🥇 बनावट PayPal साइटवरून Nemty ransomware ला भेटा

नेम्टी नावाचे नवीन रॅन्समवेअर नेटवर्कवर दिसू लागले आहे, जे कदाचित ग्रँडक्रॅब किंवा बुरानचे उत्तराधिकारी आहे. मालवेअर प्रामुख्याने बनावट PayPal वेबसाइटवरून वितरित केले जाते आणि त्यात अनेक मनोरंजक वैशिष्ट्ये आहेत. हे रॅन्समवेअर कसे कार्य करते याबद्दल तपशील कट अंतर्गत आहेत.

नवीन Nemty ransomware वापरकर्त्याने शोधले nao_sec 7 सप्टेंबर 2019. हा मालवेअर एका वेबसाइटद्वारे वितरित करण्यात आला होता PayPal च्या वेषात, ransomware ला RIG exploit kit द्वारे संगणकात प्रवेश करणे देखील शक्य आहे. हल्लेखोरांनी सामाजिक अभियांत्रिकी पद्धतींचा वापर करून वापरकर्त्याला cashback.exe फाइल चालवण्यास भाग पाडले, जी त्याला PayPal वेबसाइटवरून प्राप्त झाली होती. हे देखील उत्सुक आहे की नेम्टीने स्थानिक प्रॉक्सी सेवा Tor साठी चुकीचे पोर्ट निर्दिष्ट केले आहे, जे मालवेअर पाठवण्यापासून प्रतिबंधित करते. सर्व्हरला डेटा. म्हणून, वापरकर्त्याला खंडणी भरायची असेल आणि हल्लेखोरांकडून डिक्रिप्शनची प्रतीक्षा करायची असेल तर त्याला टोर नेटवर्कवर एनक्रिप्टेड फाइल्स स्वतः अपलोड कराव्या लागतील.

Nemty बद्दल अनेक मनोरंजक तथ्ये सूचित करतात की ते त्याच लोकांनी किंवा Buran आणि GrandCrab शी संबंधित सायबर गुन्हेगारांनी विकसित केले होते.

GandCrab प्रमाणे, नेम्टीकडे इस्टर अंडी आहे - रशियन अध्यक्ष व्लादिमीर पुतिन यांच्या एका अश्लील विनोदासह फोटोची लिंक. लेगेसी GandCrab ransomware मध्ये समान मजकूर असलेली प्रतिमा होती.
दोन्ही कार्यक्रमांच्या भाषेतील कलाकृती समान रशियन भाषिक लेखकांकडे निर्देश करतात.
8092-बिट RSA की वापरणारे हे पहिले रॅन्समवेअर आहे. जरी यात काही अर्थ नाही: हॅकिंगपासून संरक्षण करण्यासाठी 1024-बिट की पुरेशी आहे.
Buran प्रमाणे, रॅन्समवेअर ऑब्जेक्ट पास्कलमध्ये लिहिलेले आहे आणि बोरलँड डेल्फीमध्ये संकलित केले आहे.

स्थिर विश्लेषण

दुर्भावनायुक्त कोडची अंमलबजावणी चार टप्प्यांत होते. पहिली पायरी म्हणजे cashback.exe, 32 बाइट्स आकाराची MS Windows अंतर्गत PE1198936 एक्झिक्युटेबल फाइल चालवणे. त्याचा कोड व्हिज्युअल C++ मध्ये लिहिला गेला आणि 14 ऑक्टोबर 2013 रोजी संकलित केला गेला. त्यात एक संग्रहण आहे जे तुम्ही cashback.exe चालवता तेव्हा आपोआप अनपॅक केले जाते. सॉफ्टवेअर Cabinet.dll लायब्ररी आणि त्याची कार्ये FDICreate(), FDIDestroy() आणि इतर .cab संग्रहणातून फाइल्स मिळविण्यासाठी वापरते.

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

संग्रह अनपॅक केल्यानंतर, तीन फायली दिसतील.

