വ്യാജ PayPal സൈറ്റിൽ നിന്ന് Nemty ransomware-നെ പരിചയപ്പെടുക

ഗ്രാൻഡ്‌ക്രാബിന്റെയോ ബുറാന്റെയോ പിൻഗാമിയെന്ന് കരുതപ്പെടുന്ന നെറ്റ്‌വർക്കിൽ Nemty എന്ന പുതിയ ransomware പ്രത്യക്ഷപ്പെട്ടു. മാൽവെയർ പ്രധാനമായും വ്യാജ പേപാൽ വെബ്‌സൈറ്റിൽ നിന്നാണ് വിതരണം ചെയ്യുന്നത്, കൂടാതെ നിരവധി രസകരമായ സവിശേഷതകളുമുണ്ട്. ഈ ransomware എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്നതിനെക്കുറിച്ചുള്ള വിശദാംശങ്ങൾ വെട്ടിക്കുറച്ചിരിക്കുന്നു.

ഉപയോക്താവ് കണ്ടെത്തിയ പുതിയ Nemty ransomware nao_sec സെപ്റ്റംബർ 7, 2019. വെബ്‌സൈറ്റ് വഴിയാണ് മാൽവെയർ പ്രചരിച്ചത് പേപാൽ ആയി വേഷംമാറി, RIG എക്‌സ്‌പ്ലോയിറ്റ് കിറ്റിലൂടെ ransomware കമ്പ്യൂട്ടറിലേക്ക് തുളച്ചുകയറുന്നതും സാധ്യമാണ്. PayPal വെബ്‌സൈറ്റിൽ നിന്ന് തനിക്ക് ലഭിച്ചെന്ന് ആരോപിക്കപ്പെടുന്ന cashback.exe ഫയൽ പ്രവർത്തിപ്പിക്കാൻ ഉപയോക്താവിനെ നിർബന്ധിക്കാൻ അക്രമികൾ സോഷ്യൽ എഞ്ചിനീയറിംഗ് രീതികൾ ഉപയോഗിച്ചു. ക്ഷുദ്രവെയർ അയയ്‌ക്കുന്നതിൽ നിന്ന് തടയുന്ന പ്രാദേശിക പ്രോക്‌സി സേവനമായ ടോറിനായി നെംറ്റി തെറ്റായ പോർട്ട് വ്യക്തമാക്കിയതും കൗതുകകരമാണ്. സെർവറിലേക്കുള്ള ഡാറ്റ. അതിനാൽ, മോചനദ്രവ്യം നൽകാനും ആക്രമണകാരികളിൽ നിന്ന് ഡീക്രിപ്ഷനുവേണ്ടി കാത്തിരിക്കാനും ഉദ്ദേശിക്കുന്നുവെങ്കിൽ ഉപയോക്താവ് തന്നെ എൻക്രിപ്റ്റ് ചെയ്ത ഫയലുകൾ ടോർ നെറ്റ്‌വർക്കിലേക്ക് അപ്‌ലോഡ് ചെയ്യേണ്ടിവരും.

നെംറ്റിയെക്കുറിച്ചുള്ള രസകരമായ നിരവധി വസ്തുതകൾ സൂചിപ്പിക്കുന്നത് ഇത് വികസിപ്പിച്ചത് ഒരേ ആളുകളോ അല്ലെങ്കിൽ ബുറാനും ഗ്രാൻഡ് ക്രാബുമായി ബന്ധപ്പെട്ട സൈബർ കുറ്റവാളികളുമാണ് എന്നാണ്.

