Сүлжээнд GrandCrab эсвэл Buran-ийн залгамжлагч болох Nemty нэртэй шинэ ransomware гарч ирэв. Хортой програмыг ихэвчлэн хуурамч PayPal вэбсайтаас түгээдэг бөгөөд олон сонирхолтой функцуудтай. Энэхүү ransomware хэрхэн ажилладаг талаар дэлгэрэнгүй мэдээлэл энд байна.
Хэрэглэгчийн олж илрүүлсэн шинэ Nemty ransomware 7 оны есдүгээр сарын 2019. Хортой програмыг вэбсайтаар дамжуулан тараасан , RIG exploit kit-ээр дамжуулан ransomware нь компьютерт нэвтрэх боломжтой. Халдагчид нийгмийн инженерийн аргуудыг ашиглан хэрэглэгчийг PayPal вэб сайтаас хүлээн авсан гэх cashback.exe файлыг ажиллуулахыг албадав.Мөн Немти локал Tor прокси үйлчилгээний портыг буруу зааж өгсөн нь хортой програмыг илгээхээс сэргийлсэн нь сонирхол татаж байна. сервер рүү өгөгдөл. Тиймээс хэрэглэгч золиосоо төлж, халдагчдаас шифрийг тайлахыг хүлээх гэж байгаа бол Tor сүлжээнд өөрөө шифрлэгдсэн файлуудыг байршуулах шаардлагатай болно.
Nemty-ийн тухай хэд хэдэн сонирхолтой баримтаас үзэхэд үүнийг ижил хүмүүс эсвэл Буран, ГрандКраб нартай холбоотой кибер гэмт хэрэгтнүүд бүтээсэн болохыг харуулж байна.
- GandCrab-ийн нэгэн адил Немти нь Улаан өндөгний баярын өндөгтэй - ОХУ-ын Ерөнхийлөгч Владимир Путины садар самуун онигоотой зургийн холбоос. Хуучин GandCrab ransomware нь ижил тексттэй зурагтай байсан.
- Хоёр хөтөлбөрийн хэлний олдворууд нь орос хэлээр ярьдаг ижил зохиолчдыг харуулж байна.
- Энэ нь 8092 битийн RSA түлхүүрийг ашигласан анхны ransomware юм. Хэдийгээр энэ нь ямар ч утгагүй юм: 1024 битийн түлхүүр нь хакердахаас хамгаалахад хангалттай юм.
- Buran-ийн нэгэн адил ransomware нь Object Pascal дээр бичигдсэн бөгөөд Borland Delphi-д хөрвүүлэгддэг.
Статик шинжилгээ
Хортой кодыг гүйцэтгэх нь дөрвөн үе шаттайгаар явагддаг. Эхний алхам бол 32 байт хэмжээтэй MS Windows үйлдлийн систем дээр ажилладаг PE1198936 файл болох cashback.exe-г ажиллуулах явдал юм. Түүний код нь Visual C++ хэл дээр бичигдсэн бөгөөд 14 оны 2013-р сарын XNUMX-нд эмхэтгэсэн. Энэ нь таныг cashback.exe-г ажиллуулах үед автоматаар задалдаг архивыг агуулдаг. Програм хангамж нь .cab архиваас файлуудыг авахын тулд Cabinet.dll номын сан болон түүний FDICreate(), FDIDestroy() болон бусад функцуудыг ашигладаг.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Архивыг задласны дараа гурван файл гарч ирнэ.
Дараа нь temp.exe 32 байт хэмжээтэй MS Windows үйлдлийн систем дээр ажилладаг PE307200 файлыг ажиллуулж байна. Энэ код нь Visual C++ хэл дээр бичигдсэн бөгөөд UPX-тэй төстэй MPRESS савлагчаар багцлагдсан.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Дараагийн алхам бол ironman.exe юм. Ажиллаж эхэлмэгц temp.exe нь temp-д суулгасан өгөгдлийн шифрийг тайлж нэрийг нь 32 байт PE544768 гүйцэтгэх файл болох ironman.exe болгон өөрчилдөг. Кодыг Borland Delphi-д эмхэтгэсэн.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Сүүлийн алхам бол ironman.exe файлыг дахин эхлүүлэх явдал юм. Ажиллах үед энэ нь кодыг хувиргаж, санах ойгоос өөрийгөө ажиллуулдаг. Энэ ironman.exe хувилбар нь хортой бөгөөд шифрлэлтийг хариуцдаг.