पुढे, temp.exe लाँच केले जाते, 32 बाइट्सच्या आकारासह MS Windows अंतर्गत PE307200 एक्झिक्युटेबल फाइल. कोड व्हिज्युअल C++ मध्ये लिहिलेला आहे आणि MPRESS पॅकरसह पॅक केलेला आहे, जो UPX सारखा पॅकर आहे.

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

पुढील पायरी ironman.exe आहे. एकदा लाँच झाल्यावर, temp.exe एम्बेड केलेला डेटा temp मध्ये डिक्रिप्ट करते आणि ironman.exe, 32 बाइट PE544768 एक्झिक्युटेबल फाइल असे त्याचे नाव बदलते. कोड बोरलँड डेल्फीमध्ये संकलित केला आहे.

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

शेवटची पायरी म्हणजे ironman.exe फाइल रीस्टार्ट करणे. रनटाइमच्या वेळी, तो त्याचा कोड बदलतो आणि मेमरीमधून स्वतःला चालवतो. ironman.exe ची ही आवृत्ती दुर्भावनापूर्ण आहे आणि ती एन्क्रिप्शनसाठी जबाबदार आहे.

हल्ला वेक्टर

सध्या, Nemty ransomware चे वितरण pp-back.info या वेबसाइटद्वारे केले जाते.

संसर्गाची संपूर्ण साखळी येथे पाहिली जाऊ शकते app.any.run सँडबॉक्स

सेटिंग

Cashback.exe - हल्ल्याची सुरुवात. आधीच नमूद केल्याप्रमाणे, cashback.exe त्यात असलेली .cab फाइल अनपॅक करते. ते नंतर %TEMP%IXxxx.TMP फॉर्मचे TMP4351$.TMP फोल्डर तयार करते, जिथे xxx ही 001 ते 999 पर्यंतची संख्या आहे.

पुढे, एक रेजिस्ट्री की स्थापित केली आहे, जी यासारखी दिसते:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””

हे अनपॅक न केलेल्या फायली हटवण्यासाठी वापरले जाते. शेवटी, cashback.exe temp.exe प्रक्रिया सुरू करते.

Temp.exe हा संसर्ग साखळीतील दुसरा टप्पा आहे

ही cashback.exe फाइलद्वारे सुरू केलेली प्रक्रिया आहे, जी व्हायरसच्या अंमलबजावणीची दुसरी पायरी आहे. ते AutoHotKey डाउनलोड करण्याचा प्रयत्न करते, Windows वर स्क्रिप्ट चालवण्याचे साधन आणि PE फाइलच्या संसाधन विभागात स्थित WindowSpy.ahk स्क्रिप्ट चालवते.

WindowSpy.ahk स्क्रिप्ट RC4 अल्गोरिदम आणि IwantAcake पासवर्ड वापरून ironman.exe मधील टेम्प फाइल डिक्रिप्ट करते. MD5 हॅशिंग अल्गोरिदम वापरून पासवर्डची की मिळविली जाते.

temp.exe नंतर ironman.exe प्रक्रियेला कॉल करते.

Ironman.exe - तिसरी पायरी

Ironman.exe iron.bmp फाईलची सामग्री वाचते आणि क्रिप्टोलोकरसह iron.txt फाइल तयार करते जी पुढे लॉन्च केली जाईल.

यानंतर, व्हायरस iron.txt मेमरीमध्ये लोड करतो आणि ironman.exe म्हणून रीस्टार्ट करतो. यानंतर, iron.txt हटवले जाते.

ironman.exe हा NEMTY ransomware चा मुख्य भाग आहे, जो प्रभावित संगणकावरील फाईल्स एन्क्रिप्ट करतो. मालवेअर हेट नावाचे म्युटेक्स तयार करतो.