• ഗാൻഡ്‌ക്രാബിനെപ്പോലെ, നെംറ്റിക്കും ഈസ്റ്റർ എഗ്ഗുണ്ട് - റഷ്യൻ പ്രസിഡന്റ് വ്‌ളാഡിമിർ പുടിന്റെ ഒരു അശ്ലീല തമാശയുള്ള ഫോട്ടോയിലേക്കുള്ള ലിങ്ക്. ലെഗസി GandCrab ransomware-ന് ഇതേ ടെക്‌സ്‌റ്റുള്ള ഒരു ചിത്രം ഉണ്ടായിരുന്നു.
• രണ്ട് പ്രോഗ്രാമുകളുടെയും ഭാഷാ പുരാവസ്തുക്കൾ ഒരേ റഷ്യൻ സംസാരിക്കുന്ന എഴുത്തുകാരെ ചൂണ്ടിക്കാണിക്കുന്നു.
• 8092-ബിറ്റ് RSA കീ ഉപയോഗിക്കുന്ന ആദ്യത്തെ ransomware ഇതാണ്. ഇതിൽ കാര്യമൊന്നുമില്ലെങ്കിലും: ഹാക്കിംഗിൽ നിന്ന് പരിരക്ഷിക്കാൻ 1024-ബിറ്റ് കീ മതിയാകും.
• ബുറാനെപ്പോലെ, റാൻസംവെയറും ഒബ്‌ജക്റ്റ് പാസ്കലിൽ എഴുതി ബോർലാൻഡ് ഡെൽഫിയിൽ സമാഹരിച്ചിരിക്കുന്നു.

സ്റ്റാറ്റിക് വിശകലനം

ക്ഷുദ്ര കോഡ് നടപ്പിലാക്കുന്നത് നാല് ഘട്ടങ്ങളിലായാണ് നടക്കുന്നത്. 32 ബൈറ്റുകൾ വലുപ്പമുള്ള MS വിൻഡോസിന് കീഴിൽ PE1198936 എക്സിക്യൂട്ടബിൾ ഫയലായ cashback.exe പ്രവർത്തിപ്പിക്കുക എന്നതാണ് ആദ്യപടി. ഇതിന്റെ കോഡ് വിഷ്വൽ സി++ ൽ എഴുതുകയും 14 ഒക്ടോബർ 2013-ന് സമാഹരിക്കുകയും ചെയ്തു. നിങ്ങൾ cashback.exe പ്രവർത്തിപ്പിക്കുമ്പോൾ സ്വയമേവ അൺപാക്ക് ചെയ്യുന്ന ഒരു ആർക്കൈവ് ഇതിൽ അടങ്ങിയിരിക്കുന്നു. .cab ആർക്കൈവിൽ നിന്ന് ഫയലുകൾ ലഭിക്കുന്നതിന് Cabinet.dll ലൈബ്രറിയും അതിന്റെ പ്രവർത്തനങ്ങളും FDICreate(), FDIDestroy() എന്നിവയും മറ്റുള്ളവയും സോഫ്റ്റ്‌വെയർ ഉപയോഗിക്കുന്നു.

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

ആർക്കൈവ് അൺപാക്ക് ചെയ്ത ശേഷം, മൂന്ന് ഫയലുകൾ ദൃശ്യമാകും.

അടുത്തതായി, temp.exe സമാരംഭിച്ചു, 32 ബൈറ്റുകൾ വലുപ്പമുള്ള MS വിൻഡോസിന് കീഴിൽ PE307200 എക്സിക്യൂട്ടബിൾ ഫയൽ. കോഡ് വിഷ്വൽ C++ ൽ എഴുതിയിരിക്കുന്നു കൂടാതെ UPX-ന് സമാനമായ പാക്കറായ MPRESS പാക്കർ ഉപയോഗിച്ച് പാക്കേജുചെയ്തിരിക്കുന്നു.

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

അടുത്ത ഘട്ടം ironman.exe ആണ്. സമാരംഭിച്ചുകഴിഞ്ഞാൽ, temp.exe temp-ൽ ഉൾച്ചേർത്ത ഡാറ്റ ഡീക്രിപ്റ്റ് ചെയ്യുകയും 32 byte PE544768 എക്സിക്യൂട്ടബിൾ ഫയലായ ironman.exe എന്ന് പുനർനാമകരണം ചെയ്യുകയും ചെയ്യുന്നു. ബോർലാൻഡ് ഡെൽഫിയിലാണ് കോഡ് സമാഹരിച്ചിരിക്കുന്നത്.

