🥇Iepazīstieties ar Nemty izpirkuma programmu no viltus PayPal vietnes

Tīklā ir parādījusies jauna izpirkuma programmatūra ar nosaukumu Nemty, kas it kā ir GrandCrab vai Buran pēctecis. Ļaunprātīgā programmatūra galvenokārt tiek izplatīta no viltotas PayPal vietnes, un tai ir vairākas interesantas funkcijas. Sīkāka informācija par šīs izspiedējvīrusa darbību ir pieejama.

Lietotājs atklāja jaunu Nemty ransomware nao_sec 7. gada 2019. septembris. Ļaunprātīga programmatūra tika izplatīta, izmantojot vietni slēpts kā PayPal, izspiedējvīrusu programmatūra var arī iekļūt datorā, izmantojot RIG izmantošanas komplektu. Uzbrucēji izmantoja sociālās inženierijas metodes, lai piespiestu lietotāju palaist failu cashback.exe, kuru viņš, iespējams, saņēmis no PayPal vietnes. Interesanti ir arī tas, ka Nemti vietējam starpniekservera pakalpojumam Tor ir norādījis nepareizu portu, kas neļauj ļaunprātīgai programmatūrai nosūtīt datus uz serveri. Tāpēc lietotājam pašam būs jāaugšupielādē šifrēti faili Tor tīklā, ja viņš plāno maksāt izpirkuma maksu un gaidīt atšifrēšanu no uzbrucējiem.

Vairāki interesanti fakti par Nemti liecina, ka to izstrādājuši tie paši cilvēki vai ar Buranu un GrandCrab saistīti kibernoziedznieki.

Tāpat kā GandCrab, Nemtijam ir Lieldienu ola – saite uz Krievijas prezidenta Vladimira Putina fotogrāfiju ar neķītru joku. Mantotajai GandCrab izpirkuma programmatūrai bija attēls ar tādu pašu tekstu.
Abu programmu valodas artefakti norāda uz tiem pašiem krievvalodīgajiem autoriem.
Šī ir pirmā izpirkuma programmatūra, kas izmanto 8092 bitu RSA atslēgu. Lai gan tam nav jēgas: 1024 bitu atslēga ir pilnīgi pietiekama, lai aizsargātu pret uzlaušanu.
Tāpat kā Buran, izpirkuma programmatūra ir rakstīta Object Pascal un apkopota Borland Delphi.

Statiskā analīze

Ļaunprātīga koda izpilde notiek četros posmos. Pirmais solis ir palaist cashback.exe — PE32 izpildāmo failu operētājsistēmā MS Windows, kura izmērs ir 1198936 baiti. Tās kods tika uzrakstīts Visual C++ un apkopots 14. gada 2013. oktobrī. Tajā ir arhīvs, kas tiek automātiski izsaiņots, kad palaižat cashback.exe. Programmatūra izmanto Cabinet.dll bibliotēku un tās funkcijas FDICreate(), FDIDEStroy() un citas, lai iegūtu failus no .cab arhīva.

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

Pēc arhīva izpakošanas parādīsies trīs faili.

Pēc tam tiek palaists temp.exe — PE32 izpildāmais fails operētājsistēmā MS Windows ar 307200 XNUMX baitu lielumu. Kods ir rakstīts programmā Visual C++ un iesaiņots ar MPRESS pakotāju, kas ir līdzīgs UPX.

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

Nākamais solis ir ironman.exe. Pēc palaišanas temp.exe atšifrē tempā iegultos datus un pārdēvē tos par ironman.exe — 32 baitu PE544768 izpildāmo failu. Kods ir apkopots Borland Delphi.

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

Pēdējais solis ir restartēt failu ironman.exe. Izpildes laikā tas pārveido savu kodu un palaiž sevi no atmiņas. Šī ironman.exe versija ir ļaunprātīga un ir atbildīga par šifrēšanu.

Uzbrukuma vektors

Pašlaik Nemty ransomware tiek izplatīta, izmantojot vietni pp-back.info.

Pilnu infekcijas ķēdi var apskatīt vietnē app.any.run smilšu kaste.

Uzstādīšana

Cashback.exe - uzbrukuma sākums. Kā jau minēts, cashback.exe izpako tajā esošo .cab failu. Pēc tam tiek izveidota mape TMP4351$.TMP formā %TEMP%IXxxx.TMP, kur xxx ir skaitlis no 001 līdz 999.

Pēc tam tiek instalēta reģistra atslēga, kas izskatās šādi:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””

To izmanto, lai izdzēstu neiepakotos failus. Visbeidzot, cashback.exe sāk procesu temp.exe.

Temp.exe ir infekcijas ķēdes otrais posms

Šis ir process, ko palaida fails cashback.exe, kas ir otrais vīrusa izpildes solis. Tā mēģina lejupielādēt AutoHotKey — rīku skriptu palaišanai operētājsistēmā Windows un palaist skriptu WindowSpy.ahk, kas atrodas PE faila resursu sadaļā.

