Susipažinkite su Nemty išpirkos reikalaujančia programa iš netikros PayPal svetainės
Tinkle pasirodė nauja išpirkos programa, vadinama Nemty, kuri tariamai yra „GrandCrab“ ar „Buran“ įpėdinė. Kenkėjiška programa daugiausia platinama iš netikros „PayPal“ svetainės ir turi daug įdomių funkcijų. Išsami informacija apie tai, kaip veikia ši išpirkos reikalaujanti programinė įranga, pateikiama.
Vartotojas aptiko naują Nemty išpirkos programą nao_sec 7 m. rugsėjo 2019 d. Kenkėjiška programa buvo platinama per svetainę užmaskuotas kaip PayPal, išpirkos reikalaujančios programos taip pat gali prasiskverbti į kompiuterį per RIG išnaudojimo rinkinį. Užpuolikai naudojo socialinės inžinerijos metodus, kad priverstų vartotoją paleisti failą cashback.exe, kurį jis tariamai gavo iš PayPal svetainės. Taip pat įdomu, kad Nemty nurodė neteisingą vietinės tarpinio serverio paslaugos „Tor“ prievadą, kuris neleidžia siųsti kenkėjiškų programų. duomenis į serverį. Todėl vartotojas, ketinantis sumokėti išpirką, turės pats įkelti šifruotus failus į „Tor“ tinklą ir laukti užpuolikų iššifravimo.
Keletas įdomių faktų apie Nemty rodo, kad jį sukūrė tie patys žmonės arba kibernetiniai nusikaltėliai, susiję su Buran ir GrandCrab.
Kaip ir GandCrab, Nemty turi velykinį kiaušinį – nuorodą į Rusijos prezidento Vladimiro Putino nuotrauką su nepadoriu pokštu. Pasenusioje GandCrab išpirkos programoje buvo vaizdas su tuo pačiu tekstu.
Abiejų programų kalbos artefaktai nurodo tuos pačius rusakalbius autorius.
Tai pirmoji išpirkos reikalaujanti programa, kuri naudoja 8092 bitų RSA raktą. Nors tai nėra prasmės: 1024 bitų rakto visiškai pakanka apsaugoti nuo įsilaužimo.
Kaip ir „Buran“, išpirkos reikalaujanti programa parašyta „Object Pascal“ ir sudaryta „Borland Delphi“.
Statinė analizė
Kenkėjiško kodo vykdymas vyksta keturiais etapais. Pirmasis žingsnis yra paleisti cashback.exe, PE32 vykdomąjį failą MS Windows, kurio dydis yra 1198936 baitai. Jo kodas buvo parašytas Visual C++ ir sudarytas 14 m. spalio 2013 d. Jame yra archyvas, kuris automatiškai išpakuojamas, kai paleidžiate cashback.exe. Programinė įranga naudoja Cabinet.dll biblioteką ir jos funkcijas FDICreate(), FDIDEStroy() ir kitas, kad gautų failus iš .cab archyvo.
Tada paleidžiama temp.exe, PE32 vykdomasis failas MS Windows, kurio dydis yra 307200 XNUMX baitų. Kodas parašytas Visual C++ ir supakuotas su MPRESS pakeriu, panašiu į UPX paketu.
Kitas žingsnis yra ironman.exe. Paleidus, temp.exe iššifruoja įterptus duomenis temp ir pervadina juos į ironman.exe, 32 baitų PE544768 vykdomąjį failą. Kodas sudarytas Borland Delphi.
Paskutinis veiksmas yra iš naujo paleisti failą ironman.exe. Vykdymo metu jis pakeičia savo kodą ir paleidžiamas iš atminties. Ši ironman.exe versija yra kenkėjiška ir atsakinga už šifravimą.
Atakos vektorius
Šiuo metu Nemty ransomware platinama per svetainę pp-back.info.
Visą infekcijos grandinę galite peržiūrėti adresu app.any.run smėlio dėžė.
Montavimas
Cashback.exe – atakos pradžia. Kaip jau minėta, cashback.exe išpakuoja jame esantį .cab failą. Tada sukuriamas aplankas TMP4351$.TMP, kurio forma yra %TEMP%IXxxx.TMP, kur xxx yra skaičius nuo 001 iki 999.
Tada įdiegiamas registro raktas, kuris atrodo taip:
Jis naudojamas neišpakuotiems failams ištrinti. Galiausiai cashback.exe paleidžia temp.exe procesą.