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

ironman.exe ഫയൽ പുനരാരംഭിക്കുക എന്നതാണ് അവസാന ഘട്ടം. റൺടൈമിൽ, അത് അതിന്റെ കോഡ് രൂപാന്തരപ്പെടുത്തുകയും മെമ്മറിയിൽ നിന്ന് സ്വയം പ്രവർത്തിക്കുകയും ചെയ്യുന്നു. Ironman.exe-ന്റെ ഈ പതിപ്പ് ക്ഷുദ്രകരവും എൻക്രിപ്ഷന്റെ ഉത്തരവാദിത്തവുമാണ്.

ആക്രമണ വെക്റ്റർ

നിലവിൽ, pp-back.info എന്ന വെബ്‌സൈറ്റ് വഴിയാണ് Nemty ransomware വിതരണം ചെയ്യുന്നത്.

അണുബാധയുടെ പൂർണ്ണമായ ശൃംഖല ഇവിടെ കാണാൻ കഴിയും app.any.run സാൻഡ്ബോക്സ്.

ഇൻസ്റ്റലേഷൻ

Cashback.exe - ആക്രമണത്തിന്റെ തുടക്കം. ഇതിനകം സൂചിപ്പിച്ചതുപോലെ, cashback.exe അതിൽ അടങ്ങിയിരിക്കുന്ന .cab ഫയൽ അൺപാക്ക് ചെയ്യുന്നു. അത് പിന്നീട് %TEMP%IXxxx.TMP ഫോമിന്റെ TMP4351$.TMP എന്ന ഫോൾഡർ സൃഷ്ടിക്കുന്നു, ഇവിടെ xxx എന്നത് 001 മുതൽ 999 വരെയുള്ള ഒരു സംഖ്യയാണ്.

അടുത്തതായി, ഒരു രജിസ്ട്രി കീ ഇൻസ്റ്റാൾ ചെയ്തു, അത് ഇതുപോലെ കാണപ്പെടുന്നു:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””

പായ്ക്ക് ചെയ്യാത്ത ഫയലുകൾ ഇല്ലാതാക്കാൻ ഇത് ഉപയോഗിക്കുന്നു. അവസാനമായി, cashback.exe temp.exe പ്രക്രിയ ആരംഭിക്കുന്നു.

അണുബാധ ശൃംഖലയിലെ രണ്ടാം ഘട്ടമാണ് Temp.exe

വൈറസ് നിർവ്വഹണത്തിന്റെ രണ്ടാം ഘട്ടമായ cashback.exe ഫയൽ ആരംഭിച്ച പ്രക്രിയയാണിത്. Windows-ൽ സ്ക്രിപ്റ്റുകൾ പ്രവർത്തിപ്പിക്കുന്നതിനുള്ള ഉപകരണമായ AutoHotKey ഡൗൺലോഡ് ചെയ്യാനും PE ഫയലിന്റെ ഉറവിട വിഭാഗത്തിൽ സ്ഥിതിചെയ്യുന്ന WindowSpy.ahk സ്ക്രിപ്റ്റ് പ്രവർത്തിപ്പിക്കാനും ഇത് ശ്രമിക്കുന്നു.

WindowSpy.ahk സ്‌ക്രിപ്റ്റ്, RC4 അൽഗോരിതം, IwantAcake എന്ന പാസ്‌വേഡ് എന്നിവ ഉപയോഗിച്ച് ironman.exe-ലെ ടെംപ് ഫയൽ ഡീക്രിപ്റ്റ് ചെയ്യുന്നു. MD5 ഹാഷിംഗ് അൽഗോരിതം ഉപയോഗിച്ചാണ് പാസ്‌വേഡിൽ നിന്നുള്ള കീ ലഭിക്കുന്നത്.

temp.exe പിന്നീട് ironman.exe പ്രോസസിനെ വിളിക്കുന്നു.

Ironman.exe - മൂന്നാം ഘട്ടം

Ironman.exe, iron.bmp ഫയലിന്റെ ഉള്ളടക്കങ്ങൾ വായിക്കുകയും ക്രിപ്‌റ്റോലോക്കർ ഉപയോഗിച്ച് ഒരു iron.txt ഫയൽ സൃഷ്‌ടിക്കുകയും ചെയ്യുന്നു, അത് അടുത്തതായി സമാരംഭിക്കും.

