🥇ພົບກັບ ransomware Nemty ຈາກເວັບໄຊທ໌ PayPal ປອມ

ransomware ໃຫມ່ທີ່ເອີ້ນວ່າ Nemty ໄດ້ປາກົດຢູ່ໃນເຄືອຂ່າຍ, ເຊິ່ງສົມມຸດວ່າເປັນຜູ້ສືບທອດຂອງ GrandCrab ຫຼື Buran. malware ສ່ວນໃຫຍ່ແມ່ນແຈກຢາຍຈາກເວັບໄຊທ໌ PayPal ປອມແລະມີຄຸນສົມບັດທີ່ຫນ້າສົນໃຈຫຼາຍ. ລາຍລະອຽດກ່ຽວກັບວິທີການ ransomware ນີ້ເຮັດວຽກຢູ່ພາຍໃຕ້ການຕັດ.

ໃໝ່ Nemty ransomware ທີ່ຖືກຄົ້ນພົບໂດຍຜູ້ໃຊ້ nao_sec ວັນທີ 7 ກັນຍາ 2019. malware ໄດ້ຖືກແຈກຢາຍຜ່ານເວັບໄຊທ໌ ປອມຕົວເປັນ PayPal, ມັນຍັງເປັນໄປໄດ້ສໍາລັບ ransomware ທີ່ຈະເຈາະຄອມພິວເຕີຜ່ານຊຸດການຂຸດຄົ້ນ RIG. ຜູ້ໂຈມຕີໄດ້ໃຊ້ວິທີການວິສະວະກໍາສັງຄົມເພື່ອບັງຄັບໃຫ້ຜູ້ໃຊ້ດໍາເນີນການໄຟລ໌ cashback.exe, ເຊິ່ງລາວຖືກກ່າວຫາວ່າໄດ້ຮັບຈາກເວັບໄຊທ໌ PayPal. ມັນຍັງເປັນທີ່ຫນ້າສົງໄສວ່າ Nemty ໄດ້ລະບຸພອດທີ່ບໍ່ຖືກຕ້ອງສໍາລັບບໍລິການຕົວແທນທ້ອງຖິ່ນ Tor, ເຊິ່ງປ້ອງກັນ malware ຈາກການສົ່ງ. ຂໍ້ມູນກັບເຄື່ອງແມ່ຂ່າຍ. ດັ່ງນັ້ນ, ຜູ້ໃຊ້ຈະຕ້ອງອັບໂຫລດໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດໄວ້ໃນເຄືອຂ່າຍ Tor ເອງຖ້າລາວຕັ້ງໃຈຈະຈ່າຍຄ່າໄຖ່ແລະລໍຖ້າການຖອດລະຫັດຈາກຜູ້ໂຈມຕີ.

ຂໍ້ເທັດຈິງທີ່ຫນ້າສົນໃຈຫຼາຍກ່ຽວກັບ Nemty ແນະນໍາວ່າມັນໄດ້ຖືກພັດທະນາໂດຍຄົນດຽວກັນຫຼືໂດຍອາຊະຍາກໍາທາງອິນເຕີເນັດທີ່ກ່ຽວຂ້ອງກັບ Buran ແລະ GrandCrab.

ເຊັ່ນດຽວກັນກັບ GandCrab, Nemty ມີໄຂ່ Easter - ການເຊື່ອມຕໍ່ກັບຮູບຂອງປະທານາທິບໍດີລັດເຊຍ Vladimir Putin ທີ່ມີເລື່ອງຕະຫລົກຫຍາບຄາຍ. GandCrab ransomware ທີ່ເປັນມໍລະດົກມີຮູບພາບທີ່ມີຂໍ້ຄວາມດຽວກັນ.
ສິ່ງປະດິດພາສາຂອງທັງສອງໂຄງການຊີ້ໃຫ້ເຫັນເຖິງຜູ້ຂຽນທີ່ເວົ້າພາສາລັດເຊຍດຽວກັນ.
ນີ້ແມ່ນ ransomware ທໍາອິດທີ່ໃຊ້ລະຫັດ RSA 8092-bit. ເຖິງແມ່ນວ່າບໍ່ມີຈຸດໃດໃນເລື່ອງນີ້: ລະຫັດ 1024-bit ແມ່ນຂ້ອນຂ້າງພຽງພໍເພື່ອປ້ອງກັນການ hack.
ເຊັ່ນດຽວກັນກັບ Buran, ransomware ຖືກຂຽນໄວ້ໃນ Object Pascal ແລະລວບລວມຢູ່ໃນ Borland Delphi.