Довтолгооны вектор
Одоогоор Nemty ransomware нь pp-back.info вэб сайтаар дамжин тархаж байна.
Халдварын бүрэн гинжийг эндээс харж болно хамгаалагдсан хязгаарлагдмал орчин.
тохиргоо
Cashback.exe - халдлагын эхлэл. Өмнө дурьдсанчлан, cashback.exe агуулагдах .cab файлыг задалдаг. Дараа нь %TEMP%IXxxx.TMP хэлбэрийн TMP4351$.TMP хавтас үүсгэдэг бөгөөд энд xxx нь 001-ээс 999 хүртэлх тоо юм.
Дараа нь бүртгэлийн түлхүүрийг суулгасан бөгөөд энэ нь дараах байдалтай байна.
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Энэ нь задалсан файлуудыг устгахад хэрэглэгддэг. Эцэст нь, cashback.exe нь temp.exe процессыг эхлүүлнэ.
Temp.exe нь халдварын гинжин хэлхээний хоёр дахь шат юм
Энэ бол cashback.exe файлын эхлүүлсэн процесс бөгөөд вирусыг устгах хоёр дахь алхам юм. Энэ нь Windows дээр скрипт ажиллуулах хэрэгсэл болох AutoHotKey-г татаж аваад PE файлын нөөцийн хэсэгт байрлах WindowSpy.ahk скриптийг ажиллуулахыг оролддог.
WindowSpy.ahk скрипт нь RC4 алгоритм болон IwantAcake нууц үгийг ашиглан ironman.exe дахь temp файлыг тайлдаг. Нууц үгийн түлхүүрийг MD5 хэш алгоритмыг ашиглан олж авдаг.
temp.exe дараа нь ironman.exe процессыг дууддаг.
Ironman.exe - гурав дахь алхам
Ironman.exe нь iron.bmp файлын агуулгыг уншиж, дараа нь эхлүүлэх криптлокер бүхий iron.txt файлыг үүсгэдэг.
Үүний дараа вирус санах ойд iron.txt ачаалж, ironman.exe нэрээр дахин эхлүүлнэ. Үүний дараа iron.txt устгагдах болно.
ironman.exe нь нөлөөлөлд өртсөн компьютер дээрх файлуудыг шифрлэдэг NEMTY ransomware-ийн гол хэсэг юм. Хортой програм нь үзэн ядалт гэж нэрлэгддэг мутекс үүсгэдэг.
Хамгийн эхний хийх зүйл бол компьютерийн газарзүйн байршлыг тодорхойлох явдал юм. Nemty хөтчөө нээж, IP хаягийг олж мэдэв . Сайт дээр [IP]/улсын нэр Хүлээн авсан IP-ээс тухайн улсыг тодорхойлох бөгөөд хэрэв компьютер доор жагсаасан бүсүүдийн аль нэгэнд байрладаг бол хортой програмын код ажиллахаа болино:
- ОХУ-ын
- Беларусь
- Украйны
- Казахстан
- Тажикистан улс
Хөгжүүлэгчид оршин суугаа улсынхаа хууль сахиулах байгууллагуудын анхаарлыг татахыг хүсэхгүй байгаа тул "гэрийн" харьяалалд байгаа файлуудыг шифрлэдэггүй байх магадлалтай.
Хэрэв хохирогчийн IP хаяг дээрх жагсаалтад хамаарахгүй бол вирус хэрэглэгчийн мэдээллийг шифрлэдэг.
Файлыг сэргээхээс сэргийлэхийн тулд тэдгээрийн сүүдрийн хуулбарыг устгана:
Дараа нь энэ нь шифрлэгдэхгүй файл, хавтас, файлын өргөтгөлүүдийн жагсаалтыг үүсгэдэг.
- цонх
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- гэх мэт
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS Тохиргоо.
- BOOTSECT.BAK
- bootmgr
- програмын өгөгдөл
- апплейкшний мэдээллийн бааз
- osoft
- Нийтлэг файлууд
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Бухимдал
URL болон суулгагдсан тохиргооны өгөгдлийг нуухын тулд Nemty нь base64 болон RC4 кодчилолын алгоритмыг fuckav түлхүүр үгээр ашигладаг.
