He ransomware hou e kiia nei ko Nemty kua puta mai i runga i te whatunga, e kiia ana ko te kai-riiwhi mo GrandCrab, Buran ranei. Ka tohatohahia te kino mai i te paetukutuku PayPal rūpahu me te maha o nga ahuatanga whakamere. Ko nga korero mo te mahi o tenei ransomware kei raro i te tapahi.
Nemty ransomware hou i kitea e te kaiwhakamahi Mahuru 7, 2019. I tohatohahia te malware ma te paetukutuku , ka taea hoki e te ransomware te kuhu ki te rorohiko ma te kete whakamahi RIG. I whakamahia e nga kaiwhaiwhai nga tikanga hangarau hapori ki te akiaki i te kaiwhakamahi ki te whakahaere i te konae cashback.exe, i kiihia i whakawhiwhia e ia mai i te paetukutuku PayPal. He mea miharo ano na Nemty i tohu te tauranga he mo te ratonga takawaenga rohe Tor, e aukati ana i te tukunga mai o te malware. raraunga ki te tūmau. Na reira, me tuku e te kaiwhakamahi nga konae whakamunatia ki te whatunga Tor mena ka hiahia ia ki te utu i te utu me te tatari mo te wetewete mai i nga kaiwhaiwhai.
He maha nga korero whakamere mo Nemty e kii ana i whakawhanakehia e te hunga kotahi, e te hunga hara ipurangi ranei e hono ana ki a Buran me GrandCrab.
- Pērā i a GandCrab, he hua manu Aranga a Nemty - he hononga ki te whakaahua o te Perehitini o Ruhia a Vladimir Putin me te kata katakata. He ahua ano te ahua o te GandCrab ransomware tuku iho.
- Ko nga taonga toi reo o nga kaupapa e rua e tohu ana ki nga kaituhi korero Russian kotahi.
- Koinei te ransomware tuatahi ki te whakamahi i te taviri RSA 8092-bit. Ahakoa karekau he take i roto i tenei: he matua moka-1024 he tino nui hei tiaki i nga mahi hacking.
- Ka rite ki a Buran, ka tuhia te ransomware ki te Object Pascal ka whakaemihia ki Borland Delphi.
Te tātari pateko
Ko te whakatinanatanga o te waehere kino ka puta i nga waahanga e wha. Ko te mahi tuatahi ko te whakahaere i te cashback.exe, he konae mahi PE32 i raro i te MS Windows me te 1198936 paita te rahi. I tuhia tana waehere ki Visual C++ ka whakahiato i te Oketopa 14, 2013. Kei roto he purongo ka wetewete aunoa ina whakahaere koe i te cashback.exe. Ka whakamahia e te rorohiko te whare pukapuka Cabinet.dll me ana mahi FDICreate(), FDIDestroy() me etahi atu hei tiki i nga konae mai i te .cab archive.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
I muri i te wetewete i te puranga, e toru nga konae ka puta.
Whai muri, ka whakarewahia te temp.exe, he konae mahi PE32 i raro i te MS Windows me te 307200 paita te rahi. Kua tuhia te waehere ki Visual C ++ me te kapi ki te MPRESS packer, he packer rite ki te UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Ko te taahiraa e whai ake nei ko ironman.exe. Kia whakarewahia, ka wetewetehia e temp.exe nga raraunga kua whakauruhia ki roto i te temp ka whakaingoatia ki ironman.exe, he konae 32 byte PE544768. Kua whakahiatohia te waehere ki Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Ko te mahi whakamutunga ko te whakaara ano i te konae ironman.exe. I te wa whakahaere, ka huri i tana waehere ka rere mai i te mahara. Ko tenei putanga o ironman.exe he kino, he kawenga mo te whakamunatanga.
Vector whakaeke
I tenei wa, ka tohatohahia te Nemty ransomware ma te paetukutuku pp-back.info.
Ka taea te tiro te mekameka katoa o te mate i kirikiri.
tāutanga
Cashback.exe - te timatanga o te whakaeke. Ka rite ki te korero kua korerohia, ka wetewetehia e cashback.exe te konae .cab kei roto. Ka waihangahia he kōpaki TMP4351$.TMP o te ahua %TEMP%IXxxx.TMP, ko te xxx he tau mai i te 001 ki te 999.
I muri mai, kua whakauruhia he taviri rehita, penei te ahua:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Ka whakamahia ki te muku i nga konae kua wetewetehia. Ka mutu, ka tiimata te cashback.exe i te mahi temp.exe.
Ko Temp.exe te waahanga tuarua o te mekameka mate
Koinei te tukanga i whakarewahia e te konae cashback.exe, te waahanga tuarua o te mahi huaketo. Ka ngana ki te tango i te AutoHotKey, he taputapu mo te whakahaere tuhinga i runga i te Matapihi, me te whakahaere i te tuhinga WindowSpy.ahk kei roto i te waahanga rauemi o te konae PE.
Ko te tuhinga WindowSpy.ahk ka wetewete i te konae temp i ironman.exe ma te whakamahi i te RC4 algorithm me te kupuhipa IwantAcake. Ko te matua mai i te kupuhipa ka whiwhi ma te whakamahi i te MD5 hashing algorithm.
temp.exe ka karanga i te tukanga ironman.exe.