ການວິເຄາະຄົງທີ່

ການປະຕິບັດລະຫັດທີ່ເປັນອັນຕະລາຍເກີດຂຶ້ນໃນສີ່ຂັ້ນຕອນ. ຂັ້ນຕອນທໍາອິດແມ່ນການດໍາເນີນການ cashback.exe, ເປັນໄຟລ໌ປະຕິບັດ PE32 ພາຍໃຕ້ການ MS Windows ທີ່ມີຂະຫນາດຂອງ 1198936 bytes. ລະຫັດຂອງມັນຖືກຂຽນໄວ້ໃນ Visual C++ ແລະລວບລວມໃນວັນທີ 14 ເດືອນຕຸລາປີ 2013. ມັນມີບ່ອນເກັບມ້ຽນທີ່ຖອດອອກໂດຍອັດຕະໂນມັດເມື່ອທ່ານເອີ້ນໃຊ້ cashback.exe. ຊອບແວໃຊ້ຫ້ອງສະຫມຸດ Cabinet.dll ແລະຫນ້າທີ່ຂອງມັນ FDICreate(), FDIDestroy() ແລະອື່ນໆເພື່ອໃຫ້ໄດ້ໄຟລ໌ຈາກແຟ້ມຈັດເກັບ .cab.

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

ຫຼັງຈາກ unpacking archive, ສາມໄຟລ໌ຈະປາກົດ.

ຕໍ່ໄປ, temp.exe ໄດ້ຖືກເປີດຕົວ, ໄຟລ໌ປະຕິບັດ PE32 ພາຍໃຕ້ MS Windows ທີ່ມີຂະຫນາດ 307200 bytes. ລະຫັດຖືກຂຽນໄວ້ໃນ Visual C ++ ແລະຫຸ້ມຫໍ່ດ້ວຍ MPRESS packer, packer ທີ່ຄ້າຍຄືກັບ UPX.

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

ຂັ້ນຕອນຕໍ່ໄປແມ່ນ ironman.exe. ເມື່ອເປີດຕົວແລ້ວ, temp.exe ຈະຖອດລະຫັດຂໍ້ມູນທີ່ຝັງຢູ່ໃນ temp ແລະປ່ຽນຊື່ເປັນ ironman.exe, ໄຟລ໌ປະຕິບັດການ 32 byte PE544768. ລະຫັດໄດ້ຖືກລວບລວມຢູ່ໃນ Borland Delphi.

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

ຂັ້ນຕອນສຸດທ້າຍແມ່ນເພື່ອ restart ໄຟລ໌ ironman.exe. ໃນເວລາແລ່ນ, ມັນປ່ຽນລະຫັດຂອງມັນແລະແລ່ນຕົວມັນເອງຈາກຫນ່ວຍຄວາມຈໍາ. ເວີຊັນຂອງ ironman.exe ນີ້ແມ່ນເປັນອັນຕະລາຍ ແລະຮັບຜິດຊອບຕໍ່ການເຂົ້າລະຫັດ.

ການໂຈມຕີ vector

ໃນປັດຈຸບັນ, Nemty ransomware ໄດ້ຖືກແຈກຢາຍຜ່ານເວັບໄຊທ໌ pp-back.info.

ລະບົບຕ່ອງໂສ້ການຕິດເຊື້ອທີ່ສົມບູນສາມາດເບິ່ງໄດ້ທີ່ app.any.run sandbox.

ການຕັ້ງຄ່າ

Cashback.exe - ການເລີ່ມຕົ້ນຂອງການໂຈມຕີ. ດັ່ງທີ່ໄດ້ກ່າວມາແລ້ວ, cashback.exe unpacks ໄຟລ໌ .cab ມັນມີ. ຈາກນັ້ນສ້າງໂຟນເດີ TMP4351$.TMP ຂອງຮູບແບບ %TEMP%IXxxx.TMP, ເຊິ່ງ xxx ແມ່ນຕົວເລກຈາກ 001 ຫາ 999.