ഇതിനുശേഷം, വൈറസ് iron.txt മെമ്മറിയിലേക്ക് ലോഡ് ചെയ്യുകയും അത് ironman.exe എന്ന് പുനരാരംഭിക്കുകയും ചെയ്യുന്നു. ഇതിനുശേഷം, iron.txt ഇല്ലാതാക്കപ്പെടും.

ബാധിത കമ്പ്യൂട്ടറിലെ ഫയലുകൾ എൻക്രിപ്റ്റ് ചെയ്യുന്ന NEMTY ransomware-ന്റെ പ്രധാന ഭാഗമാണ് ironman.exe. ക്ഷുദ്രവെയർ വിദ്വേഷം എന്ന ഒരു മ്യൂട്ടക്സ് സൃഷ്ടിക്കുന്നു.

കമ്പ്യൂട്ടറിന്റെ ഭൂമിശാസ്ത്രപരമായ സ്ഥാനം നിർണ്ണയിക്കുക എന്നതാണ് ആദ്യം ചെയ്യേണ്ടത്. നെംറ്റി ബ്രൗസർ തുറന്ന് ഐപി ഓണാണെന്ന് കണ്ടെത്തുന്നു http://api.ipify.org. സൈറ്റിൽ api.db-ip.com/v2/free[IP]/countryName സ്വീകരിച്ച IP-യിൽ നിന്നാണ് രാജ്യം നിർണ്ണയിക്കുന്നത്, താഴെ ലിസ്‌റ്റ് ചെയ്‌തിരിക്കുന്ന ഒരു പ്രദേശത്താണ് കമ്പ്യൂട്ടർ സ്ഥിതി ചെയ്യുന്നതെങ്കിൽ, ക്ഷുദ്രവെയർ കോഡിന്റെ നിർവ്വഹണം നിർത്തുന്നു:

• റഷ്യ
• ബെലാറസ്
• ഉക്രേൻ
• കസാക്കിസ്ഥാൻ
• താജിക്കിസ്ഥാൻ

മിക്കവാറും, ഡവലപ്പർമാർ അവരുടെ താമസ രാജ്യങ്ങളിലെ നിയമ നിർവ്വഹണ ഏജൻസികളുടെ ശ്രദ്ധ ആകർഷിക്കാൻ ആഗ്രഹിക്കുന്നില്ല, അതിനാൽ അവരുടെ "ഹോം" അധികാരപരിധിയിൽ ഫയലുകൾ എൻക്രിപ്റ്റ് ചെയ്യരുത്.

ഇരയുടെ ഐപി വിലാസം മുകളിലുള്ള പട്ടികയിൽ ഉൾപ്പെടുന്നില്ലെങ്കിൽ, വൈറസ് ഉപയോക്താവിന്റെ വിവരങ്ങൾ എൻക്രിപ്റ്റ് ചെയ്യുന്നു.

ഫയൽ വീണ്ടെടുക്കൽ തടയുന്നതിന്, അവയുടെ നിഴൽ പകർപ്പുകൾ ഇല്ലാതാക്കുന്നു:

ഇത് പിന്നീട് എൻക്രിപ്റ്റ് ചെയ്യപ്പെടാത്ത ഫയലുകളുടെയും ഫോൾഡറുകളുടെയും ഒരു ലിസ്റ്റും ഫയൽ എക്സ്റ്റൻഷനുകളുടെ ഒരു ലിസ്റ്റും സൃഷ്ടിക്കുന്നു.

• Windows
• $RECYCLE.BIN
• RSA
• NTDETECT.COM
• തുടങ്ങിയവ
• MSDOS.SYS
• ഐ.ഒ.എസ്.വൈ.എസ്
• boot.ini AUTOEXEC.BAT ntuser.dat
• desktop.ini
• config.SYS
• BOOTSECT.BAK
• bootmgr
• പ്രോഗ്രാം ഡാറ്റ
• അപ്ലിക്കേഷൻ ഡാറ്റ
• osoft
• സാധാരണ ഫയലുകൾ

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY 

അവ്യക്തത

URL-കളും ഉൾച്ചേർത്ത കോൺഫിഗറേഷൻ ഡാറ്റയും മറയ്ക്കാൻ, Fuckav കീവേഡിനൊപ്പം Nemty ഒരു base64, RC4 എൻകോഡിംഗ് അൽഗോരിതം ഉപയോഗിക്കുന്നു.