Skripts WindowSpy.ahk atšifrē pagaidu failu programmā ironman.exe, izmantojot RC4 algoritmu un paroli IwantAcake. Paroles atslēga tiek iegūta, izmantojot MD5 jaukšanas algoritmu.

temp.exe izsauc procesu ironman.exe.

Ironman.exe — trešais solis

Ironman.exe nolasa faila iron.bmp saturu un izveido failu iron.txt ar šifrēšanas bloķētāju, kas tiks palaists nākamajā.

Pēc tam vīruss ielādē iron.txt atmiņā un restartē to kā ironman.exe. Pēc tam fails iron.txt tiek izdzēsts.

Ironman.exe ir galvenā NEMTY izspiedējprogrammatūras daļa, kas šifrē failus ietekmētajā datorā. Ļaunprātīga programmatūra rada mutex, ko sauc par naidu.

Pirmā lieta, ko tas dara, ir datora ģeogrāfiskās atrašanās vietas noteikšana. Nemty atver pārlūkprogrammu un uzzina IP http://api.ipify.org. Tiešsaistē api.db-ip.com/v2/free[IP]/countryName Valsts tiek noteikta pēc saņemtā IP, un, ja dators atrodas kādā no tālāk norādītajiem reģioniem, ļaunprātīgas programmatūras koda izpilde tiek pārtraukta:

Krievija
Baltkrievija
Ukraina
Kazahstāna
Tadžikistāna

Visticamāk, izstrādātāji nevēlas piesaistīt tiesībaizsardzības iestāžu uzmanību savās mītnes valstīs un tāpēc nešifrē failus savās “mājas” jurisdikcijās.

Ja upura IP adrese neietilpst augstāk minētajā sarakstā, tad vīruss šifrē lietotāja informāciju.

Lai novērstu failu atkopšanu, to ēnu kopijas tiek dzēstas:

Pēc tam tiek izveidots to failu un mapju saraksts, kas netiks šifrēti, kā arī failu paplašinājumu saraksts.

logi
$ RECYCLE.BIN
rsa
NTDETECT.COM
ntldr
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
SYS CONFIG.
BOOTSECT.BAK
Bootmgr
programmas dati
aplikācijas dati
osoft
Kopējie faili

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY

Apmulsināšana

Lai paslēptu vietrāžus URL un iegultos konfigurācijas datus, Nemty izmanto base64 un RC4 kodēšanas algoritmu ar atslēgvārdu fuckav.

Atšifrēšanas process, izmantojot CryptStringToBinary, ir šāds

Šifrēšana

Nemty izmanto trīs slāņu šifrēšanu:

AES-128-CBC failiem. 128 bitu AES atslēga tiek ģenerēta nejauši un tiek izmantota vienādi visiem failiem. Tas tiek saglabāts konfigurācijas failā lietotāja datorā. IV tiek nejauši ģenerēts katram failam un saglabāts šifrētā failā.
RSA-2048 failu šifrēšanai IV. Sesijai tiek ģenerēts atslēgu pāris. Sesijas privātā atslēga tiek saglabāta lietotāja datora konfigurācijas failā.
RSA-8192. Galvenā publiskā atslēga ir iebūvēta programmā un tiek izmantota, lai šifrētu konfigurācijas failu, kurā tiek saglabāta RSA-2048 sesijas AES atslēga un slepenā atslēga.
Nemty vispirms ģenerē 32 baitus nejaušu datu. Pirmie 16 baiti tiek izmantoti kā AES-128-CBC atslēga.

Otrais šifrēšanas algoritms ir RSA-2048. Atslēgu pāri ģenerē funkcija CryptGenKey() un importē funkcija CryptImportKey().

Kad sesijas atslēgu pāris ir ģenerēts, publiskā atslēga tiek importēta MS kriptogrāfijas pakalpojumu sniedzējā.

Sesijai ģenerētas publiskās atslēgas piemērs:

Pēc tam privātā atslēga tiek importēta CSP.

Sesijai ģenerētas privātās atslēgas piemērs:

Un pēdējais nāk RSA-8192. Galvenā publiskā atslēga tiek saglabāta šifrētā veidā (Base64 + RC4) PE faila .data sadaļā.

RSA-8192 atslēga pēc base64 dekodēšanas un RC4 atšifrēšanas ar fuckkav paroli izskatās šādi.