ຕໍ່ໄປ, ກະແຈການລົງທະບຽນຖືກຕິດຕັ້ງ, ເຊິ່ງເບິ່ງຄືວ່ານີ້:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””

ມັນຖືກນໍາໃຊ້ເພື່ອລຶບໄຟລ໌ທີ່ບໍ່ໄດ້ບັນຈຸ. ສຸດທ້າຍ, cashback.exe ເລີ່ມຕົ້ນຂະບວນການ temp.exe.

Temp.exe ແມ່ນຂັ້ນຕອນທີສອງໃນລະບົບຕ່ອງໂສ້ການຕິດເຊື້ອ

ນີ້ແມ່ນຂະບວນການເປີດຕົວໂດຍໄຟລ໌ cashback.exe, ຂັ້ນຕອນທີສອງຂອງການປະຕິບັດເຊື້ອໄວຣັສ. ມັນພະຍາຍາມດາວໂຫລດ AutoHotKey, ເຄື່ອງມືສໍາລັບແລ່ນສະຄິບໃນ Windows, ແລະດໍາເນີນການ script WindowSpy.ahk ທີ່ຕັ້ງຢູ່ໃນພາກສ່ວນຊັບພະຍາກອນຂອງໄຟລ໌ PE.

script WindowSpy.ahk ຖອດລະຫັດໄຟລ໌ temp ໃນ ironman.exe ໂດຍໃຊ້ RC4 algorithm ແລະລະຫັດຜ່ານ IwantAcake. ລະຫັດຈາກລະຫັດຜ່ານແມ່ນໄດ້ຮັບໂດຍໃຊ້ MD5 hashing algorithm.

temp.exe ຫຼັງຈາກນັ້ນໂທຫາຂະບວນການ ironman.exe.

Ironman.exe - ຂັ້ນຕອນທີສາມ

Ironman.exe ອ່ານເນື້ອໃນຂອງໄຟລ໌ iron.bmp ແລະສ້າງໄຟລ໌ iron.txt ດ້ວຍ cryptolocker ທີ່ຈະເປີດຕົວຕໍ່ໄປ.

ຫຼັງຈາກນີ້, ເຊື້ອໄວຣັສຈະໂຫລດ iron.txt ເຂົ້າໄປໃນຫນ່ວຍຄວາມຈໍາແລະ restarts ມັນເປັນ ironman.exe. ຫຼັງຈາກນີ້, iron.txt ຈະຖືກລຶບ.

ironman.exe ແມ່ນສ່ວນຕົ້ນຕໍຂອງ NEMTY ransomware, ເຊິ່ງເຂົ້າລະຫັດໄຟລ໌ໃນຄອມພິວເຕີທີ່ໄດ້ຮັບຜົນກະທົບ. Malware ສ້າງ mutex ເອີ້ນວ່າ hate.

ສິ່ງທໍາອິດທີ່ມັນເຮັດແມ່ນກໍານົດສະຖານທີ່ຕັ້ງພູມສາດຂອງຄອມພິວເຕີ. Nemty ເປີດຕົວທ່ອງເວັບແລະຊອກຫາ IP ຢູ່ http://api.ipify.org. ຢູ່ໃນເວັບໄຊ api.db-ip.com/v2/free[IP]/countryName ປະເທດຖືກກໍານົດຈາກ IP ທີ່ໄດ້ຮັບ, ແລະຖ້າຄອມພິວເຕີຕັ້ງຢູ່ໃນຫນຶ່ງໃນພາກພື້ນທີ່ລະບຸໄວ້ຂ້າງລຸ່ມນີ້, ການປະຕິບັດລະຫັດ malware ຈະຢຸດເຊົາ:

ລັດເຊຍ
Belarus
Ukraine
ຄາຊັກສະຖານ
Tajikistan

ສ່ວນຫຼາຍອາດຈະ, ນັກພັດທະນາບໍ່ຕ້ອງການດຶງດູດຄວາມສົນໃຈຂອງອົງການບັງຄັບໃຊ້ກົດຫມາຍໃນປະເທດທີ່ຢູ່ອາໃສຂອງພວກເຂົາ, ແລະດັ່ງນັ້ນຈິ່ງບໍ່ໄດ້ເຂົ້າລະຫັດໄຟລ໌ໃນຂອບເຂດສິດອໍານາດ "ບ້ານ" ຂອງພວກເຂົາ.

