ausführbar Datei ënner MS Windows mat enger Gréisst vun 307200 Bytes. De Code ass a Visual C ++ geschriwwen a mat MPRESS Packer verpackt, e Packer ähnlech wéi UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
De nächste Schrëtt ass ironman.exe. Eemol lancéiert, entschlësselt temp.exe déi embedded Daten an temp an ëmbenannt se op ironman.exe, eng 32 Byte PE544768 ausführbar Datei. De Code gëtt am Borland Delphi zesummegesat.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
De leschte Schrëtt ass d'Ironman.exe Datei nei ze starten. Beim Runtime transforméiert et säi Code a leeft selwer aus der Erënnerung. Dës Versioun vun ironman.exe ass béiswëlleg an ass verantwortlech fir d'Verschlësselung.
Attack Vektor
De Moment gëtt d'Nemty Ransomware iwwer d'Websäit pp-back.info verdeelt.
Déi komplett Kette vun der Infektioun ka gekuckt ginn Sandkëscht.
Kader
Cashback.exe - den Ufank vun der Attack. Wéi scho gesot, cashback.exe packt d'.cab Datei déi se enthält. Et erstellt dann en Dossier TMP4351$.TMP vun der Form %TEMP%IXxxx.TMP, wou xxx eng Zuel vun 001 bis 999 ass.
Als nächst gëtt e Registry Schlëssel installéiert, deen esou ausgesäit:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
Et gëtt benotzt fir ausgepackte Dateien ze läschen. Endlech fänkt cashback.exe den temp.exe Prozess un.
Temp.exe ass déi zweet Stuf an der Infektiounskette
Dëst ass de Prozess lancéiert vun der cashback.exe Datei, den zweete Schrëtt vun der Virusausféierung. Et probéiert AutoHotKey erofzelueden, e Tool fir Scripten op Windows ze lafen, a lafen de WindowSpy.ahk Skript an der Ressource Sektioun vun der PE Datei.
De WindowSpy.ahk Skript entschlësselt d'Temperaturdatei an ironman.exe mam RC4 Algorithmus an dem Passwuert IwantAcake. De Schlëssel vum Passwuert gëtt mam MD5 Hashing Algorithmus kritt.
temp.exe rifft dann den ironman.exe Prozess un.
Ironman.exe - drëtt Schrëtt
Ironman.exe liest d'Inhalter vun der iron.bmp-Datei a kreéiert eng iron.txt-Datei mat engem Kryptolocker deen nächste lancéiert gëtt.
Duerno lued de Virus iron.txt an d'Erënnerung a fänkt se als ironman.exe op. Duerno gëtt iron.txt geläscht.
ironman.exe ass den Haaptdeel vun der NEMTY Ransomware, déi Dateien op de betraffene Computer verschlësselt. Malware erstellt e Mutex genannt Haass.
Dat éischt wat et mécht ass d'geographesch Lag vum Computer ze bestëmmen. Nemty mécht de Browser op a fënnt d'IP op . Op de Site [IP]/countryName D'Land gëtt vun der erhalener IP festgeluegt, a wann de Computer an enger vun de Regiounen hei ënnen läit, stoppt d'Ausféierung vum Malware Code:
- Russland
- Belarus
- Ukraine
- Kasachstan
- Tadschikistan
Wahrscheinlech wëllen d'Entwéckler net d'Opmierksamkeet vun de Vollzuchsagenturen an hire Residenzlänner unzezéien, an dofir verschlëssele keng Dateien an hiren "Haus" Juridictioune.
Wann d'IP Adress vum Affer net zu der Lëscht hei uewen gehéiert, da verschlësselt de Virus d'Informatioun vum Benotzer.
Fir d'Datei Erhuelung ze verhënneren, ginn hir Schattenkopien geläscht:
Et erstellt dann eng Lëscht vun Dateien an Ordner déi net verschlësselt sinn, souwéi eng Lëscht vun Dateiextensiounen.
