Tutaki ki te Nemty ransomware mai i te pae PayPal rūpahu
He ransomware hou e kiia nei ko Nemty kua puta mai i runga i te whatunga, e kiia ana ko te kai-riiwhi mo GrandCrab, Buran ranei. Ka tohatohahia te kino mai i te paetukutuku PayPal rūpahu me te maha o nga ahuatanga whakamere. Ko nga korero mo te mahi o tenei ransomware kei raro i te tapahi.
Nemty ransomware hou i kitea e te kaiwhakamahi nao_sec Mahuru 7, 2019. I tohatohahia te malware ma te paetukutuku i hunahia hei PayPal, ka taea hoki e te ransomware te kuhu ki te rorohiko ma te kete whakamahi RIG. I whakamahia e nga kaiwhaiwhai nga tikanga hangarau hapori ki te akiaki i te kaiwhakamahi ki te whakahaere i te konae cashback.exe, i kiihia i whakawhiwhia e ia mai i te paetukutuku PayPal. He mea miharo ano na Nemty i tohu te tauranga he mo te ratonga takawaenga rohe Tor, e aukati ana i te tukunga mai o te malware. raraunga ki te tūmau. Na reira, me tuku e te kaiwhakamahi nga konae whakamunatia ki te whatunga Tor mena ka hiahia ia ki te utu i te utu me te tatari mo te wetewete mai i nga kaiwhaiwhai.
He maha nga korero whakamere mo Nemty e kii ana i whakawhanakehia e te hunga kotahi, e te hunga hara ipurangi ranei e hono ana ki a Buran me GrandCrab.
Pērā i a GandCrab, he hua manu Aranga a Nemty - he hononga ki te whakaahua o te Perehitini o Ruhia a Vladimir Putin me te kata katakata. He ahua ano te ahua o te GandCrab ransomware tuku iho.
Ko nga taonga toi reo o nga kaupapa e rua e tohu ana ki nga kaituhi korero Russian kotahi.
Koinei te ransomware tuatahi ki te whakamahi i te taviri RSA 8092-bit. Ahakoa karekau he take i roto i tenei: he matua moka-1024 he tino nui hei tiaki i nga mahi hacking.
Ka rite ki a Buran, ka tuhia te ransomware ki te Object Pascal ka whakaemihia ki Borland Delphi.
Te tātari pateko
Ko te whakatinanatanga o te waehere kino ka puta i nga waahanga e wha. Ko te mahi tuatahi ko te whakahaere i te cashback.exe, he konae mahi PE32 i raro i te MS Windows me te 1198936 paita te rahi. I tuhia tana waehere ki Visual C++ ka whakahiato i te Oketopa 14, 2013. Kei roto he purongo ka wetewete aunoa ina whakahaere koe i te cashback.exe. Ka whakamahia e te rorohiko te whare pukapuka Cabinet.dll me ana mahi FDICreate(), FDIDestroy() me etahi atu hei tiki i nga konae mai i te .cab archive.
I muri i te wetewete i te puranga, e toru nga konae ka puta.
Whai muri, ka whakarewahia te temp.exe, he konae mahi PE32 i raro i te MS Windows me te 307200 paita te rahi. Kua tuhia te waehere ki Visual C ++ me te kapi ki te MPRESS packer, he packer rite ki te UPX.
Ko te taahiraa e whai ake nei ko ironman.exe. Kia whakarewahia, ka wetewetehia e temp.exe nga raraunga kua whakauruhia ki roto i te temp ka whakaingoatia ki ironman.exe, he konae 32 byte PE544768. Kua whakahiatohia te waehere ki Borland Delphi.
Ko te mahi whakamutunga ko te whakaara ano i te konae ironman.exe. I te wa whakahaere, ka huri i tana waehere ka rere mai i te mahara. Ko tenei putanga o ironman.exe he kino, he kawenga mo te whakamunatanga.
Vector whakaeke
I tenei wa, ka tohatohahia te Nemty ransomware ma te paetukutuku pp-back.info.
Ka taea te tiro te mekameka katoa o te mate i app.any.run kirikiri.
tāutanga
Cashback.exe - te timatanga o te whakaeke. Ka rite ki te korero kua korerohia, ka wetewetehia e cashback.exe te konae .cab kei roto. Ka waihangahia he kōpaki TMP4351$.TMP o te ahua %TEMP%IXxxx.TMP, ko te xxx he tau mai i te 001 ki te 999.
I muri mai, kua whakauruhia he taviri rehita, penei te ahua:
Ka whakamahia ki te muku i nga konae kua wetewetehia. Ka mutu, ka tiimata te cashback.exe i te mahi temp.exe.
Ko Temp.exe te waahanga tuarua o te mekameka mate
Koinei te tukanga i whakarewahia e te konae cashback.exe, te waahanga tuarua o te mahi huaketo. Ka ngana ki te tango i te AutoHotKey, he taputapu mo te whakahaere tuhinga i runga i te Matapihi, me te whakahaere i te tuhinga WindowSpy.ahk kei roto i te waahanga rauemi o te konae PE.