संगणकाचे भौगोलिक स्थान निश्चित करणे ही पहिली गोष्ट आहे. Nemty ब्राउझर उघडतो आणि IP शोधतो http://api.ipify.org. साइटवर api.db-ip.com/v2/free[IP]/countryName देश प्राप्त झालेल्या IP वरून निर्धारित केला जातो आणि जर संगणक खाली सूचीबद्ध केलेल्या प्रदेशांपैकी एकामध्ये स्थित असेल, तर मालवेअर कोडची अंमलबजावणी थांबते:

रशिया
बेलारूस
युक्रेन
कझाकस्तान
ताजिकिस्तान

बहुधा, विकासक त्यांच्या राहत्या देशात कायद्याची अंमलबजावणी करणार्‍या एजन्सींचे लक्ष वेधून घेऊ इच्छित नाहीत आणि म्हणून त्यांच्या "घरी" अधिकारक्षेत्रात फायली एन्क्रिप्ट करू नका.

जर पीडित व्यक्तीचा IP पत्ता वरील यादीशी संबंधित नसेल, तर व्हायरस वापरकर्त्याची माहिती एन्क्रिप्ट करतो.

फाइल पुनर्प्राप्ती टाळण्यासाठी, त्यांच्या छाया प्रती हटविल्या जातात:

ते नंतर फायली आणि फोल्डर्सची सूची तयार करते ज्या कूटबद्ध केल्या जाणार नाहीत, तसेच फाइल विस्तारांची सूची तयार करते.

विंडो
$RECYCLE.BIN
आरएसए
NTDETECT.COM
एनटीएलडीआर
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
डेस्कटॉप.आय
SYS कॉन्फिग.
BOOTSECT.BAK
बूटग्राम
प्रोग्राम डेटा
अनुप्रयोग डेटा
osoft
सामान्य फायली

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY

गोंधळ

URL आणि एम्बेडेड कॉन्फिगरेशन डेटा लपवण्यासाठी, Nemty fuckav कीवर्डसह बेस64 आणि RC4 एन्कोडिंग अल्गोरिदम वापरते.

CryptStringToBinary वापरून डिक्रिप्शन प्रक्रिया खालीलप्रमाणे आहे

कूटबद्धीकरण

Nemty तीन-स्तर एन्क्रिप्शन वापरते:

फाइल्ससाठी AES-128-CBC. 128-बिट AES की यादृच्छिकपणे व्युत्पन्न केली जाते आणि सर्व फायलींसाठी सारखीच वापरली जाते. हे वापरकर्त्याच्या संगणकावर कॉन्फिगरेशन फाइलमध्ये संग्रहित केले जाते. IV प्रत्येक फाईलसाठी यादृच्छिकपणे व्युत्पन्न केला जातो आणि एनक्रिप्टेड फाइलमध्ये संग्रहित केला जातो.
फाइल एन्क्रिप्शनसाठी RSA-2048 IV. सत्रासाठी एक की जोडी व्युत्पन्न केली जाते. सत्रासाठी खाजगी की वापरकर्त्याच्या संगणकावरील कॉन्फिगरेशन फाइलमध्ये संग्रहित केली जाते.
RSA-8192. मास्टर पब्लिक की प्रोग्राममध्ये तयार केली जाते आणि कॉन्फिगरेशन फाइल एनक्रिप्ट करण्यासाठी वापरली जाते, जी RSA-2048 सत्रासाठी AES की आणि गुप्त की संग्रहित करते.
Nemty प्रथम 32 बाइट्स यादृच्छिक डेटा व्युत्पन्न करते. पहिले 16 बाइट्स AES-128-CBC की म्हणून वापरले जातात.

दुसरा एन्क्रिप्शन अल्गोरिदम RSA-2048 आहे. की जोडी CryptGenKey() फंक्शनद्वारे व्युत्पन्न केली जाते आणि CryptImportKey() फंक्शनद्वारे आयात केली जाते.

सत्रासाठी की जोडी तयार झाल्यानंतर, सार्वजनिक की एमएस क्रिप्टोग्राफिक सेवा प्रदात्यामध्ये आयात केली जाते.

सत्रासाठी व्युत्पन्न केलेल्या सार्वजनिक कीचे उदाहरण:

पुढे, खाजगी की CSP मध्ये आयात केली जाते.