- Fënsteren
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- etc
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- Programmdaten
- Appdata
- osoft
- Gemeinsam Dateien
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Obfuscatioun
Fir URLen an embedded Konfiguratiounsdaten ze verstoppen, benotzt Nemty e base64 an RC4 Kodéierungsalgorithmus mam Fuckav Schlësselwuert.
Den Entschlësselungsprozess mat CryptStringToBinary ass wéi follegt
Verschlësselung
Nemty benotzt dräi-Schicht Verschlësselung:
- AES-128-CBC fir Dateien. Den 128-Bit AES Schlëssel gëtt zoufälleg generéiert a gëtt d'selwecht fir all Dateie benotzt. Et gëtt an enger Konfiguratiounsdatei um Computer vum Benotzer gespäichert. De IV gëtt zoufälleg fir all Datei generéiert an an enger verschlësselter Datei gespäichert.
- RSA-2048 fir Dateieverschlësselung IV. E Schlësselpaar fir d'Sessioun gëtt generéiert. De private Schlëssel fir d'Sessioun gëtt an enger Konfiguratiounsdatei um Computer vum Benotzer gespäichert.
- RSA-8192. De Master ëffentleche Schlëssel ass an de Programm agebaut a gëtt benotzt fir d'Konfiguratiounsdatei ze verschlësselen, déi den AES Schlëssel a geheime Schlëssel fir d'RSA-2048 Sessioun späichert.
- Nemty generéiert éischt 32 Bytes vun zoufälleg Donnéeën. Déi éischt 16 Bytes ginn als AES-128-CBC Schlëssel benotzt.
Den zweeten Verschlësselungsalgorithmus ass RSA-2048. De Schlësselpaar gëtt vun der CryptGenKey () Funktioun generéiert an duerch d'CryptImportKey () Funktioun importéiert.
Wann de Schlësselpaar fir d'Sessioun generéiert ass, gëtt den ëffentleche Schlëssel an den MS Cryptographic Service Provider importéiert.
E Beispill vun engem generéierten ëffentleche Schlëssel fir eng Sessioun:
Als nächst gëtt de private Schlëssel an den CSP importéiert.
E Beispill vun engem generéierte private Schlëssel fir eng Sessioun:
A leschter kënnt RSA-8192. Den Haaptëffentleche Schlëssel gëtt an verschlësselte Form (Base64 + RC4) an der .data Sektioun vun der PE Datei gespäichert.
Den RSA-8192 Schlëssel no der Base64 Decodéierung an der RC4 Entschlësselung mam Fuckav Passwuert gesäit esou aus.
Als Resultat gesäit de ganze Verschlësselungsprozess esou aus:
- Generéiere en 128-Bit AES Schlëssel dee benotzt gëtt fir all Dateien ze verschlësselen.
- Schafen eng IV fir all Fichier.
- E Schlësselpaar erstellen fir eng RSA-2048 Sessioun.
- Entschlësselung vun engem bestehenden RSA-8192 Schlëssel benotzt base64 an RC4.
- Verschlëssele Dateiinhalt mam AES-128-CBC Algorithmus vum éischte Schrëtt.
- IV Verschlësselung mat RSA-2048 ëffentleche Schlëssel a Base64 Kodéierung.
- Füügt e verschlësselte IV un d'Enn vun all verschlësselte Fichier.
- Füügt en AES Schlëssel an RSA-2048 Sessioun private Schlëssel un d'Konfiguratioun.
- Configuratiounsdaten an Rubrik beschriwwen iwwer den infizéierte Computer verschlësselte mam Haaptpublikum Schlëssel RSA-8192.
- Déi verschlësselte Datei gesäit esou aus:
Beispill vu verschlësselte Dateien:
Sammelt Informatiounen iwwer den infizéierte Computer
D'Ransomware sammelt Schlësselen fir infizéiert Dateien ze entschlësselen, sou datt den Ugräifer tatsächlech en Decryptor erstellen kann. Zousätzlech sammelt Nemty Benotzerdaten wéi Benotzernumm, Computernumm, Hardwareprofil.