Rezultātā viss šifrēšanas process izskatās šādi:

Ģenerējiet 128 bitu AES atslēgu, kas tiks izmantota visu failu šifrēšanai.
Katram failam izveidojiet IV.
Atslēgu pāra izveide RSA-2048 sesijai.
Esošas RSA-8192 atslēgas atšifrēšana, izmantojot base64 un RC4.
Šifrējiet faila saturu, izmantojot AES-128-CBC algoritmu no pirmā soļa.
IV šifrēšana, izmantojot RSA-2048 publisko atslēgu un base64 kodējumu.
Šifrēta IV pievienošana katra šifrētā faila beigām.
AES atslēgas un RSA-2048 sesijas privātās atslēgas pievienošana konfigurācijai.
Sadaļā aprakstītie konfigurācijas dati Informācijas vākšana informācija par inficēto datoru tiek šifrēta, izmantojot galveno publisko atslēgu RSA-8192.
Šifrētais fails izskatās šādi:

Šifrētu failu piemērs:

Informācijas vākšana par inficēto datoru

Izpirkuma programmatūra savāc atslēgas, lai atšifrētu inficētos failus, tāpēc uzbrucējs faktiski var izveidot atšifrētāju. Turklāt Nemty apkopo tādus lietotāja datus kā lietotājvārds, datora nosaukums, aparatūras profils.

Tas izsauc GetLogicalDrives(), GetFreeSpace(), GetDriveType() funkcijas, lai apkopotu informāciju par inficētā datora diskdziņiem.

Savāktā informācija tiek saglabāta konfigurācijas failā. Pēc virknes dekodēšanas konfigurācijas failā iegūstam parametru sarakstu:

Inficēta datora konfigurācijas piemērs:

Konfigurācijas veidni var attēlot šādi:

{"Vispārīgi": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[ComputerName]", "Username":"[Lietotājvārds]", "OS": "[OS]", "isRU": false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]

Nemty saglabā savāktos datus JSON formātā failā %USER%/_NEMTY_.nemty. Faila ID ir 7 rakstzīmes garš un tiek ģenerēts nejauši. Piemēram: _NEMTY_tgdLYrd_.nemty. Faila ID tiek pievienots arī šifrētā faila beigās.

Izpirkuma vēstule

Pēc failu šifrēšanas darbvirsmā tiek parādīts fails _NEMTY_[FileID]-DECRYPT.txt ar šādu saturu:

Faila beigās ir šifrēta informācija par inficēto datoru.

Tīkla komunikācija

Process ironman.exe lejupielādē Tor pārlūkprogrammas izplatīšanu no adreses https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip un mēģina to instalēt.

Pēc tam Nemty mēģina nosūtīt konfigurācijas datus uz 127.0.0.1:9050, kur tas cer atrast strādājošu Tor pārlūkprogrammas starpniekserveri. Tomēr pēc noklusējuma Tor starpniekserveris klausās portā 9150, un portu 9050 izmanto Tor dēmons operētājsistēmā Linux vai Expert Bundle operētājsistēmā Windows. Tādējādi uz uzbrucēja serveri netiek nosūtīti nekādi dati. Tā vietā lietotājs var manuāli lejupielādēt konfigurācijas failu, apmeklējot Tor atšifrēšanas pakalpojumu, izmantojot izpirkuma ziņojumā norādīto saiti.

Savienojuma izveide ar Tor starpniekserveri:

HTTP GET izveido pieprasījumu 127.0.0.1:9050/public/gate?data=

Šeit jūs varat redzēt atvērtos TCP portus, ko izmanto TORlocal starpniekserveris:

Nemty atšifrēšanas pakalpojums Tor tīklā:

Varat augšupielādēt šifrētu fotoattēlu (jpg, png, bmp), lai pārbaudītu atšifrēšanas pakalpojumu.

Pēc tam uzbrucējs lūdz samaksāt izpirkuma maksu. Nemaksāšanas gadījumā cena tiek dubultota.

Secinājums

Pašlaik nav iespējams atšifrēt Nemty šifrētos failus, nemaksājot izpirkuma maksu. Šai ransomware versijai ir kopīgas iezīmes ar Buran ransomware un novecojušo GandCrab: kompilācija Borland Delphi un attēli ar tādu pašu tekstu. Turklāt šis ir pirmais šifrētājs, kas izmanto 8092 bitu RSA atslēgu, kam atkal nav nekādas jēgas, jo aizsardzībai pietiek ar 1024 bitu atslēgu. Visbeidzot, un interesanti, tas mēģina izmantot nepareizo portu vietējam Tor starpniekservera pakalpojumam.

Tomēr risinājumi Acronis Backup и Acronis True Image neļautu Nemty ransomware sasniegt lietotāju personālos datorus un datus, un pakalpojumu sniedzēji var aizsargāt savus klientus ar Acronis rezerves mākonis. Pilns Kiberaizsardzība nodrošina ne tikai dublēšanu, bet arī aizsardzību, izmantojot Acronis aktīvā aizsardzība, īpaša tehnoloģija, kuras pamatā ir mākslīgais intelekts un uzvedības heiristika, kas ļauj neitralizēt pat vēl nezināmu ļaunprogrammatūru.

Avots: www.habr.com

Iepazīstieties ar Nemty ransomware no viltus PayPal vietnes