ຖ້າທີ່ຢູ່ IP ຂອງຜູ້ຖືກເຄາະຮ້າຍບໍ່ໄດ້ຢູ່ໃນບັນຊີລາຍຊື່ຂ້າງເທິງ, ຫຼັງຈາກນັ້ນເຊື້ອໄວຣັສຈະເຂົ້າລະຫັດຂໍ້ມູນຂອງຜູ້ໃຊ້.

ເພື່ອປ້ອງກັນການກູ້ໄຟລ໌, ສຳເນົາເງົາຂອງພວກມັນຖືກລຶບ:

ຫຼັງຈາກນັ້ນ, ມັນຈະສ້າງບັນຊີລາຍຊື່ຂອງໄຟລ໌ແລະໂຟນເດີທີ່ຈະບໍ່ໄດ້ຮັບການເຂົ້າລະຫັດ, ເຊັ່ນດຽວກັນກັບບັນຊີລາຍຊື່ຂອງການຂະຫຍາຍໄຟລ໌.

windows
$RECYCLE.BIN
rsa
NTDETECT.COM
ແລະອື່ນໆ
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
SYS ຕັ້ງຄ່າ.
BOOTSECT.BAK
bootmgr
ຂໍ້ມູນໂຄງການ
ຂໍ້ມູນແອັບ
osoft
ໄຟລ໌ທົ່ວໄປ

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY

ສັບສົນ

ເພື່ອເຊື່ອງ URLs ແລະຂໍ້ມູນການຕັ້ງຄ່າທີ່ຝັງໄວ້, Nemty ໃຊ້ຂັ້ນຕອນການເຂົ້າລະຫັດ base64 ແລະ RC4 ດ້ວຍຄໍາຫລັກ fuckav.

ຂະບວນການຖອດລະຫັດໂດຍໃຊ້ CryptStringToBinary ມີດັ່ງນີ້

ການເຂົ້າລະຫັດ

Nemty ໃຊ້ການເຂົ້າລະຫັດສາມຊັ້ນ:

AES-128-CBC ສໍາລັບໄຟລ໌. ກະແຈ AES 128-ບິດແມ່ນສ້າງຂຶ້ນແບບສຸ່ມ ແລະຖືກໃຊ້ອັນດຽວກັນກັບທຸກໄຟລ໌. ມັນຖືກເກັບໄວ້ໃນໄຟລ໌ການຕັ້ງຄ່າໃນຄອມພິວເຕີຂອງຜູ້ໃຊ້. IV ໄດ້ຖືກສ້າງແບບສຸ່ມສໍາລັບແຕ່ລະໄຟລ໌ແລະເກັບໄວ້ໃນໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດ.
RSA-2048 ສໍາລັບການເຂົ້າລະຫັດໄຟລ໌ IV. ຄູ່ຫຼັກສໍາລັບເຊດຊັນແມ່ນຖືກສ້າງຂຶ້ນ. ລະຫັດສ່ວນຕົວສໍາລັບເຊດຊັນແມ່ນເກັບໄວ້ໃນໄຟລ໌ການຕັ້ງຄ່າໃນຄອມພິວເຕີຂອງຜູ້ໃຊ້.
RSA-8192. ລະຫັດສາທາລະນະຫຼັກແມ່ນຖືກສ້າງຂຶ້ນໃນໂປຣແກຣມ ແລະຖືກນໍາໃຊ້ເພື່ອເຂົ້າລະຫັດໄຟລ໌ການຕັ້ງຄ່າ, ເຊິ່ງເກັບຮັກສາລະຫັດ AES ແລະລະຫັດລັບສໍາລັບເຊດຊັນ RSA-2048.
Nemty ທໍາອິດສ້າງ 32 bytes ຂອງຂໍ້ມູນແບບສຸ່ມ. 16 bytes ທໍາອິດຖືກນໍາໃຊ້ເປັນກະແຈ AES-128-CBC.