CryptStringToBinary ഉപയോഗിച്ചുള്ള ഡീക്രിപ്ഷൻ പ്രക്രിയ ഇപ്രകാരമാണ്

എൻക്രിപ്ഷൻ

Nemty മൂന്ന്-ലെയർ എൻക്രിപ്ഷൻ ഉപയോഗിക്കുന്നു:

• ഫയലുകൾക്കായി AES-128-CBC. 128-ബിറ്റ് എഇഎസ് കീ ക്രമരഹിതമായി ജനറേറ്റ് ചെയ്യപ്പെടുകയും എല്ലാ ഫയലുകൾക്കും ഒരേപോലെ ഉപയോഗിക്കുകയും ചെയ്യുന്നു. ഇത് ഉപയോക്താവിന്റെ കമ്പ്യൂട്ടറിൽ ഒരു കോൺഫിഗറേഷൻ ഫയലിൽ സംഭരിച്ചിരിക്കുന്നു. ഓരോ ഫയലിനുമായി IV ക്രമരഹിതമായി ജനറേറ്റ് ചെയ്യുകയും ഒരു എൻക്രിപ്റ്റ് ചെയ്ത ഫയലിൽ സംഭരിക്കുകയും ചെയ്യുന്നു.
• ഫയൽ എൻക്രിപ്ഷൻ IV-ന് RSA-2048. സെഷനായി ഒരു കീ ജോഡി ജനറേറ്റ് ചെയ്യപ്പെടുന്നു. സെഷനുള്ള സ്വകാര്യ കീ ഉപയോക്താവിന്റെ കമ്പ്യൂട്ടറിലെ ഒരു കോൺഫിഗറേഷൻ ഫയലിൽ സംഭരിച്ചിരിക്കുന്നു.
• RSA-8192. മാസ്റ്റർ പബ്ലിക് കീ പ്രോഗ്രാമിൽ നിർമ്മിച്ചിരിക്കുന്നു, ഇത് കോൺഫിഗറേഷൻ ഫയൽ എൻക്രിപ്റ്റ് ചെയ്യാൻ ഉപയോഗിക്കുന്നു, ഇത് RSA-2048 സെഷനുവേണ്ടി AES കീയും രഹസ്യ കീയും സംഭരിക്കുന്നു.
• Nemty ആദ്യം 32 ബൈറ്റുകൾ റാൻഡം ഡാറ്റ സൃഷ്ടിക്കുന്നു. ആദ്യത്തെ 16 ബൈറ്റുകൾ AES-128-CBC കീ ആയി ഉപയോഗിക്കുന്നു.

രണ്ടാമത്തെ എൻക്രിപ്ഷൻ അൽഗോരിതം RSA-2048 ആണ്. കീ ജോഡി CryptGenKey() ഫംഗ്‌ഷൻ വഴി ജനറേറ്റുചെയ്യുകയും CryptImportKey() ഫംഗ്‌ഷൻ ഉപയോഗിച്ച് ഇറക്കുമതി ചെയ്യുകയും ചെയ്യുന്നു.

സെഷനുള്ള കീ ജോഡി ജനറേറ്റുചെയ്‌തുകഴിഞ്ഞാൽ, പൊതു കീ MS ക്രിപ്‌റ്റോഗ്രാഫിക് സേവന ദാതാവിലേക്ക് ഇമ്പോർട്ട് ചെയ്യപ്പെടും.

ഒരു സെഷനുവേണ്ടി ജനറേറ്റുചെയ്ത പൊതു കീയുടെ ഉദാഹരണം:

അടുത്തതായി, സ്വകാര്യ കീ CSP-യിലേക്ക് ഇറക്കുമതി ചെയ്യുന്നു.

