Запознајте го откупниот софтвер Nemty од лажната страница на PayPal
На мрежата се појави нов откупен софтвер наречен Nemty, кој наводно е наследник на GrandCrab или Buran. Малициозен софтвер главно се дистрибуира од лажната веб-страница на PayPal и има голем број интересни карактеристики. Деталите за тоа како функционира овој откупни софтвер се под резиме.
Корисникот откри нов откупен софтвер Nemty nao_sec 7 септември 2019 година. Малициозен софтвер беше дистрибуиран преку веб-страница маскиран како PayPal, можно е и откупниот софтвер да навлезе во компјутер преку комплетот за експлоатација RIG. Напаѓачите користеле методи на социјално инженерство за да го принудат корисникот да ја стартува датотеката cashback.exe, која наводно ја добил од веб-страницата на PayPal. Исто така, љубопитно е што Немти наведе погрешна порта за локалната прокси услуга Tor, која го спречува испраќањето на малициозен софтвер податоци до серверот. Затоа, корисникот ќе мора самиот да прикачува шифрирани датотеки на мрежата Tor доколку има намера да го плати откупот и да чека дешифрирање од напаѓачите.
Неколку интересни факти за Немти сугерираат дека е развиен од истите луѓе или од сајбер криминалци поврзани со Буран и Гранд Краб.
Како и ГандКраб, и Немти има велигденско јајце - линк до фотографијата на рускиот претседател Владимир Путин со непристојна шега. Наследниот GandCrab ransomware имаше слика со истиот текст.
Јазичните артефакти на двете програми укажуваат на истите автори кои зборуваат руски.
Ова е првиот откупен софтвер кој користи 8092-битен RSA клуч. Иако нема смисла во ова: 1024-битен клуч е сосема доволен за заштита од хакирање.
Како Буран, откупниот софтвер е напишан во Object Pascal и компајлиран во Borland Delphi.
Статичка анализа
Извршувањето на малициозен код се случува во четири фази. Првиот чекор е да се изврши cashback.exe, извршна датотека PE32 под MS Windows со големина од 1198936 бајти. Неговиот код е напишан во Visual C++ и составен на 14 октомври 2013 година. Содржи архива што автоматски се отпакува кога ќе го стартувате cashback.exe. Софтверот ја користи библиотеката Cabinet.dll и нејзините функции FDICreate(), FDIDestroy() и други за да добие датотеки од архивата .cab.
По отпакувањето на архивата, ќе се појават три датотеки.
Следно, се лансира temp.exe, извршна датотека PE32 под MS Windows со големина од 307200 бајти. Кодот е напишан во Visual C++ и спакуван со MPRESS пакувач, пакувач сличен на UPX.
Следниот чекор е ironman.exe. Откако ќе се стартува, temp.exe ги дешифрира вградените податоци во temp и ги преименува во ironman.exe, извршна датотека PE32 од 544768 бајти. Кодот е составен во Borland Delphi.
Последниот чекор е да ја рестартирате датотеката ironman.exe. За време на извршувањето, тој го трансформира својот код и се извршува од меморијата. Оваа верзија на ironman.exe е злонамерна и е одговорна за шифрирање.
Вектор на напад
Во моментов, Nemty ransomware се дистрибуира преку веб-страницата pp-back.info.
Целосниот синџир на инфекција може да се види на app.any.run песочна кутија.
Инсталација
Cashback.exe - почеток на нападот. Како што веќе споменавме, cashback.exe ја отпакува датотеката .cab што ја содржи. Потоа создава папка TMP4351$.TMP од формата %TEMP%IXxxx.TMP, каде што xxx е број од 001 до 999.
Следно, инсталиран е клуч за регистар, кој изгледа вака:
Се користи за бришење неотпакувани датотеки. Конечно, cashback.exe го започнува процесот temp.exe.
Temp.exe е втората фаза во синџирот на инфекција
Ова е процес што го започна датотеката cashback.exe, вториот чекор од извршувањето на вирусот. Се обидува да преземе AutoHotKey, алатка за водење скрипти на Windows и да ја изврши скриптата WindowSpy.ahk која се наоѓа во делот за ресурси на датотеката PE.
