Temui perisian tebusan Nemty dari tapak PayPal palsu
Perisian tebusan baharu yang dipanggil Nemty telah muncul di rangkaian, yang kononnya merupakan pengganti GrandCrab atau Buran. Malware ini diedarkan terutamanya daripada laman web PayPal palsu dan mempunyai beberapa ciri menarik. Butiran tentang cara perisian tebusan ini berfungsi adalah di bawah pemotongan.
Perisian tebusan Nemty baharu ditemui oleh pengguna nao_sec 7 September 2019. Malware telah diedarkan melalui tapak web menyamar sebagai PayPal, perisian tebusan juga boleh menembusi komputer melalui kit eksploitasi RIG. Penyerang menggunakan kaedah kejuruteraan sosial untuk memaksa pengguna menjalankan fail cashback.exe, yang didakwa diterima daripada tapak web PayPal. Ia juga ingin tahu bahawa Nemty menetapkan port yang salah untuk perkhidmatan proksi tempatan Tor, yang menghalang perisian hasad daripada menghantar data ke pelayan. Oleh itu, pengguna perlu memuat naik fail yang disulitkan ke rangkaian Tor sendiri jika dia berhasrat untuk membayar wang tebusan dan menunggu penyahsulitan daripada penyerang.
Beberapa fakta menarik tentang Nemty mencadangkan bahawa ia dibangunkan oleh orang yang sama atau oleh penjenayah siber yang dikaitkan dengan Buran dan GrandCrab.
Seperti GandCrab, Nemty mempunyai telur Paskah - pautan ke foto Presiden Rusia Vladimir Putin dengan jenaka lucah. Perisian tebus GandCrab warisan mempunyai imej dengan teks yang sama.
Artifak bahasa kedua-dua program menunjuk kepada pengarang berbahasa Rusia yang sama.
Ini adalah perisian tebusan pertama yang menggunakan kunci RSA 8092-bit. Walaupun tidak ada gunanya dalam hal ini: kunci 1024-bit cukup untuk melindungi daripada penggodaman.
Seperti Buran, perisian tebusan ditulis dalam Object Pascal dan disusun dalam Borland Delphi.
Analisis statik
Pelaksanaan kod berniat jahat berlaku dalam empat peringkat. Langkah pertama ialah menjalankan cashback.exe, fail boleh laku PE32 di bawah MS Windows dengan saiz 1198936 bait. Kodnya ditulis dalam Visual C++ dan disusun pada 14 Oktober 2013. Ia mengandungi arkib yang dibuka secara automatik apabila anda menjalankan cashback.exe. Perisian menggunakan perpustakaan Cabinet.dll dan fungsinya FDICreate(), FDIDestroy() dan lain-lain untuk mendapatkan fail daripada arkib .cab.
Seterusnya, temp.exe dilancarkan, fail boleh laku PE32 di bawah MS Windows dengan saiz 307200 bait. Kod ini ditulis dalam Visual C++ dan dibungkus dengan pembungkus MPRESS, pembungkus yang serupa dengan UPX.
Langkah seterusnya ialah ironman.exe. Setelah dilancarkan, temp.exe menyahsulit data terbenam dalam temp dan menamakannya semula kepada ironman.exe, fail boleh laku PE32 544768 bait. Kod ini disusun dalam Borland Delphi.
Langkah terakhir ialah memulakan semula fail ironman.exe. Semasa runtime, ia menukar kodnya dan menjalankan sendiri daripada memori. Versi ironman.exe ini berniat jahat dan bertanggungjawab untuk penyulitan.
Vektor serangan
Pada masa ini, perisian tebusan Nemty diedarkan melalui laman web pp-back.info.
Rantaian lengkap jangkitan boleh dilihat di app.any.run kotak pasir.
Pemasangan
Cashback.exe - permulaan serangan. Seperti yang telah disebutkan, cashback.exe membongkar fail .cab yang terkandung di dalamnya. Ia kemudian mencipta folder TMP4351$.TMP dalam bentuk %TEMP%IXxxx.TMP, dengan xxx ialah nombor dari 001 hingga 999.
Seterusnya, kunci pendaftaran dipasang, yang kelihatan seperti ini:
Ia digunakan untuk memadam fail yang tidak dibungkus. Akhir sekali, cashback.exe memulakan proses temp.exe.
Temp.exe ialah peringkat kedua dalam rantaian jangkitan
Ini ialah proses yang dilancarkan oleh fail cashback.exe, langkah kedua pelaksanaan virus. Ia cuba memuat turun AutoHotKey, alat untuk menjalankan skrip pada Windows dan menjalankan skrip WindowSpy.ahk yang terletak di bahagian sumber fail PE.