CryptStringToBinary ашиглан шифрийг тайлах процесс дараах байдалтай байна
Шифрлэлт
Nemty гурван давхаргат шифрлэлтийг ашигладаг:
- Файлуудад зориулсан AES-128-CBC. 128 битийн AES түлхүүр нь санамсаргүй байдлаар үүсгэгдсэн бөгөөд бүх файлд адилхан ашиглагддаг. Энэ нь хэрэглэгчийн компьютер дээрх тохиргооны файлд хадгалагддаг. IV нь файл бүрт санамсаргүй байдлаар үүсгэгдэж, шифрлэгдсэн файлд хадгалагдана.
- Файл шифрлэлтийн RSA-2048 IV. Сессийн түлхүүрийн хослолыг үүсгэсэн. Сессийн хувийн түлхүүр нь хэрэглэгчийн компьютер дээрх тохиргооны файлд хадгалагддаг.
- RSA-8192. Мастер нийтийн түлхүүрийг программд суулгасан бөгөөд RSA-2048 сессийн AES түлхүүр болон нууц түлхүүрийг хадгалдаг тохиргооны файлыг шифрлэхэд ашигладаг.
- Nemty эхлээд 32 байт санамсаргүй өгөгдлийг үүсгэдэг. Эхний 16 байтыг AES-128-CBC түлхүүр болгон ашигладаг.
Хоёр дахь шифрлэлтийн алгоритм нь RSA-2048 юм. Түлхүүр хосыг CryptGenKey() функцээр үүсгэж, CryptImportKey() функцээр импортлодог.
Сессийн түлхүүрийн хослолыг үүсгэсний дараа нийтийн түлхүүрийг MS Cryptographic Service Provider руу импортолно.
Сессийн үүсгэсэн нийтийн түлхүүрийн жишээ:
Дараа нь хувийн түлхүүрийг CSP руу импортолно.
Сессийн үүсгэсэн хувийн түлхүүрийн жишээ:
Хамгийн сүүлд RSA-8192 ирдэг. Үндсэн нийтийн түлхүүр нь шифрлэгдсэн хэлбэрээр (Base64 + RC4) PE файлын .data хэсэгт хадгалагдана.
base8192 кодыг тайлж, RC64 кодыг тайлсаны дараа RSA-4 түлхүүр нь ийм байна.
Үүний үр дүнд бүх шифрлэлтийн процесс дараах байдалтай байна.
- Бүх файлыг шифрлэхэд ашиглах 128 битийн AES түлхүүр үүсгэнэ үү.
- Файл бүрт IV үүсгэнэ үү.
- RSA-2048 сессийн түлхүүрийн хослолыг үүсгэж байна.
- base8192 болон RC64 ашиглан одоо байгаа RSA-4 түлхүүрийн шифрийг тайлах.
- Эхний алхамаас эхлээд AES-128-CBC алгоритмыг ашиглан файлын агуулгыг шифрлэнэ үү.
- RSA-2048 нийтийн түлхүүр болон base64 кодчилол ашиглан IV шифрлэлт.
- Шифрлэгдсэн файл бүрийн төгсгөлд шифрлэгдсэн IV-г нэмж байна.
- AES түлхүүр болон RSA-2048 сессийн хувийн түлхүүрийг тохиргоонд нэмж байна.
- хэсэгт тайлбарласан тохиргооны өгөгдөл Халдвар авсан компьютерийг RSA-8192 үндсэн нийтийн түлхүүрээр шифрлэсэн.
- Шифрлэгдсэн файл дараах байдалтай байна.
Шифрлэгдсэн файлуудын жишээ:
Халдвар авсан компьютерийн талаар мэдээлэл цуглуулах
Ransomware нь халдвар авсан файлын шифрийг тайлах түлхүүрүүдийг цуглуулдаг тул халдагчид шифр тайлагч үүсгэх боломжтой. Нэмж дурдахад Nemty нь хэрэглэгчийн нэр, компьютерийн нэр, техник хангамжийн профайл зэрэг хэрэглэгчийн мэдээллийг цуглуулдаг.
Энэ нь GetLogicalDrives(), GetFreeSpace(), GetDriveType() функцуудыг дуудаж халдвар авсан компьютерийн хөтчүүдийн талаарх мэдээллийг цуглуулдаг.