Temp.exe yra antrasis infekcijos grandinės etapas
Tai procesas, kurį paleidžia failas cashback.exe, antrasis viruso vykdymo veiksmas. Jis bando atsisiųsti „AutoHotKey“ – įrankį, skirtą scenarijų paleidimui sistemoje „Windows“, ir paleisti WindowSpy.ahk scenarijų, esantį PE failo išteklių skyriuje.
WindowSpy.ahk scenarijus iššifruoja laikinąjį failą ironman.exe naudodamas RC4 algoritmą ir slaptažodį IwantAcake. Slaptažodžio raktas gaunamas naudojant MD5 maišos algoritmą.
temp.exe tada iškviečia ironman.exe procesą.
Ironman.exe – trečias žingsnis
Ironman.exe nuskaito iron.bmp failo turinį ir sukuria iron.txt failą su kriptovaliuta, kuri bus paleista kitą kartą.
Po to virusas įkelia iron.txt į atmintį ir paleidžia jį iš naujo kaip ironman.exe. Po to failas iron.txt ištrinamas.
ironman.exe yra pagrindinė NEMTY išpirkos reikalaujančios programinės įrangos dalis, kuri užšifruoja failus paveiktame kompiuteryje. Kenkėjiška programa sukuria mutex, vadinamą neapykanta.
Pirmas dalykas, kurį jis daro, yra nustatyti kompiuterio geografinę vietą. Nemty atidaro naršyklę ir sužino IP įjungtą http://api.ipify.org. Prisijungęs api.db-ip.com/v2/free[IP]/countryName Šalis nustatoma pagal gautą IP ir, jei kompiuteris yra viename iš toliau išvardytų regionų, kenkėjiškų programų kodo vykdymas sustabdomas:
Rusija
Baltarusija
Ukraina
Kazachstanas
Tadžikistanas
Greičiausiai kūrėjai nenori patraukti teisėsaugos institucijų dėmesio savo gyvenamosiose šalyse, todėl nešifruoja failų savo „namų“ jurisdikcijose.
Jei aukos IP adresas nepriklauso aukščiau pateiktam sąrašui, virusas užšifruoja vartotojo informaciją.
Siekiant išvengti failų atkūrimo, jų šešėlinės kopijos ištrinamos:
Tada sukuriamas failų ir aplankų, kurie nebus užšifruoti, sąrašas, taip pat failų plėtinių sąrašas.
langai
$ RECYCLE.BIN
rsa
NTDETECT.COM
ntldr
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
darbalaukis. ini
SYS CONFIG.
BOOTSECT.BAK
Bootmgr.exe
programos duomenys
programos duomenys
osoft
Bendrieji failai
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Užtemimas
Norėdami paslėpti URL adresus ir įterptuosius konfigūracijos duomenis, Nemty naudoja base64 ir RC4 kodavimo algoritmą su raktiniu žodžiu fuckav.
Iššifravimo procesas naudojant CryptStringToBinary yra toks
Šifravimas
Nemty naudoja trijų sluoksnių šifravimą:
AES-128-CBC failams. 128 bitų AES raktas generuojamas atsitiktinai ir naudojamas visiems failams. Jis saugomas vartotojo kompiuteryje esančiame konfigūracijos faile. IV atsitiktinai sugeneruojamas kiekvienam failui ir saugomas užšifruotame faile.
RSA-2048 failų šifravimui IV. Sugeneruojama seanso raktų pora. Privatus seanso raktas saugomas vartotojo kompiuteryje esančiame konfigūracijos faile.
RSA-8192. Pagrindinis viešasis raktas yra integruotas į programą ir naudojamas šifruoti konfigūracijos failą, kuriame saugomas AES raktas ir slaptasis RSA-2048 seanso raktas.
Nemty pirmiausia generuoja 32 baitus atsitiktinių duomenų. Pirmieji 16 baitų naudojami kaip AES-128-CBC raktas.
Antrasis šifravimo algoritmas yra RSA-2048. Raktų porą sugeneruoja funkcija CryptGenKey() ir importuoja funkcija CryptImportKey().
Kai sugeneruojama seanso raktų pora, viešasis raktas importuojamas į MS kriptografijos paslaugų teikėją.
Seanso sugeneruoto viešojo rakto pavyzdys:
Tada privatus raktas importuojamas į CSP.
Seanso sugeneruoto privataus rakto pavyzdys:
Ir paskutinis ateina RSA-8192. Pagrindinis viešasis raktas saugomas šifruota forma (Base64 + RC4) PE failo .data skiltyje.
Raktas RSA-8192 po base64 dekodavimo ir RC4 iššifravimo su fuckav slaptažodžiu atrodo taip.
Dėl to visas šifravimo procesas atrodo taip:
Sugeneruokite 128 bitų AES raktą, kuris bus naudojamas visiems failams užšifruoti.