ຂັ້ນຕອນການເຂົ້າລະຫັດທີສອງແມ່ນ RSA-2048. ຄູ່ຄີແມ່ນຖືກສ້າງຂຶ້ນໂດຍຟັງຊັນ CryptGenKey() ແລະຖືກນໍາເຂົ້າໂດຍຟັງຊັນ CryptImportKey().

ເມື່ອຄູ່ຄີສໍາລັບເຊດຊັນຖືກສ້າງຂື້ນ, ກະແຈສາທາລະນະຈະຖືກນໍາເຂົ້າໄປໃນຜູ້ໃຫ້ບໍລິການ MS Cryptographic.

ຕົວຢ່າງຂອງລະຫັດສາທາລະນະທີ່ສ້າງຂຶ້ນສໍາລັບເຊດຊັນ:

ຕໍ່ໄປ, ລະຫັດສ່ວນຕົວຖືກນໍາເຂົ້າເຂົ້າໃນ CSP.

ຕົວຢ່າງຂອງກະແຈສ່ວນຕົວທີ່ສ້າງຂຶ້ນສຳລັບເຊດຊັນ:

ແລະສຸດທ້າຍມາ RSA-8192. ລະຫັດສາທາລະນະຕົ້ນຕໍຖືກເກັບໄວ້ໃນຮູບແບບເຂົ້າລະຫັດ (Base64 + RC4) ໃນສ່ວນ .data ຂອງໄຟລ໌ PE.

ລະຫັດ RSA-8192 ຫຼັງຈາກການຖອດລະຫັດ base64 ແລະການຖອດລະຫັດ RC4 ດ້ວຍລະຫັດຜ່ານ fuckav ເບິ່ງຄືວ່ານີ້.

ດັ່ງນັ້ນ, ຂະບວນການເຂົ້າລະຫັດທັງຫມົດເບິ່ງຄືວ່ານີ້:

ສ້າງລະຫັດ AES 128-bit ທີ່ຈະໃຊ້ເພື່ອເຂົ້າລະຫັດໄຟລ໌ທັງໝົດ.
ສ້າງ IV ສໍາລັບແຕ່ລະໄຟລ໌.
ການສ້າງຄູ່ສໍາຄັນສໍາລັບເຊດຊັນ RSA-2048.
ການຖອດລະຫັດລະຫັດ RSA-8192 ທີ່ມີຢູ່ແລ້ວໂດຍໃຊ້ base64 ແລະ RC4.
ເຂົ້າລະຫັດເນື້ອຫາໄຟລ໌ໂດຍໃຊ້ AES-128-CBC algorithm ຈາກຂັ້ນຕອນທໍາອິດ.
ການເຂົ້າລະຫັດ IV ໂດຍໃຊ້ລະຫັດສາທາລະນະ RSA-2048 ແລະການເຂົ້າລະຫັດ base64.
ການເພີ່ມ IV ທີ່ເຂົ້າລະຫັດໄວ້ໃນຕອນທ້າຍຂອງແຕ່ລະໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດ.
ການເພີ່ມກະແຈ AES ແລະລະຫັດສ່ວນຕົວຂອງເຊດຊັນ RSA-2048 ໃສ່ການຕັ້ງຄ່າ.
ຂໍ້ມູນການຕັ້ງຄ່າອະທິບາຍໃນພາກສ່ວນ ເກັບຂໍ້ມູນ ກ່ຽວກັບຄອມພິວເຕີທີ່ຕິດເຊື້ອແມ່ນຖືກເຂົ້າລະຫັດໂດຍໃຊ້ລະຫັດສາທາລະນະຕົ້ນຕໍ RSA-8192.
ໄຟລ໌ທີ່ເຂົ້າລະຫັດໄວ້ເບິ່ງຄືດັ່ງນີ້:

ຕົວຢ່າງຂອງໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດ:

ເກັບກໍາຂໍ້ມູນກ່ຽວກັບຄອມພິວເຕີທີ່ຕິດເຊື້ອ

ransomware ລວບລວມກະແຈເພື່ອຖອດລະຫັດໄຟລ໌ທີ່ຕິດເຊື້ອ, ດັ່ງນັ້ນຜູ້ໂຈມຕີສາມາດສ້າງຕົວຖອດລະຫັດໄດ້. ນອກຈາກນັ້ນ, Nemty ເກັບກໍາຂໍ້ມູນຜູ້ໃຊ້ເຊັ່ນ: ຊື່ຜູ້ໃຊ້, ຊື່ຄອມພິວເຕີ, ໂປຣໄຟລ໌ຮາດແວ.