सत्रासाठी व्युत्पन्न केलेल्या खाजगी कीचे उदाहरण:

आणि शेवटचा येतो RSA-8192. मुख्य सार्वजनिक की PE फाइलच्या .data विभागात एनक्रिप्टेड स्वरूपात (Base64 + RC4) संग्रहित केली जाते.

बेस8192 डिकोडिंगनंतरची RSA-64 की आणि fuckav पासवर्डसह RC4 डिक्रिप्शन असे दिसते.

परिणामी, संपूर्ण एन्क्रिप्शन प्रक्रिया असे दिसते:

128-बिट AES की व्युत्पन्न करा जी सर्व फायली एनक्रिप्ट करण्यासाठी वापरली जाईल.
प्रत्येक फाइलसाठी IV तयार करा.
RSA-2048 सत्रासाठी मुख्य जोडी तयार करणे.
बेस8192 आणि RC64 वापरून विद्यमान RSA-4 की चे डिक्रिप्शन.
पहिल्या पायरीपासून AES-128-CBC अल्गोरिदम वापरून फाइल सामग्री एन्क्रिप्ट करा.
RSA-2048 सार्वजनिक की आणि बेस64 एन्कोडिंग वापरून IV एन्क्रिप्शन.
प्रत्येक एनक्रिप्टेड फाइलच्या शेवटी एन्क्रिप्टेड IV जोडणे.
कॉन्फिगमध्ये AES की आणि RSA-2048 सत्र खाजगी की जोडणे.
विभागात वर्णन केलेले कॉन्फिगरेशन डेटा माहितीचे संकलन मुख्य सार्वजनिक की RSA-8192 वापरून संक्रमित संगणक एनक्रिप्ट केले आहेत.
एनक्रिप्टेड फाइल यासारखी दिसते:

एनक्रिप्टेड फाइल्सचे उदाहरण:

संक्रमित संगणकाची माहिती गोळा करणे

रॅन्समवेअर संक्रमित फायली डिक्रिप्ट करण्यासाठी की गोळा करते, त्यामुळे आक्रमणकर्ता प्रत्यक्षात एक डिक्रिप्टर तयार करू शकतो. याव्यतिरिक्त, Nemty वापरकर्तानाव, संगणक नाव, हार्डवेअर प्रोफाइल यांसारख्या वापरकर्त्यांचा डेटा गोळा करते.

हे संक्रमित संगणकाच्या ड्राइव्हबद्दल माहिती गोळा करण्यासाठी GetLogicalDrives(), GetFreeSpace(), GetDriveType() फंक्शन्सना कॉल करते.

संकलित केलेली माहिती कॉन्फिगरेशन फाइलमध्ये संग्रहित केली जाते. स्ट्रिंग डीकोड केल्यावर, आम्हाला कॉन्फिगरेशन फाइलमधील पॅरामीटर्सची सूची मिळते:

संक्रमित संगणकाचे उदाहरण कॉन्फिगरेशन:

कॉन्फिगरेशन टेम्पलेट खालीलप्रमाणे प्रस्तुत केले जाऊ शकते:

{"सामान्य": {"IP":"[IP]", "Country":"[देश]", "ComputerName":"[ComputerName]", "वापरकर्तानाव":"[वापरकर्तानाव]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]

Nemty गोळा केलेला डेटा JSON फॉरमॅटमध्ये %USER%/_NEMTY_.nemty फाइलमध्ये संग्रहित करते. FileID 7 वर्ण लांब आहे आणि यादृच्छिकपणे व्युत्पन्न केले आहे. उदाहरणार्थ: _NEMTY_tgdLYrd_.nemty. एनक्रिप्टेड फाइलच्या शेवटी फाइलआयडी देखील जोडली जाते.

खंडणीचा संदेश

फाइल्स एनक्रिप्ट केल्यानंतर, _NEMTY_[FileID]-DECRYPT.txt फाइल डेस्कटॉपवर खालील सामग्रीसह दिसते:

फाइलच्या शेवटी संक्रमित संगणकाबद्दल एनक्रिप्टेड माहिती आहे.