Ko te tuhinga WindowSpy.ahk ka wetewete i te konae temp i ironman.exe ma te whakamahi i te RC4 algorithm me te kupuhipa IwantAcake. Ko te matua mai i te kupuhipa ka whiwhi ma te whakamahi i te MD5 hashing algorithm.
temp.exe ka karanga i te tukanga ironman.exe.
Ironman.exe - taahiraa tuatoru
Ka panuihia e Ironman.exe nga ihirangi o te konae iron.bmp me te hanga i tetahi konae iron.txt me te cryptolocker ka whakarewahia i muri mai.
Whai muri i tenei, ka utaina e te huaketo iron.txt ki te mahara ka whakaara ano hei ironman.exe. I muri i tenei, ka mukua te iron.txt.
Ko te ironman.exe te waahanga matua o te NEMTY ransomware, e whakamuna ana i nga konae kei runga i te rorohiko kua pa. Ka hangaia e te malware he mutex e kiia ana ko te mauahara.
Ko te mea tuatahi ko te whakatau i te waahi matawhenua o te rorohiko. Ka whakatuwheratia e Nemty te kaitirotiro ka kitea te IP kei runga http://api.ipify.org. I runga i te pae api.db-ip.com/v2/free[IP]/countryName Kua whakatauhia te whenua mai i te IP kua riro mai, a mena kei te noho te rorohiko ki tetahi o nga rohe kua whakarārangitia i raro nei, ka mutu te mahi o te waehere malware:
Russia
Belarus
Ukraine
katatānga
Tajikistan
Ko te nuinga, kaore nga kaiwhakawhanake e hiahia ki te kukume i te aro o nga tari whakahaere ture i roto i o raatau whenua noho, na reira kaore e whakamuna nga konae ki o raatau mana "whare".
Mena karekau te wahitau IP o te patunga i te rarangi i runga ake nei, ka whakamuna te huaketo i nga korero a te kaiwhakamahi.
Hei aukati i te whakaora i nga konae, ka mukua nga kape atarangi:
Ka hangaia he rarangi o nga konae me nga kōpaki kaore e whakamunatia, me te rarangi o nga toronga konae.
matapihi
$RECYCLE.BIN
RSA
NTDETECT.COM
etc
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
papamahi.ini
SYS CONFIG.
BOOTSECT.BAK
bootmgr
raraunga hōtaka
apiti
osoft
Kōnae noa
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Te whakapouri
Hei huna i nga URL me nga raraunga whirihoranga whakauru, ka whakamahi a Nemty i te base64 me te RC4 whakawaehere algorithm me te kupu matua fuckav.
Ko te tukanga wetemuna ma te whakamahi i te CryptStringToBinary e whai ake nei
Whakamunatanga
Ka whakamahia e Nemty te whakamunatanga papa-toru:
AES-128-CBC mō ngā kōnae. He mea hanga matapōkeretia te kī AES 128-bit, ā, he rite tonu te whakamahi mō ngā kōnae katoa. Kei te rongoa i roto i te konae whirihoranga i te rorohiko o te kaiwhakamahi. Ko te IV he mea hanga matapōkeretia mo ia kōnae ka penapena ki roto i te konae whakamunatia.
RSA-2048 mo te whakamunatanga kōnae IV. Ka hangaia he takirua matua mo te wahanga. Ko te kī tūmataiti mō te wātū ka penapena ki tētahi kōnae whirihoranga i runga i te rorohiko o te kaiwhakamahi.
RSA-8192. Kua hangahia te matua matua matua ki roto i te hotaka ka whakamahia hei whakamuna i te konae whirihoranga, e pupuri ana i te taviri AES me te taviri ngaro mo te huihuinga RSA-2048.
Na Nemty tuatahi ka whakaputa i te 32 paita o nga raraunga matapōkere. Ko nga paita 16 tuatahi ka whakamahia hei matua AES-128-CBC.
Ko te algorithm whakamunatanga tuarua ko RSA-2048. Ko te takirua matua ka hangaia e te mahi CryptGenKey() me te kawemai e te mahi CryptImportKey().
Kia hangaia te takirua matua mo te waahi, ka kawemai te kii a te iwi ki roto i te Kaiwhakarato Ratonga Matapihi MS.
He tauira o te kī tūmatanui i hangaia mō tētahi wātū:
Whai muri, ka kawemai te kī tūmataiti ki te CSP.
He tauira o te taviri tūmataiti i hangaia mo te huihuinga:
A ko te whakamutunga ko RSA-8192. Ko te matua matua o te iwi kei te rongoa i roto i te ahua whakamunatia (Base64 + RC4) i te waahanga .data o te konae PE.
Ko te kī RSA-8192 i muri i te wetewete base64 me te wetemunatanga RC4 me te kupuhipa fuckav penei te ahua.
Ko te mutunga, he penei te ahua o te tukanga whakamunatanga katoa:
Hangaia he matua AES moka-128 ka whakamahia hei whakamuna i nga konae katoa.