ມັນເອີ້ນຫນ້າທີ່ GetLogicalDrives(), GetFreeSpace(), GetDriveType() ເພື່ອເກັບກໍາຂໍ້ມູນກ່ຽວກັບໄດຂອງຄອມພິວເຕີທີ່ຕິດເຊື້ອ.

ຂໍ້ມູນທີ່ເກັບກໍາໄດ້ຖືກເກັບຮັກສາໄວ້ໃນໄຟລ໌ການຕັ້ງຄ່າ. ດ້ວຍການຖອດລະຫັດສະຕຣິງ, ພວກເຮົາໄດ້ຮັບບັນຊີລາຍຊື່ຂອງຕົວກໍານົດການໃນໄຟລ໌ການຕັ້ງຄ່າ:

ຕົວຢ່າງການຕັ້ງຄ່າຄອມພິວເຕີທີ່ຕິດເຊື້ອ:

ແມ່ແບບການຕັ້ງຄ່າສາມາດສະແດງໄດ້ດັ່ງນີ້:

{"ທົ່ວໄປ": {"IP":"[IP]", "ປະເທດ":"[ປະເທດ]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]

Nemty ເກັບຮັກສາຂໍ້ມູນທີ່ເກັບກໍາໃນຮູບແບບ JSON ຢູ່ໃນໄຟລ໌ %USER%/_NEMTY_.nemty. FileID ແມ່ນ 7 ຕົວອັກສອນຍາວ ແລະສ້າງແບບສຸ່ມ. ຕົວຢ່າງ: _NEMTY_tgdLYrd_.nemty. FileID ຍັງຖືກຕໍ່ທ້າຍຂອງໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດໄວ້.

ຂໍ້ຄວາມຄ່າໄຖ່

ຫຼັງຈາກເຂົ້າລະຫັດໄຟລ໌ແລ້ວ, ໄຟລ໌ _NEMTY_[FileID]-DECRYPT.txt ຈະປາກົດຢູ່ໃນເດັສທັອບທີ່ມີເນື້ອຫາຕໍ່ໄປນີ້:

ໃນຕອນທ້າຍຂອງໄຟລ໌ມີຂໍ້ມູນທີ່ເຂົ້າລະຫັດກ່ຽວກັບຄອມພິວເຕີທີ່ຕິດເຊື້ອ.

ການສື່ສານເຄືອຂ່າຍ

ຂະບວນການ ironman.exe ດາວໂຫຼດການແຈກຢາຍຂອງຕົວທ່ອງເວັບ Tor ຈາກທີ່ຢູ່ https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip ແລະພະຍາຍາມຕິດຕັ້ງມັນ.

Nemty ຫຼັງຈາກນັ້ນພະຍາຍາມສົ່ງຂໍ້ມູນການຕັ້ງຄ່າໄປຫາ 127.0.0.1:9050, ບ່ອນທີ່ມັນຄາດວ່າຈະຊອກຫາຕົວແທນຂອງຕົວທ່ອງເວັບ Tor ທີ່ເຮັດວຽກ. ຢ່າງໃດກໍຕາມ, ໂດຍຄ່າເລີ່ມຕົ້ນ Tor proxy ຟັງຢູ່ໃນພອດ 9150, ແລະພອດ 9050 ຖືກໃຊ້ໂດຍ Tor daemon ໃນ Linux ຫຼື Expert Bundle ໃນ Windows. ດັ່ງນັ້ນ, ບໍ່ມີຂໍ້ມູນຖືກສົ່ງໄປຫາເຄື່ອງແມ່ຂ່າຍຂອງຜູ້ໂຈມຕີ. ແທນທີ່ຈະ, ຜູ້ໃຊ້ສາມາດດາວໂຫລດໄຟລ໌ການຕັ້ງຄ່າດ້ວຍຕົນເອງໂດຍການເຂົ້າຫາການບໍລິການຖອດລະຫັດ Tor ຜ່ານລິ້ງທີ່ໃຫ້ຢູ່ໃນຂໍ້ຄວາມຄ່າໄຖ່.