Цуглуулсан мэдээлэл нь тохиргооны файлд хадгалагдана. Мөрийг тайлсны дараа бид тохиргооны файл дахь параметрүүдийн жагсаалтыг авна.
Халдвар авсан компьютерийн тохиргооны жишээ:
Тохиргооны загварыг дараах байдлаар илэрхийлж болно.
{"Ерөнхий": {"IP":"[IP]", "Улс":"[Улс]", "Компьютерийн нэр":"[Компьютерийн нэр]", "Хэрэглэгчийн нэр":"[Хэрэглэгчийн нэр]", "ҮС": "[OS]", "isRU": худал, "хувилбар":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty цуглуулсан өгөгдлийг JSON форматаар %USER%/_NEMTY_.nemty файлд хадгалдаг. FileID нь 7 тэмдэгттэй бөгөөд санамсаргүй байдлаар үүсгэгдсэн. Жишээ нь: _NEMTY_tgdLYrd_.nemty. FileID нь шифрлэгдсэн файлын төгсгөлд хавсаргасан байна.
Зээлийн мессеж
Файлуудыг шифрлэсний дараа _NEMTY_[FileID]-DECRYPT.txt файл дараах агуулгатай ширээний компьютер дээр гарч ирнэ.
Файлын төгсгөлд халдвар авсан компьютерийн тухай шифрлэгдсэн мэдээлэл байна.
Сүлжээний харилцаа холбоо
ironman.exe процесс нь Tor хөтчийн түгээлтийг хаягаас татаж авдаг мөн үүнийг суулгахыг оролддог.
Дараа нь Nemty нь тохиргооны өгөгдлийг 127.0.0.1:9050 руу илгээхийг оролдох бөгөөд тэнд Tor хөтчийн ажиллаж байгаа проксиг олох болно. Гэхдээ анхдагч байдлаар Tor прокси нь 9150 портыг сонсдог бөгөөд 9050 портыг Linux дээрх Tor демон эсвэл Windows дээрх Expert Bundle ашигладаг. Тиймээс халдагчийн сервер рүү өгөгдөл илгээгдэхгүй. Үүний оронд хэрэглэгч золиослолын зурваст заасан холбоосоор дамжуулан Tor код тайлах үйлчилгээнд зочилж тохиргооны файлыг гараар татаж авах боломжтой.
Tor прокситэй холбогдож байна:
HTTP GET нь 127.0.0.1:9050/public/gate?data= руу хүсэлт үүсгэдэг.
Эндээс та TORlocal прокси ашигладаг нээлттэй TCP портуудыг харж болно.
Tor сүлжээнд Nemty шифрлэх үйлчилгээ:
Та шифрлэгдсэн зургийг (jpg, png, bmp) байршуулж, шифрлэх үйлчилгээг туршиж үзэх боломжтой.
Үүний дараа халдлага үйлдэгч золиослохыг хүсдэг. Төлбөрийг төлөөгүй тохиолдолд үнийг хоёр дахин нэмэгдүүлнэ.
дүгнэлт
Одоогоор Nemty-ийн шифрлэсэн файлуудыг золиослохгүйгээр шифрлэх боломжгүй байна. Ransomware-ийн энэ хувилбар нь Buran ransomware болон хуучирсан GandCrab-тай нийтлэг шинж чанартай байдаг: Borland Delphi дахь эмхэтгэл, ижил тексттэй зургууд. Нэмж дурдахад энэ нь 8092 битийн RSA түлхүүрийг ашигладаг анхны шифрлэгч бөгөөд энэ нь 1024 битийн түлхүүр нь хамгаалалтад хангалттай тул ямар ч утгагүй юм. Эцэст нь, сонирхолтой нь энэ нь орон нутгийн Tor прокси үйлчилгээнд буруу порт ашиглахыг оролддог.
Гэсэн хэдий ч шийдлүүд и Nemty ransomware нь хэрэглэгчийн компьютер болон өгөгдөлд хүрэхээс сэргийлж, үйлчилгээ үзүүлэгчид үйлчлүүлэгчдээ хамгаалах боломжтой. . Бүрэн нөөцлөхөөс гадна хамгаалалтыг ашиглан хангадаг , хиймэл оюун ухаан, зан үйлийн эвристик дээр суурилсан тусгай технологи нь үл мэдэгдэх хортой программыг саармагжуулах боломжийг олгодог.
Эх сурвалж: www.habr.com