Et rifft d'GetLogicalDrives(), GetFreeSpace(), GetDriveType() Funktiounen fir Informatiounen iwwer d'Laufwerke vum infizéierte Computer ze sammelen.
Déi gesammelt Informatioun gëtt an enger Konfiguratiounsdatei gespäichert. Nodeems mir d'String dekodéiert hunn, kréie mir eng Lëscht vu Parameteren an der Konfiguratiounsdatei:
Beispill Konfiguratioun vun engem infizéierte Computer:
D'Konfiguratiounsschabloun kann wéi follegt vertruede sinn:
{"General": {"IP":"[IP]", "Country":"[Land]", "ComputerName":"[ComputerName]", "Benotzernumm":"[Benotzernumm]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[Schlëssel]", "pr_key":"[pr_key]
Nemty späichert déi gesammelten Donnéeën am JSON-Format an der Datei %USER%/_NEMTY_.nemty. FileID ass 7 Zeechen laang an zoufälleg generéiert. Zum Beispill: _NEMTY_tgdLYrd_.nemty. De FileID gëtt och um Enn vun der verschlësselter Datei bäigefüügt.
Ransom Message
No der Verschlësselung vun de Dateien erschéngt d'Datei _NEMTY_[FileID]-DECRYPT.txt um Desktop mat dem folgenden Inhalt:
Um Enn vun der Datei gëtt et verschlësselte Informatioun iwwer den infizéierte Computer.
Netzwierk Kommunikatioun
Den ironman.exe Prozess luet d'Tor Browser Verdeelung vun der Adress erof a probéiert et ze installéieren.
Nemty probéiert dann d'Konfiguratiounsdaten op 127.0.0.1:9050 ze schécken, wou et erwaart e schaffende Tor Browser Proxy ze fannen. Wéi och ëmmer, par défaut lauschtert den Tor Proxy um Port 9150, an den Port 9050 gëtt vum Tor Daemon op Linux oder Expert Bundle op Windows benotzt. Dofir gi keng Donnéeën un den Server vum Ugräifer geschéckt. Amplaz kann de Benotzer d'Konfiguratiounsdatei manuell eroflueden andeems Dir den Tor Entschlësselungsservice iwwer de Link an der Ransom Message besicht.
Verbindung mat Tor Proxy:
HTTP GET erstellt eng Ufro un 127.0.0.1:9050/public/gate?data=
Hei kënnt Dir déi oppe TCP Ports gesinn, déi vum TORlocal Proxy benotzt ginn:
Nemty Entschlësselungsservice am Tor Netzwierk:
Dir kënnt eng verschlësselte Foto eropluede (jpg, png, bmp) fir den Entschlësselungsservice ze testen.
Duerno freet den Ugräifer eng Léisegeld ze bezuelen. Am Fall vun Net-Bezuelung gëtt de Präis verduebelt.
Konklusioun
Am Moment ass et net méiglech Dateien ze entschlësselen déi vum Nemty verschlësselt sinn ouni Léisegeld ze bezuelen. Dës Versioun vu Ransomware huet gemeinsam Features mat der Buran Ransomware an dem alen GandCrab: Compilatioun zu Borland Delphi a Biller mat deemselwechten Text. Zousätzlech ass dëst den éischten Encryptor deen en 8092-Bit RSA-Schlëssel benotzt, wat nach eng Kéier kee Sënn mécht, well en 1024-Bit Schlëssel fir Schutz genuch ass. Schlussendlech, an interessant, probéiert et de falschen Hafen fir de lokalen Tor Proxy Service ze benotzen.
Allerdéngs Léisungen и verhënneren, datt d'Nemty Ransomware Benotzer PCs an Donnéeën erreechen, an Ubidder kënnen hir Clienten schützen mat . Voll stellt net nëmmen Backupsatellit, awer och Schutz benotzt , eng speziell Technologie baséiert op kënschtlecher Intelligenz a Verhalensheuristik, déi Iech erlaabt och nach onbekannt Malware ze neutraliséieren.
Source: will.com