Waihangatia he IV mo ia kōnae.
Te hanga takirua matua mo te hui RSA-2048.
Wetemunatanga o te taviri RSA-8192 o naianei ma te whakamahi i te base64 me te RC4.
Whakamuna nga ihirangi kōnae ma te whakamahi i te AES-128-CBC algorithm mai i te taahiraa tuatahi.
Whakamunatanga IV ma te whakamahi i te matua RSA-2048 me te whakawaehere base64.
Te taapiri i te IV whakamuna ki te mutunga o ia konae kua whakamunatia.
Tāpiri kī AES me RSA-2048 wātū kī tūmataiti ki te whirihora.
Raraunga whirihoranga i whakaahuatia i te waahanga Kohikohinga mōhiohio mo te rorohiko pangia kua whakamunatia ma te whakamahi i te matua matua RSA-8192.
Ko te ahua o te konae whakamunatia penei:
Tauira o nga konae whakamunatia:
Te kohikohi korero mo te rorohiko kua pangia
Ka kohia e te ransomware nga taviri ki te wetewete i nga konae kua pangia, na reira ka taea e te kaitukino te hanga he wetewete. I tua atu, ka kohia e Nemty nga raraunga kaiwhakamahi penei i te ingoa kaiwhakamahi, ingoa rorohiko, tohu taputapu.
Ka karangahia nga mahi GetLogicalDrives(), GetFreeSpace(), GetDriveType() ki te kohikohi korero mo nga puku o te rorohiko kua pangia.
Ko nga korero kua kohia ka rongoa ki tetahi konae whirihoranga. I te wetewete i te aho, ka whiwhi tatou i te rarangi o nga tawhā i roto i te konae whirihoranga:
Tauira whirihoranga o te rorohiko pangia:
Ka taea te whakaatu i te tauira whirihoranga penei:
Ka rokirokia e Nemty nga raraunga kua kohia ki te whakatakotoranga JSON ki te konae %USER%/_NEMTY_.nemty. E 7 pūāhua te roa o te FileID me te hanga matapōkeretia. Hei tauira: _NEMTY_tgdLYrd_.nemty. Ka apitihia ano te FileID ki te mutunga o te konae whakamunatia.
Karere utu
Whai muri i te whakamuna i nga konae, ka puta te konae _NEMTY_[FileID]-DECRYPT.txt ki te papamahi me nga mea e whai ake nei:
I te mutunga o te konae he korero whakamunatia mo te rorohiko kua pangia.
Ka ngana a Nemty ki te tuku raraunga whirihoranga ki te 127.0.0.1:9050, kei reira te tumanako ka kitea he takawaenga tirotiro Tor mahi. Heoi, ma te taunoa ka whakarongo te takawaenga Tor ki te tauranga 9150, ka whakamahia te tauranga 9050 e te Tor daemon i runga i te Linux, i te Paihere Tohunga ranei ki Windows. No reira, karekau he raraunga ka tukuna ki te tūmau o te kaiwhai. Engari, ka taea e te kaiwhakamahi te tango i te konae whirihoranga ma te toro atu ki te ratonga whakamunatanga Tor ma te hono e whakaratohia ana i roto i te karere utu.
Te hono ki te takawaenga Tor:
Ka waihangahia e HTTP GET he tono ki 127.0.0.1:9050/public/gate?data=
I konei ka kite koe i nga tauranga TCP tuwhera e whakamahia ana e te takawaenga TORlocal:
Ratonga wetemunatanga Nemty i runga i te whatunga Tor:
Ka taea e koe te tuku i tetahi whakaahua whakamunatia (jpg, png, bmp) hei whakamatautau i te ratonga wetemuna.
I muri i tenei, ka tono te tangata whakaeke ki te utu i tetahi utu. Ki te kore utu ka ruarua te utu.
mutunga
I tenei wa, kaore e taea te whakakore i nga konae kua whakamunatia e Nemty me te kore e utua he utu. He ahua noa tenei putanga o te ransomware me te Buran ransomware me te GandCrab tawhito: ko te whakahiato i Borland Delphi me nga whakaahua me nga tuhinga rite. I tua atu, koinei te whakamuna tuatahi e whakamahi ana i te taviri RSA 8092-bit, ano, kaore he tikanga, na te mea he nui te kii 1024-bit mo te whakamarumaru. Ka mutu, me te whakamere, ka ngana ki te whakamahi i te tauranga he mo te ratonga takawaenga Tor rohe.
Heoi, rongoā Acronis Backup и Acronis True Image aukati i te Nemty ransomware kia tae ki nga PC kaiwhakamahi me nga raraunga, ka taea e nga kaiwhakarato te tiaki i o raatau kaihoko Acronis Backup Cloud. Ki tonu Tiaki Cyber whakarato kore anake tārua, engari ano te tiaki te whakamahi Acronis Active Protection, he hangarau motuhake e ahu mai ana i te mohio horihori me te heuristic whanonga e taea ai e koe te whakakore i te kino kino ahakoa kaore ano kia mohiotia.