ഒരു സെഷനുവേണ്ടി സൃഷ്ടിച്ച സ്വകാര്യ കീയുടെ ഉദാഹരണം:

അവസാനമായി RSA-8192 വരുന്നു. PE ഫയലിന്റെ .data വിഭാഗത്തിൽ എൻക്രിപ്റ്റ് ചെയ്ത രൂപത്തിൽ (Base64 + RC4) പ്രധാന പൊതു കീ സംഭരിച്ചിരിക്കുന്നു.

അടിസ്ഥാന 8192 ഡീകോഡിംഗിനും RC64 ഡീക്രിപ്ഷനും ശേഷമുള്ള RSA-4 കീ ഇതുപോലെ കാണപ്പെടുന്നു.

ഫലമായി, മുഴുവൻ എൻക്രിപ്ഷൻ പ്രക്രിയയും ഇതുപോലെ കാണപ്പെടുന്നു:

• എല്ലാ ഫയലുകളും എൻക്രിപ്റ്റ് ചെയ്യാൻ ഉപയോഗിക്കുന്ന ഒരു 128-ബിറ്റ് എഇഎസ് കീ ജനറേറ്റ് ചെയ്യുക.
• ഓരോ ഫയലിനും ഒരു IV സൃഷ്ടിക്കുക.
• ഒരു RSA-2048 സെഷനായി ഒരു കീ ജോഡി സൃഷ്ടിക്കുന്നു.
• Base8192, RC64 എന്നിവ ഉപയോഗിച്ച് നിലവിലുള്ള RSA-4 കീയുടെ ഡീക്രിപ്ഷൻ.
• ആദ്യ ഘട്ടത്തിൽ നിന്ന് AES-128-CBC അൽഗോരിതം ഉപയോഗിച്ച് ഫയൽ ഉള്ളടക്കങ്ങൾ എൻക്രിപ്റ്റ് ചെയ്യുക.
• RSA-2048 പൊതു കീയും base64 എൻകോഡിംഗും ഉപയോഗിച്ചുള്ള IV എൻക്രിപ്ഷൻ.
• എൻക്രിപ്റ്റ് ചെയ്ത ഓരോ ഫയലിന്റെയും അവസാനം ഒരു എൻക്രിപ്റ്റ് ചെയ്ത IV ചേർക്കുന്നു.
• കോൺഫിഗറിലേക്ക് ഒരു AES കീയും RSA-2048 സെഷൻ പ്രൈവറ്റ് കീയും ചേർക്കുന്നു.
• വിഭാഗത്തിൽ വിവരിച്ചിരിക്കുന്ന കോൺഫിഗറേഷൻ ഡാറ്റ വിവര ശേഖരണം ബാധിച്ച കമ്പ്യൂട്ടറിനെ കുറിച്ച് പ്രധാന പൊതു കീ RSA-8192 ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്യുന്നു.
• എൻക്രിപ്റ്റ് ചെയ്ത ഫയൽ ഇതുപോലെ കാണപ്പെടുന്നു:

എൻക്രിപ്റ്റ് ചെയ്ത ഫയലുകളുടെ ഉദാഹരണം:

രോഗം ബാധിച്ച കമ്പ്യൂട്ടറിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ ശേഖരിക്കുന്നു

രോഗബാധിതമായ ഫയലുകൾ ഡീക്രിപ്റ്റ് ചെയ്യാൻ ransomware കീകൾ ശേഖരിക്കുന്നു, അതിനാൽ ആക്രമണകാരിക്ക് യഥാർത്ഥത്തിൽ ഒരു ഡീക്രിപ്റ്റർ സൃഷ്ടിക്കാൻ കഴിയും. കൂടാതെ, ഉപയോക്തൃനാമം, കമ്പ്യൂട്ടറിന്റെ പേര്, ഹാർഡ്‌വെയർ പ്രൊഫൈൽ തുടങ്ങിയ ഉപയോക്തൃ ഡാറ്റ Nemty ശേഖരിക്കുന്നു.

രോഗബാധിതമായ കമ്പ്യൂട്ടറിന്റെ ഡ്രൈവുകളെക്കുറിച്ചുള്ള വിവരങ്ങൾ ശേഖരിക്കുന്നതിന് ഇത് GetLogicalDrives(), GetFreeSpace(), GetDriveType() ഫംഗ്ഷനുകളെ വിളിക്കുന്നു.