Скриптата WindowSpy.ahk ја дешифрира temp датотеката во ironman.exe користејќи го алгоритмот RC4 и лозинката IwantAcake. Клучот од лозинката се добива со помош на алгоритмот за хаширање MD5.
temp.exe потоа го повикува процесот ironman.exe.
Ironman.exe - трет чекор
Ironman.exe ја чита содржината на датотеката iron.bmp и создава датотека iron.txt со криптолокер што ќе се стартува следно.
После ова, вирусот го вчитува iron.txt во меморијата и го рестартира како ironman.exe. По ова, iron.txt се брише.
ironman.exe е главниот дел од NEMTY ransomware, кој ги шифрира датотеките на погодениот компјутер. Злонамерниот софтвер создава мутекс наречен омраза.
Првото нешто што го прави е да ја одреди географската локација на компјутерот. Немти го отвора прелистувачот и ја дознава IP адресата http://api.ipify.org. Онлајн api.db-ip.com/v2/free[IP]/countryName Земјата се одредува од примената IP адреса и ако компјутерот се наоѓа во еден од регионите наведени подолу, извршувањето на кодот за малициозен софтвер престанува:
Русија
Белорусија
Украина
Казахстан
Таџикистан
Најверојатно, програмерите не сакаат да го привлечат вниманието на агенциите за спроведување на законот во нивните земји на живеење и затоа не ги шифрираат датотеките во нивните „домашни“ јурисдикции.
Ако IP адресата на жртвата не припаѓа на листата погоре, тогаш вирусот ги шифрира информациите на корисникот.
За да се спречи обновувањето на датотеките, нивните копии во сенка се бришат:
Потоа создава листа на датотеки и папки кои нема да бидат шифрирани, како и листа на екстензии на датотеки.
Windows
$RECYCLE.BIN
рса
NTDETECT.COM
итн
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
работна површина.ини
SYS CONFIG.
BOOTSECT.BAK
bootmgr
програмски податоци
апподатоци
osoft
Заеднички датотеки
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Замаглување
За да ги скрие URL-адресите и вградените податоци за конфигурација, Nemty користи алгоритам за кодирање base64 и RC4 со клучниот збор fuckav.
Процесот на дешифрирање користејќи CryptStringToBinary е како што следува
Шифрирање
Немти користи трислојна шифрирање:
AES-128-CBC за датотеки. 128-битниот AES клуч се генерира по случаен избор и се користи исто за сите датотеки. Се чува во конфигурациска датотека на компјутерот на корисникот. IV се генерира по случаен избор за секоја датотека и се складира во шифрирана датотека.
RSA-2048 за шифрирање на датотеки IV. Се генерира пар клучеви за сесијата. Приватниот клуч за сесијата е зачуван во конфигурациска датотека на компјутерот на корисникот.
RSA-8192. Главниот јавен клуч е вграден во програмата и се користи за шифрирање на конфигурациската датотека, која ги складира клучот AES и тајниот клуч за сесијата RSA-2048.
Nemty прво генерира 32 бајти случајни податоци. Првите 16 бајти се користат како клуч AES-128-CBC.
Вториот алгоритам за шифрирање е RSA-2048. Парот клучеви е генериран од функцијата CryptGenKey() и увезен од функцијата CryptImportKey().
Откако ќе се генерира парот клучеви за сесијата, јавниот клуч се увезува во давателот на криптографска услуга MS.
Пример за генериран јавен клуч за сесија:
Следно, приватниот клуч се увезува во CSP.
Пример за генериран приватен клуч за сесија:
И последен доаѓа RSA-8192. Главниот јавен клуч е зачуван во шифрирана форма (Base64 + RC4) во делот .data од датотеката PE.
Клучот RSA-8192 по декодирање на base64 и дешифрирање RC4 со лозинката fuckav изгледа вака.
Како резултат на тоа, целиот процес на шифрирање изгледа вака:
Генерирајте 128-битен AES клуч што ќе се користи за шифрирање на сите датотеки.