Ironman.exe - taahiraa tuatoru
Ka panuihia e Ironman.exe nga ihirangi o te konae iron.bmp me te hanga i tetahi konae iron.txt me te cryptolocker ka whakarewahia i muri mai.
Whai muri i tenei, ka utaina e te huaketo iron.txt ki te mahara ka whakaara ano hei ironman.exe. I muri i tenei, ka mukua te iron.txt.
Ko te ironman.exe te waahanga matua o te NEMTY ransomware, e whakamuna ana i nga konae kei runga i te rorohiko kua pa. Ka hangaia e te malware he mutex e kiia ana ko te mauahara.
Ko te mea tuatahi ko te whakatau i te waahi matawhenua o te rorohiko. Ka whakatuwheratia e Nemty te kaitirotiro ka kitea te IP kei runga . I runga i te pae [IP]/countryName Kua whakatauhia te whenua mai i te IP kua riro mai, a mena kei te noho te rorohiko ki tetahi o nga rohe kua whakarārangitia i raro nei, ka mutu te mahi o te waehere malware:
- Russia
- Belarus
- Ukraine
- katatānga
- Tajikistan
Ko te nuinga, kaore nga kaiwhakawhanake e hiahia ki te kukume i te aro o nga tari whakahaere ture i roto i o raatau whenua noho, na reira kaore e whakamuna nga konae ki o raatau mana "whare".
Mena karekau te wahitau IP o te patunga i te rarangi i runga ake nei, ka whakamuna te huaketo i nga korero a te kaiwhakamahi.
Hei aukati i te whakaora i nga konae, ka mukua nga kape atarangi:
Ka hangaia he rarangi o nga konae me nga kōpaki kaore e whakamunatia, me te rarangi o nga toronga konae.
- matapihi
- $RECYCLE.BIN
- RSA
- NTDETECT.COM
- etc
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- papamahi.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- raraunga hōtaka
- apiti
- osoft
- Kōnae noa
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Te whakapouri
Hei huna i nga URL me nga raraunga whirihoranga whakauru, ka whakamahi a Nemty i te base64 me te RC4 whakawaehere algorithm me te kupu matua fuckav.
Ko te tukanga wetemuna ma te whakamahi i te CryptStringToBinary e whai ake nei
Whakamunatanga
Ka whakamahia e Nemty te whakamunatanga papa-toru:
- AES-128-CBC mō ngā kōnae. He mea hanga matapōkeretia te kī AES 128-bit, ā, he rite tonu te whakamahi mō ngā kōnae katoa. Kei te rongoa i roto i te konae whirihoranga i te rorohiko o te kaiwhakamahi. Ko te IV he mea hanga matapōkeretia mo ia kōnae ka penapena ki roto i te konae whakamunatia.
- RSA-2048 mo te whakamunatanga kōnae IV. Ka hangaia he takirua matua mo te wahanga. Ko te kī tūmataiti mō te wātū ka penapena ki tētahi kōnae whirihoranga i runga i te rorohiko o te kaiwhakamahi.
- RSA-8192. Kua hangahia te matua matua matua ki roto i te hotaka ka whakamahia hei whakamuna i te konae whirihoranga, e pupuri ana i te taviri AES me te taviri ngaro mo te huihuinga RSA-2048.
- Na Nemty tuatahi ka whakaputa i te 32 paita o nga raraunga matapōkere. Ko nga paita 16 tuatahi ka whakamahia hei matua AES-128-CBC.
Ko te algorithm whakamunatanga tuarua ko RSA-2048. Ko te takirua matua ka hangaia e te mahi CryptGenKey() me te kawemai e te mahi CryptImportKey().
Kia hangaia te takirua matua mo te waahi, ka kawemai te kii a te iwi ki roto i te Kaiwhakarato Ratonga Matapihi MS.
He tauira o te kī tūmatanui i hangaia mō tētahi wātū:
Whai muri, ka kawemai te kī tūmataiti ki te CSP.
He tauira o te taviri tūmataiti i hangaia mo te huihuinga:
A ko te whakamutunga ko RSA-8192. Ko te matua matua o te iwi kei te rongoa i roto i te ahua whakamunatia (Base64 + RC4) i te waahanga .data o te konae PE.
Ko te kī RSA-8192 i muri i te wetewete base64 me te wetemunatanga RC4 me te kupuhipa fuckav penei te ahua.
Ko te mutunga, he penei te ahua o te tukanga whakamunatanga katoa:
- Hangaia he matua AES moka-128 ka whakamahia hei whakamuna i nga konae katoa.
- Waihangatia he IV mo ia kōnae.
- Te hanga takirua matua mo te hui RSA-2048.
- Wetemunatanga o te taviri RSA-8192 o naianei ma te whakamahi i te base64 me te RC4.
- Whakamuna nga ihirangi kōnae ma te whakamahi i te AES-128-CBC algorithm mai i te taahiraa tuatahi.