ການເຊື່ອມຕໍ່ກັບພຣັອກຊີ Tor:

HTTP GET ສ້າງຄຳຮ້ອງຂໍໄປທີ່ 127.0.0.1:9050/public/gate?data=

ທີ່ນີ້ທ່ານສາມາດເບິ່ງພອດ TCP ເປີດທີ່ຖືກນໍາໃຊ້ໂດຍ TORlocal proxy:

ບໍລິການຖອດລະຫັດ Nemty ໃນເຄືອຂ່າຍ Tor:

ທ່ານສາມາດອັບໂຫລດຮູບພາບທີ່ຖືກເຂົ້າລະຫັດ (jpg, png, bmp) ເພື່ອທົດສອບການບໍລິການຖອດລະຫັດ.

ຫຼັງຈາກນີ້, ຜູ້ໂຈມຕີຂໍໃຫ້ຈ່າຍຄ່າໄຖ່. ໃນກໍລະນີທີ່ບໍ່ຊໍາລະ, ລາຄາແມ່ນເພີ່ມຂຶ້ນສອງເທົ່າ.

ສະຫລຸບ

ໃນເວລານີ້, ມັນບໍ່ສາມາດຖອດລະຫັດໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດໂດຍ Nemty ໂດຍບໍ່ມີການຈ່າຍຄ່າໄຖ່. ransomware ຮຸ່ນນີ້ມີຄຸນສົມບັດທົ່ວໄປກັບ Buran ransomware ແລະ GandCrab ທີ່ລ້າສະໄຫມ: ການລວບລວມໃນ Borland Delphi ແລະຮູບພາບທີ່ມີຂໍ້ຄວາມດຽວກັນ. ນອກຈາກນັ້ນ, ນີ້ແມ່ນຕົວເຂົ້າລະຫັດທໍາອິດທີ່ໃຊ້ລະຫັດ RSA 8092-bit, ເຊິ່ງ, ອີກເທື່ອຫນຶ່ງ, ບໍ່ມີຄວາມຫມາຍໃດໆ, ເນື່ອງຈາກວ່າລະຫັດ 1024-bit ແມ່ນພຽງພໍສໍາລັບການປົກປ້ອງ. ສຸດທ້າຍ, ແລະຫນ້າສົນໃຈ, ມັນພະຍາຍາມໃຊ້ພອດທີ່ບໍ່ຖືກຕ້ອງສໍາລັບການບໍລິການຕົວແທນ Tor ທ້ອງຖິ່ນ.

ຢ່າງໃດກໍຕາມ, ວິທີແກ້ໄຂ Acronis ສຳ ຮອງ и Acronis True Image ປ້ອງກັນບໍ່ໃຫ້ Nemty ransomware ເຂົ້າເຖິງ PC ແລະຂໍ້ມູນຂອງຜູ້ໃຊ້, ແລະຜູ້ໃຫ້ບໍລິການສາມາດປົກປ້ອງລູກຄ້າຂອງພວກເຂົາດ້ວຍ Acronis Backup Cloud... ເຕັມ ການປົກປ້ອງ Cyber ບໍ່ພຽງແຕ່ສະຫນອງການສໍາຮອງຂໍ້ມູນ, ແຕ່ຍັງປ້ອງກັນການນໍາໃຊ້ Acronis Active Protection, ເຕັກໂນໂລຊີພິເສດໂດຍອີງໃສ່ປັນຍາປະດິດແລະ heuristics ພຶດຕິກໍາທີ່ອະນຸຍາດໃຫ້ທ່ານເພື່ອ neutralize ເຖິງແມ່ນຍັງບໍ່ທັນຮູ້ຈັກ malware.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ພົບກັບ Nemty ransomware ຈາກເວັບໄຊທ໌ PayPal ປອມ