नेटवर्क संप्रेषण

ironman.exe प्रक्रिया पत्त्यावरून टॉर ब्राउझर वितरण डाउनलोड करते https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip आणि ते स्थापित करण्याचा प्रयत्न करतो.

Nemty नंतर 127.0.0.1:9050 वर कॉन्फिगरेशन डेटा पाठवण्याचा प्रयत्न करते, जिथे ते कार्यरत Tor ब्राउझर प्रॉक्सी शोधण्याची अपेक्षा करते. तथापि, डीफॉल्टनुसार टॉर प्रॉक्सी पोर्ट 9150 वर ऐकते, आणि पोर्ट 9050 लिनक्सवरील टॉर डिमनद्वारे किंवा विंडोजवरील तज्ञ बंडलद्वारे वापरले जाते. अशा प्रकारे, आक्रमणकर्त्याच्या सर्व्हरवर कोणताही डेटा पाठविला जात नाही. त्याऐवजी, खंडणी संदेशात दिलेल्या लिंकद्वारे टोर डिक्रिप्शन सेवेला भेट देऊन वापरकर्ता कॉन्फिगरेशन फाइल व्यक्तिचलितपणे डाउनलोड करू शकतो.

टॉर प्रॉक्सीशी कनेक्ट करत आहे:

HTTP GET 127.0.0.1:9050/public/gate?data= ला विनंती तयार करते

येथे तुम्ही TORlocal प्रॉक्सीद्वारे वापरलेले खुले TCP पोर्ट पाहू शकता:

टोर नेटवर्कवर नेम्टी डिक्रिप्शन सेवा:

डिक्रिप्शन सेवेची चाचणी घेण्यासाठी तुम्ही एन्क्रिप्ट केलेला फोटो (jpg, png, bmp) अपलोड करू शकता.

यानंतर हल्लेखोर खंडणी देण्यास सांगतात. पैसे न भरल्यास किंमत दुप्पट केली जाते.

निष्कर्ष

याक्षणी, Nemty ने एनक्रिप्ट केलेल्या फाईल्स खंडणी न भरता डिक्रिप्ट करणे शक्य नाही. रॅन्समवेअरच्या या आवृत्तीमध्ये Buran रॅन्समवेअर आणि कालबाह्य GandCrab: बोरलँड डेल्फीमधील संकलन आणि समान मजकूर असलेल्या प्रतिमांसह सामान्य वैशिष्ट्ये आहेत. याव्यतिरिक्त, हा पहिला एन्क्रिप्टर आहे जो 8092-बिट RSA की वापरतो, ज्याला पुन्हा काही अर्थ नाही, कारण 1024-बिट की संरक्षणासाठी पुरेशी आहे. शेवटी, आणि मनोरंजकपणे, ते स्थानिक टोर प्रॉक्सी सेवेसाठी चुकीचे पोर्ट वापरण्याचा प्रयत्न करते.

तथापि, उपाय Acronis बॅकअप и Acronis खरे प्रतिमा नेम्टी रॅन्समवेअरला वापरकर्त्याच्या पीसी आणि डेटापर्यंत पोहोचण्यापासून प्रतिबंधित करा आणि प्रदाते त्यांच्या क्लायंटचे संरक्षण करू शकतात Acronis बॅकअप क्लाउड... पूर्ण सायबर संरक्षण वापरून केवळ बॅकअपच नाही तर संरक्षण देखील प्रदान करते Acronis सक्रिय संरक्षण, आर्टिफिशियल इंटेलिजेंस आणि वर्तणुकीशी संबंधित ह्युरिस्टिक्सवर आधारित एक विशेष तंत्रज्ञान जे तुम्हाला अद्याप अज्ञात मालवेअरला तटस्थ करण्यास अनुमती देते.

स्त्रोत: www.habr.com

बनावट PayPal साइटवरून Nemty ransomware ला भेटा