- Whakamunatanga IV ma te whakamahi i te matua RSA-2048 me te whakawaehere base64.
- Te taapiri i te IV whakamuna ki te mutunga o ia konae kua whakamunatia.
- Tāpiri kī AES me RSA-2048 wātū kī tūmataiti ki te whirihora.
- Raraunga whirihoranga i whakaahuatia i te waahanga mo te rorohiko pangia kua whakamunatia ma te whakamahi i te matua matua RSA-8192.
- Ko te ahua o te konae whakamunatia penei:
Tauira o nga konae whakamunatia:
Te kohikohi korero mo te rorohiko kua pangia
Ka kohia e te ransomware nga taviri ki te wetewete i nga konae kua pangia, na reira ka taea e te kaitukino te hanga he wetewete. I tua atu, ka kohia e Nemty nga raraunga kaiwhakamahi penei i te ingoa kaiwhakamahi, ingoa rorohiko, tohu taputapu.
Ka karangahia nga mahi GetLogicalDrives(), GetFreeSpace(), GetDriveType() ki te kohikohi korero mo nga puku o te rorohiko kua pangia.
Ko nga korero kua kohia ka rongoa ki tetahi konae whirihoranga. I te wetewete i te aho, ka whiwhi tatou i te rarangi o nga tawhā i roto i te konae whirihoranga:
Tauira whirihoranga o te rorohiko pangia:
Ka taea te whakaatu i te tauira whirihoranga penei:
{"General": {"IP":"[IP]", "Whenua":"[Whenua]", "Rorohiko":"[Ingoa Rorohiko]", "Ingoa Kaiwhakamahi":"[Ingoa Kaiwhakamahi]", "OS": "[OS]", "isRU":teka, "putanga":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ ID Kaiwhakamahi]", "key":"[key]", "pr_key":"[pr_key]
Ka rokirokia e Nemty nga raraunga kua kohia ki te whakatakotoranga JSON ki te konae %USER%/_NEMTY_.nemty. E 7 pūāhua te roa o te FileID me te hanga matapōkeretia. Hei tauira: _NEMTY_tgdLYrd_.nemty. Ka apitihia ano te FileID ki te mutunga o te konae whakamunatia.
Karere utu
Whai muri i te whakamuna i nga konae, ka puta te konae _NEMTY_[FileID]-DECRYPT.txt ki te papamahi me nga mea e whai ake nei:
I te mutunga o te konae he korero whakamunatia mo te rorohiko kua pangia.
Whakawhitiwhiti whatunga
Ko te tukanga ironman.exe ka tango i te tohatoha tirotiro Tor mai i te wahitau ka ngana ki te whakauru.
Ka ngana a Nemty ki te tuku raraunga whirihoranga ki te 127.0.0.1:9050, kei reira te tumanako ka kitea he takawaenga tirotiro Tor mahi. Heoi, ma te taunoa ka whakarongo te takawaenga Tor ki te tauranga 9150, ka whakamahia te tauranga 9050 e te Tor daemon i runga i te Linux, i te Paihere Tohunga ranei ki Windows. No reira, karekau he raraunga ka tukuna ki te tūmau o te kaiwhai. Engari, ka taea e te kaiwhakamahi te tango i te konae whirihoranga ma te toro atu ki te ratonga whakamunatanga Tor ma te hono e whakaratohia ana i roto i te karere utu.
Te hono ki te takawaenga Tor:
Ka waihangahia e HTTP GET he tono ki 127.0.0.1:9050/public/gate?data=
I konei ka kite koe i nga tauranga TCP tuwhera e whakamahia ana e te takawaenga TORlocal:
Ratonga wetemunatanga Nemty i runga i te whatunga Tor:
Ka taea e koe te tuku i tetahi whakaahua whakamunatia (jpg, png, bmp) hei whakamatautau i te ratonga wetemuna.
I muri i tenei, ka tono te tangata whakaeke ki te utu i tetahi utu. Ki te kore utu ka ruarua te utu.
mutunga
I tenei wa, kaore e taea te whakakore i nga konae kua whakamunatia e Nemty me te kore e utua he utu. He ahua noa tenei putanga o te ransomware me te Buran ransomware me te GandCrab tawhito: ko te whakahiato i Borland Delphi me nga whakaahua me nga tuhinga rite. I tua atu, koinei te whakamuna tuatahi e whakamahi ana i te taviri RSA 8092-bit, ano, kaore he tikanga, na te mea he nui te kii 1024-bit mo te whakamarumaru. Ka mutu, me te whakamere, ka ngana ki te whakamahi i te tauranga he mo te ratonga takawaenga Tor rohe.
Heoi, rongoā и aukati i te Nemty ransomware kia tae ki nga PC kaiwhakamahi me nga raraunga, ka taea e nga kaiwhakarato te tiaki i o raatau kaihoko . Ki tonu whakarato kore anake tārua, engari ano te tiaki te whakamahi , he hangarau motuhake e ahu mai ana i te mohio horihori me te heuristic whanonga e taea ai e koe te whakakore i te kino kino ahakoa kaore ano kia mohiotia.
Source: will.com