ശേഖരിച്ച വിവരങ്ങൾ ഒരു കോൺഫിഗറേഷൻ ഫയലിൽ സൂക്ഷിക്കുന്നു. സ്ട്രിംഗ് ഡീകോഡ് ചെയ്ത ശേഷം, കോൺഫിഗറേഷൻ ഫയലിലെ പാരാമീറ്ററുകളുടെ ഒരു ലിസ്റ്റ് നമുക്ക് ലഭിക്കും:

രോഗബാധിതമായ കമ്പ്യൂട്ടറിന്റെ കോൺഫിഗറേഷൻ ഉദാഹരണം:

കോൺഫിഗറേഷൻ ടെംപ്ലേറ്റ് ഇനിപ്പറയുന്ന രീതിയിൽ പ്രതിനിധീകരിക്കാം:

{"General": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "കീ":"[കീ]", "pr_key":"[pr_key]

Nemty ശേഖരിച്ച ഡാറ്റ JSON ഫോർമാറ്റിൽ %USER%/_NEMTY_.nemty എന്ന ഫയലിൽ സംഭരിക്കുന്നു. ഫയൽഐഡി 7 പ്രതീകങ്ങൾ നീളമുള്ളതും ക്രമരഹിതമായി ജനറേറ്റ് ചെയ്തതുമാണ്. ഉദാഹരണത്തിന്: _NEMTY_tgdLYrd_.nemty. എൻക്രിപ്റ്റ് ചെയ്ത ഫയലിന്റെ അവസാനം ഫയൽ ഐഡിയും ചേർത്തിരിക്കുന്നു.

മോചനദ്രവ്യ സന്ദേശം

ഫയലുകൾ എൻക്രിപ്റ്റ് ചെയ്തതിന് ശേഷം, ഇനിപ്പറയുന്ന ഉള്ളടക്കമുള്ള ഡെസ്ക്ടോപ്പിൽ _NEMTY_[FileID]-DECRYPT.txt ഫയൽ ദൃശ്യമാകുന്നു:

ഫയലിന്റെ അവസാനം രോഗബാധിതരായ കമ്പ്യൂട്ടറിനെക്കുറിച്ചുള്ള എൻക്രിപ്റ്റ് ചെയ്ത വിവരങ്ങൾ ഉണ്ട്.

നെറ്റ്‌വർക്ക് ആശയവിനിമയം

Ironman.exe പ്രോസസ്സ് വിലാസത്തിൽ നിന്ന് Tor ബ്രൗസർ വിതരണം ഡൗൺലോഡ് ചെയ്യുന്നു https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip അത് ഇൻസ്റ്റാൾ ചെയ്യാൻ ശ്രമിക്കുന്നു.

127.0.0.1:9050 എന്നതിലേക്ക് കോൺഫിഗറേഷൻ ഡാറ്റ അയയ്‌ക്കാൻ Nemty ശ്രമിക്കുന്നു, അവിടെ അത് ഒരു പ്രവർത്തിക്കുന്ന Tor ബ്രൗസർ പ്രോക്‌സി കണ്ടെത്തുമെന്ന് പ്രതീക്ഷിക്കുന്നു. എന്നിരുന്നാലും, സ്ഥിരസ്ഥിതിയായി, പോർട്ട് 9150-ൽ ടോർ പ്രോക്സി ശ്രദ്ധിക്കുന്നു, ലിനക്സിലെ ടോർ ഡെമൺ അല്ലെങ്കിൽ വിൻഡോസിലെ എക്സ്പെർട്ട് ബണ്ടിൽ പോർട്ട് 9050 ഉപയോഗിക്കുന്നു. അതിനാൽ, ആക്രമണകാരിയുടെ സെർവറിലേക്ക് ഡാറ്റയൊന്നും അയയ്ക്കില്ല. പകരം, മോചനദ്രവ്യത്തിൽ നൽകിയിരിക്കുന്ന ലിങ്ക് വഴി ടോർ ഡീക്രിപ്ഷൻ സേവനം സന്ദർശിച്ച് ഉപയോക്താവിന് കോൺഫിഗറേഷൻ ഫയൽ സ്വമേധയാ ഡൗൺലോഡ് ചെയ്യാം.