Skrip WindowSpy.ahk menyahsulit fail temp dalam ironman.exe menggunakan algoritma RC4 dan kata laluan IwantAcake. Kunci daripada kata laluan diperoleh menggunakan algoritma pencincangan MD5.
temp.exe kemudian memanggil proses ironman.exe.
Ironman.exe - langkah ketiga
Ironman.exe membaca kandungan fail iron.bmp dan mencipta fail iron.txt dengan cryptolocker yang akan dilancarkan seterusnya.
Selepas ini, virus memuatkan iron.txt ke dalam memori dan memulakannya semula sebagai ironman.exe. Selepas ini, iron.txt dipadamkan.
ironman.exe ialah bahagian utama perisian tebusan NEMTY, yang menyulitkan fail pada komputer yang terjejas. Perisian hasad mencipta mutex yang dipanggil benci.
Perkara pertama yang dilakukan ialah menentukan lokasi geografi komputer. Nemty membuka penyemak imbas dan mengetahui IP dihidupkan http://api.ipify.org. Di tapak api.db-ip.com/v2/free[IP]/countryName Negara ditentukan daripada IP yang diterima dan jika komputer terletak di salah satu kawasan yang disenaraikan di bawah, pelaksanaan kod perisian hasad akan berhenti:
Rusia
Byelorussia
Ukraine
Kazakhstan
Tajikistan
Kemungkinan besar, pembangun tidak mahu menarik perhatian agensi penguatkuasaan undang-undang di negara kediaman mereka, dan oleh itu tidak menyulitkan fail dalam bidang kuasa "rumah" mereka.
Jika alamat IP mangsa tidak termasuk dalam senarai di atas, maka virus menyulitkan maklumat pengguna.
Untuk mengelakkan pemulihan fail, salinan bayangannya dipadamkan:
Ia kemudian mencipta senarai fail dan folder yang tidak akan disulitkan, serta senarai sambungan fail.
tingkap
$RECYCLE.BIN
RSA
NTDETECT.COM
NTLDR
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
CONFIG.SYS
BOOTSECT.BAK
bootmgr
data program
data aplikasi
osoft
Fail Biasa
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Kekeliruan
Untuk menyembunyikan URL dan data konfigurasi terbenam, Nemty menggunakan algoritma pengekodan base64 dan RC4 dengan kata kunci fuckav.
Proses penyahsulitan menggunakan CryptStringToBinary adalah seperti berikut
Penyulitan
Nemty menggunakan penyulitan tiga lapisan:
AES-128-CBC untuk fail. Kunci AES 128-bit dijana secara rawak dan digunakan sama untuk semua fail. Ia disimpan dalam fail konfigurasi pada komputer pengguna. IV dijana secara rawak untuk setiap fail dan disimpan dalam fail yang disulitkan.
RSA-2048 untuk penyulitan fail IV. Pasangan kunci untuk sesi dijana. Kunci peribadi untuk sesi disimpan dalam fail konfigurasi pada komputer pengguna.
RSA-8192. Kunci awam induk dibina ke dalam program dan digunakan untuk menyulitkan fail konfigurasi, yang menyimpan kunci AES dan kunci rahsia untuk sesi RSA-2048.
Nemty mula-mula menjana 32 bait data rawak. 16 bait pertama digunakan sebagai kunci AES-128-CBC.
Algoritma penyulitan kedua ialah RSA-2048. Pasangan kunci dijana oleh fungsi CryptGenKey() dan diimport oleh fungsi CryptImportKey().
Setelah pasangan kunci untuk sesi dijana, kunci awam diimport ke dalam Penyedia Perkhidmatan Kriptografi MS.
Contoh kunci awam yang dijana untuk sesi:
Seterusnya, kunci persendirian diimport ke dalam CSP.
Contoh kunci persendirian yang dijana untuk sesi:
Dan yang terakhir ialah RSA-8192. Kunci awam utama disimpan dalam bentuk yang disulitkan (Base64 + RC4) dalam bahagian .data fail PE.
Kunci RSA-8192 selepas penyahkodan base64 dan penyahsulitan RC4 dengan kata laluan fuckav kelihatan seperti ini.
Akibatnya, keseluruhan proses penyulitan kelihatan seperti ini:
Hasilkan kunci AES 128-bit yang akan digunakan untuk menyulitkan semua fail.
Buat IV untuk setiap fail.
Mencipta pasangan kunci untuk sesi RSA-2048.