Направете IV за секоја датотека.
Создавање пар клучеви за сесија RSA-2048.
Дешифрирање на постоечки клуч RSA-8192 користејќи base64 и RC4.
Шифрирајте ја содржината на датотеката користејќи го алгоритмот AES-128-CBC од првиот чекор.
IV шифрирање користејќи јавен клуч RSA-2048 и кодирање base64.
Додавање шифрирана IV на крајот од секоја шифрирана датотека.
Додавање клуч AES и приватен клуч за сесија RSA-2048 на конфигурацијата.
Податоците за конфигурација опишани во делот Собирање на информации за инфицираниот компјутер се шифрираат со помош на главниот јавен клуч RSA-8192.
Шифрираната датотека изгледа вака:
Пример за шифрирани датотеки:
Собирање информации за заразениот компјутер
Откупниот софтвер собира клучеви за дешифрирање на инфицирани датотеки, па напаѓачот всушност може да создаде декриптор. Покрај тоа, Nemty собира кориснички податоци како корисничко име, име на компјутер, хардверски профил.
Ги повикува функциите GetLogicalDrives(), GetFreeSpace(), GetDriveType() за да собира информации за дисковите на заразениот компјутер.
Собраните информации се чуваат во конфигурациска датотека. Откако ја декодиравме низата, добиваме список на параметри во конфигурациската датотека:
Пример за конфигурација на заразен компјутер:
Шаблонот за конфигурација може да се претстави на следниов начин:
Nemty ги складира собраните податоци во JSON формат во датотеката %USER%/_NEMTY_.nemty. ID на датотека е долга 7 знаци и е генерирана по случаен избор. На пример: _NEMTY_tgdLYrd_.nemty. ИД на датотеката е исто така додаден на крајот на шифрираната датотека.
Порака за откуп
По шифрирањето на датотеките, датотеката _NEMTY_[FileID]-DECRYPT.txt се појавува на работната површина со следнава содржина:
На крајот од датотеката има шифрирани информации за заразениот компјутер.
Немти потоа се обидува да испрати податоци за конфигурација на 127.0.0.1:9050, каде што очекува да најде работен прокси на прелистувачот Tor. Меѓутоа, по дифолт проксито Tor слуша на портата 9150, а портата 9050 се користи од Tor демонот на Linux или Expert Bundle на Windows. Така, не се испраќаат податоци до серверот на напаѓачот. Наместо тоа, корисникот може рачно да ја преземе конфигурациската датотека со посета на услугата за дешифрирање Tor преку врската дадена во пораката за откуп.
Поврзување со Tor прокси:
HTTP GET создава барање до 127.0.0.1:9050/public/gate?data=
Овде можете да ги видите отворените TCP порти што ги користи TORlocal прокси:
Услуга за дешифрирање Nemty на мрежата Tor:
Можете да поставите шифрирана фотографија (jpg, png, bmp) за да ја тестирате услугата за дешифрирање.
По ова, напаѓачот бара да плати откуп. Во случај на неплаќање цената се дуплира.
Заклучок
Во моментов, не е можно да се дешифрираат датотеките шифрирани од Немти без да се плати откуп. Оваа верзија на ransomware има заеднички карактеристики со Buran ransomware и застарениот GandCrab: компилација во Borland Delphi и слики со истиот текст. Покрај тоа, ова е првиот енкриптор кој користи 8092-битен RSA клуч, што, повторно, нема никаква смисла, бидејќи 1024-битен клуч е доволен за заштита. Конечно, и интересно, се обидува да користи погрешна порта за локалната Tor proxy услуга.
Сепак, решенија Резервна копија на Acronis и Acronis True Image спречи откупниот софтвер Nemty да стигне до кориснички компјутери и податоци, а провајдерите можат да ги заштитат своите клиенти со Acronis Backup Cloud. Полна Сајбер-заштита обезбедува не само резервна копија, туку и заштита со користење Acronis Active Protection, специјална технологија базирана на вештачка интелигенција и хеуристика на однесувањето која ви овозможува да неутрализирате дури и непознат малициозен софтвер.