ടോർ പ്രോക്സിയിലേക്ക് ബന്ധിപ്പിക്കുന്നു:

HTTP GET 127.0.0.1:9050/public/gate?data= എന്നതിലേക്ക് ഒരു അഭ്യർത്ഥന സൃഷ്ടിക്കുന്നു

TORlocal പ്രോക്സി ഉപയോഗിക്കുന്ന ഓപ്പൺ TCP പോർട്ടുകൾ നിങ്ങൾക്ക് ഇവിടെ കാണാം:

ടോർ നെറ്റ്‌വർക്കിലെ Nemty ഡീക്രിപ്ഷൻ സേവനം:

ഡീക്രിപ്ഷൻ സേവനം പരിശോധിക്കാൻ നിങ്ങൾക്ക് ഒരു എൻക്രിപ്റ്റ് ചെയ്ത ഫോട്ടോ (jpg, png, bmp) അപ്‌ലോഡ് ചെയ്യാം.

ഇതിനുശേഷം, അക്രമി മോചനദ്രവ്യം നൽകാൻ ആവശ്യപ്പെടുന്നു. പണം നൽകാത്ത സാഹചര്യത്തിൽ വില ഇരട്ടിയാക്കും.

തീരുമാനം

ഇപ്പോൾ, മോചനദ്രവ്യം നൽകാതെ നെമ്റ്റി എൻക്രിപ്റ്റ് ചെയ്ത ഫയലുകൾ ഡീക്രിപ്റ്റ് ചെയ്യാൻ കഴിയില്ല. ransomware-ന്റെ ഈ പതിപ്പിന് Buran ransomware, കാലഹരണപ്പെട്ട GandCrab എന്നിവയ്‌ക്കൊപ്പം പൊതുവായ സവിശേഷതകളുണ്ട്: Borland Delphi-യിലെ സമാഹാരവും അതേ ടെക്‌സ്‌റ്റുള്ള ചിത്രങ്ങളും. കൂടാതെ, 8092-ബിറ്റ് RSA കീ ഉപയോഗിക്കുന്ന ആദ്യത്തെ എൻക്രിപ്റ്ററാണിത്, ഇത് വീണ്ടും അർത്ഥമാക്കുന്നില്ല, കാരണം ഒരു 1024-ബിറ്റ് കീ സംരക്ഷണത്തിന് മതിയാകും. അവസാനമായി, രസകരമെന്നു പറയട്ടെ, പ്രാദേശിക ടോർ പ്രോക്സി സേവനത്തിനായി തെറ്റായ പോർട്ട് ഉപയോഗിക്കാൻ ഇത് ശ്രമിക്കുന്നു.

എന്നിരുന്നാലും, പരിഹാരങ്ങൾ അക്രോണിസ് ബാക്കപ്പ് и അക്രോണിസ് ട്രൂ ഇമേജ് Nemty ransomware ഉപയോക്തൃ പിസികളിലേക്കും ഡാറ്റയിലേക്കും എത്തുന്നത് തടയുക, ദാതാക്കൾക്ക് അവരുടെ ക്ലയന്റുകളെ സംരക്ഷിക്കാൻ കഴിയും അക്രോണിസ് ബാക്കപ്പ് ക്ലൗഡ്. നിറഞ്ഞു സൈബർ സംരക്ഷണം ബാക്കപ്പ് മാത്രമല്ല, സംരക്ഷണവും നൽകുന്നു അക്രോണിസ് സജീവ സംരക്ഷണം, ഇതുവരെ അജ്ഞാതമായ ക്ഷുദ്രവെയറുകൾ പോലും നിർവീര്യമാക്കാൻ നിങ്ങളെ അനുവദിക്കുന്ന ആർട്ടിഫിഷ്യൽ ഇന്റലിജൻസ്, ബിഹേവിയറൽ ഹ്യൂറിസ്റ്റിക്സ് എന്നിവയെ അടിസ്ഥാനമാക്കിയുള്ള ഒരു പ്രത്യേക സാങ്കേതികവിദ്യ.

അവലംബം: www.habr.com