Penyahsulitan kunci RSA-8192 sedia ada menggunakan base64 dan RC4.
Sulitkan kandungan fail menggunakan algoritma AES-128-CBC dari langkah pertama.
Penyulitan IV menggunakan kunci awam RSA-2048 dan pengekodan base64.
Menambah IV yang disulitkan pada penghujung setiap fail yang disulitkan.
Menambah kunci AES dan kunci peribadi sesi RSA-2048 pada konfigurasi.
Data konfigurasi diterangkan dalam bahagian Pengumpulan maklumat tentang komputer yang dijangkiti disulitkan menggunakan kunci awam utama RSA-8192.
Fail yang disulitkan kelihatan seperti ini:
Contoh fail yang disulitkan:
Mengumpul maklumat tentang komputer yang dijangkiti
Perisian tebusan mengumpul kunci untuk menyahsulit fail yang dijangkiti, jadi penyerang sebenarnya boleh mencipta penyahsulit. Di samping itu, Nemty mengumpul data pengguna seperti nama pengguna, nama komputer, profil perkakasan.
Ia memanggil fungsi GetLogicalDrives(), GetFreeSpace(), GetDriveType() untuk mengumpul maklumat tentang pemacu komputer yang dijangkiti.
Maklumat yang dikumpul disimpan dalam fail konfigurasi. Setelah menyahkod rentetan, kami mendapat senarai parameter dalam fail konfigurasi:
Contoh konfigurasi komputer yang dijangkiti:
Templat konfigurasi boleh diwakili seperti berikut:
Nemty menyimpan data yang dikumpul dalam format JSON dalam fail %USER%/_NEMTY_.nemty. FileID adalah 7 aksara panjang dan dijana secara rawak. Contohnya: _NEMTY_tgdLYrd_.nemty. ID Fail juga dilampirkan pada penghujung fail yang disulitkan.
Mesej tebusan
Selepas menyulitkan fail, fail _NEMTY_[FileID]-DECRYPT.txt muncul pada desktop dengan kandungan berikut:
Pada penghujung fail terdapat maklumat yang disulitkan tentang komputer yang dijangkiti.
Nemty kemudian cuba menghantar data konfigurasi ke 127.0.0.1:9050, di mana ia menjangkakan untuk mencari proksi penyemak imbas Tor yang berfungsi. Walau bagaimanapun, secara lalai proksi Tor mendengar pada port 9150, dan port 9050 digunakan oleh daemon Tor pada Linux atau Expert Bundle pada Windows. Oleh itu, tiada data dihantar ke pelayan penyerang. Sebaliknya, pengguna boleh memuat turun fail konfigurasi secara manual dengan melawati perkhidmatan penyahsulitan Tor melalui pautan yang disediakan dalam mesej tebusan.
Menyambung ke proksi Tor:
HTTP GET mencipta permintaan kepada 127.0.0.1:9050/public/gate?data=
Di sini anda boleh melihat port TCP terbuka yang digunakan oleh proksi TORlocal:
Perkhidmatan penyahsulitan Nemty pada rangkaian Tor:
Anda boleh memuat naik foto yang disulitkan (jpg, png, bmp) untuk menguji perkhidmatan penyahsulitan.
Selepas ini, penyerang meminta untuk membayar wang tebusan. Sekiranya tidak membayar, harga akan digandakan.
Kesimpulan
Pada masa ini, tidak mungkin untuk menyahsulit fail yang disulitkan oleh Nemty tanpa membayar wang tebusan. Versi ransomware ini mempunyai ciri biasa dengan perisian tebusan Buran dan GandCrab yang lapuk: kompilasi dalam Borland Delphi dan imej dengan teks yang sama. Di samping itu, ini adalah penyulitan pertama yang menggunakan kunci RSA 8092-bit, yang, sekali lagi, tidak masuk akal, kerana kunci 1024-bit adalah mencukupi untuk perlindungan. Akhirnya, dan menariknya, ia cuba menggunakan port yang salah untuk perkhidmatan proksi Tor tempatan.
Walau bagaimanapun, penyelesaian Sandaran Acronis ΠΈ Acronis True Image menghalang perisian tebusan Nemty daripada mencapai PC dan data pengguna, dan pembekal boleh melindungi pelanggan mereka dengan Awan Sandaran Acronis... penuh Perlindungan siber menyediakan bukan sahaja sandaran, tetapi juga perlindungan menggunakan Perlindungan Aktif Acronis, teknologi khas berdasarkan kecerdasan buatan dan heuristik tingkah laku yang membolehkan anda meneutralkan perisian hasad walaupun belum diketahui.