Kiekvienam failui sukurkite IV.
Raktų poros kūrimas RSA-2048 seansui.
Esamo RSA-8192 rakto iššifravimas naudojant base64 ir RC4.
Užšifruokite failo turinį naudodami AES-128-CBC algoritmą nuo pirmo veiksmo.
IV šifravimas naudojant RSA-2048 viešąjį raktą ir base64 kodavimą.
Užšifruoto IV pridėjimas prie kiekvieno šifruoto failo pabaigos.
AES rakto ir RSA-2048 sesijos privataus rakto pridėjimas prie konfigūracijos.
Skyriuje aprašyti konfigūracijos duomenys Informacijos rinkimas apie užkrėstą kompiuterį užšifruojami naudojant pagrindinį viešąjį raktą RSA-8192.
Užšifruotas failas atrodo taip:
Šifruotų failų pavyzdys:
Informacijos apie užkrėstą kompiuterį rinkimas
Išpirkos reikalaujanti programa renka raktus, kad iššifruotų užkrėstus failus, todėl užpuolikas iš tikrųjų gali sukurti iššifravimo priemonę. Be to, Nemty renka tokius vartotojo duomenis kaip vartotojo vardas, kompiuterio pavadinimas, techninės įrangos profilis.
Ji iškviečia GetLogicalDrives(), GetFreeSpace(), GetDriveType() funkcijas, kad rinktų informaciją apie užkrėsto kompiuterio diskus.
Surinkta informacija saugoma konfigūracijos faile. Iššifravę eilutę, konfigūracijos faile gauname parametrų sąrašą:
Nemty saugo surinktus duomenis JSON formatu faile %USER%/_NEMTY_.nemty. Failo ID yra 7 simbolių ilgio ir sugeneruotas atsitiktinai. Pavyzdžiui: _NEMTY_tgdLYrd_.nemty. Failo ID taip pat pridedamas prie užšifruoto failo pabaigos.
Išpirkos žinutė
Užšifravus failus, darbalaukyje pasirodys failas _NEMTY_[FileID]-DECRYPT.txt su tokiu turiniu:
Failo pabaigoje yra užšifruota informacija apie užkrėstą kompiuterį.
Tada Nemty bando nusiųsti konfigūracijos duomenis į 127.0.0.1:9050, kur tikisi rasti veikiantį Tor naršyklės tarpinį serverį. Tačiau pagal numatytuosius nustatymus „Tor“ tarpinis serveris klausosi 9150 prievado, o 9050 prievadą naudoja „Tor“ demonas „Linux“ arba „Expert Bundle“ sistemoje „Windows“. Taigi į užpuoliko serverį nesiunčiami jokie duomenys. Vietoj to, vartotojas gali atsisiųsti konfigūracijos failą rankiniu būdu, apsilankęs „Tor“ iššifravimo tarnyboje per išpirkos pranešime pateiktą nuorodą.
Prisijungimas prie „Tor“ tarpinio serverio:
HTTP GET sukuria užklausą adresu 127.0.0.1:9050/public/gate?data=
Čia galite pamatyti atvirus TCP prievadus, kuriuos naudoja TORlocal tarpinis serveris:
Po to užpuolikas prašo sumokėti išpirką. Nesumokėjus kaina padvigubėja.
išvada
Šiuo metu „Nemty“ užšifruotų failų iššifruoti nesumokėjus išpirkos neįmanoma. Ši išpirkos reikalaujančios programinės įrangos versija turi bendrų bruožų su Buran išpirkos reikalaujančia programa ir pasenusiu GandCrab: kompiliacija Borland Delphi ir vaizdai su tuo pačiu tekstu. Be to, tai pirmasis šifruotojas, kuriame naudojamas 8092 bitų RSA raktas, o tai vėlgi nėra prasminga, nes apsaugai pakanka 1024 bitų rakto. Galiausiai, ir įdomu, jis bando naudoti netinkamą prievadą vietinei „Tor“ tarpinio serverio paslaugai.
Tačiau sprendimai Acronis atsarginę kopiją и Acronis True Image neleisti Nemty ransomware pasiekti vartotojų kompiuterius ir duomenis, o paslaugų teikėjai gali apsaugoti savo klientus Acronis Backup Cloud. Pilnas Kibernetinė apsauga suteikia ne tik atsarginę kopiją, bet ir apsaugą naudojant Acronis Active Protection, speciali dirbtinio intelekto ir elgesio euristikos pagrindu sukurta technologija, leidžianti neutralizuoti net dar nežinomas kenkėjiškas programas.