Ransomware ġdid imsejjaħ Nemty deher fuq in-netwerk, li suppost huwa s-suċċessur ta 'GrandCrab jew Buran. Il-malware huwa mqassam prinċipalment mill-websajt falza PayPal u għandu numru ta 'karatteristiċi interessanti. Dettalji dwar kif jaħdem dan ir-ransomware huma taħt il-qatgħa.
Nemty ransomware ġdid skopert mill-utent 7 ta’ Settembru 2019. Il-malware tqassam permezz ta' websajt , huwa wkoll possibbli li ransomware jippenetra kompjuter permezz tal-kit tal-isfruttament RIG. L-attakkanti użaw metodi ta 'inġinerija soċjali biex iġġiegħel lill-utent imexxi l-fajl cashback.exe, li allegatament irċieva mill-websajt PayPal.Huwa wkoll kurjuż li Nemty speċifikat il-port ħażin għas-servizz ta' prokura lokali Tor, li jipprevjeni l-malware milli jibgħat data lis-server. Għalhekk, l-utent ikollu jtella’ fajls encrypted fin-netwerk Tor innifsu jekk ikollu l-ħsieb li jħallas il-fidwa u jistenna d-decryption mill-attakkanti.
Diversi fatti interessanti dwar Nemty jissuġġerixxu li ġie żviluppat mill-istess nies jew minn cybercriminals assoċjati ma 'Buran u GrandCrab.
- Bħal GandCrab, Nemty għandu bajda tal-Għid – link għal ritratt tal-President Russu Vladimir Putin b’ċajta oxxena. Il-legat GandCrab ransomware kellu immaġni bl-istess test.
- L-artifacts tal-lingwa taż-żewġ programmi jindikaw l-istess awturi li jitkellmu bir-Russu.
- Dan huwa l-ewwel ransomware li juża ċavetta RSA 8092-bit. Għalkemm m'hemm l-ebda punt f'dan: ċavetta 1024-bit hija pjuttost biżżejjed biex tipproteġi kontra l-hacking.
- Bħal Buran, ir-ransomware huwa miktub f'Objet Pascal u miġbur f'Borland Delphi.
Analiżi statika
L-eżekuzzjoni ta 'kodiċi malizzjuż isseħħ f'erba' stadji. L-ewwel pass huwa li tħaddem cashback.exe, fajl eżekutibbli PE32 taħt MS Windows b'daqs ta '1198936 bytes. Il-kodiċi tiegħu kien miktub f'Visual C++ u kkompilat fl-14 ta' Ottubru 2013. Fih arkivju li jinfetaħ awtomatikament meta tmexxi cashback.exe. Is-softwer juża l-librerija Cabinet.dll u l-funzjonijiet tiegħu FDICreate(), FDIDestroy() u oħrajn biex jikseb fajls mill-arkivju .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Wara li tħoll l-arkivju, se jidhru tliet fajls.
Sussegwentement, titnieda temp.exe, fajl eżekutibbli PE32 taħt MS Windows b'daqs ta' 307200 bytes. Il-kodiċi huwa miktub f'Visual C++ u ppakkjat b'MPRESS packer, packer simili għal UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Il-pass li jmiss huwa ironman.exe. Ladarba jitnieda, temp.exe jiddekofra d-dejta inkorporata f'temp u jibdel l-isem għal ironman.exe, fajl eżekutibbli PE32 ta' 544768 byte. Il-kodiċi huwa miġbur f'Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
L-aħħar pass huwa li terġa 'tibda l-fajl ironman.exe. Fil-ħin tar-runtime, tittrasforma l-kodiċi tagħha u tmexxi ruħha mill-memorja. Din il-verżjoni ta 'ironman.exe hija malizzjuża u hija responsabbli għall-encryption.
Vettur tal-attakk
Bħalissa, il-ransomware Nemty huwa mqassam permezz tal-websajt pp-back.info.
Il-katina sħiħa ta 'infezzjoni tista' titqies fuq kaxxa tar-ramel.
Installazzjoni
Cashback.exe - il-bidu tal-attakk. Kif diġà ssemma, cashback.exe jispakkja l-fajl .cab li fih. Imbagħad joħloq folder TMP4351$.TMP tal-forma %TEMP%IXxxx.TMP, fejn xxx huwa numru minn 001 sa 999.
Sussegwentement, tiġi installata ċavetta tar-reġistru, li tidher bħal din:
“rundll32.exe” “C:Windowssystem32advpack.dll, DelNodeRunDLL32 “C:UtentiMALWAR~1AppDataLocalTempIXPxxx.TMP””
Jintuża biex iħassar fajls mhux ippakkjati. Fl-aħħarnett, cashback.exe jibda l-proċess temp.exe.
Temp.exe huwa t-tieni stadju fil-katina tal-infezzjoni
Dan huwa l-proċess imniedi mill-fajl cashback.exe, it-tieni pass tal-eżekuzzjoni tal-virus. Jipprova tniżżel AutoHotKey, għodda għat-tħaddim ta' skripts fuq il-Windows, u jħaddem l-iskript WindowSpy.ahk li jinsab fit-taqsima tar-riżorsi tal-fajl PE.
L-iskrittura WindowSpy.ahk jiddeċifra l-fajl temp f'ironman.exe billi juża l-algoritmu RC4 u l-password IwantAcake. Iċ-ċavetta mill-password tinkiseb bl-użu tal-algoritmu tal-hashing MD5.
temp.exe imbagħad isejjaħ il-proċess ironman.exe.
Ironman.exe - it-tielet pass
Ironman.exe jaqra l-kontenut tal-fajl iron.bmp u joħloq fajl iron.txt bi cryptolocker li se jitnieda wara.
Wara dan, il-virus jgħabbi iron.txt fil-memorja u jerġa 'jibda bħala ironman.exe. Wara dan, iron.txt jitħassar.
ironman.exe hija l-parti prinċipali tar-ransomware NEMTY, li jikkripta l-fajls fuq il-kompjuter affettwat. Il-malware joħloq mutex imsejjaħ mibegħda.
L-ewwel ħaġa li tagħmel hija li tiddetermina l-post ġeografiku tal-kompjuter. Nemty jiftaħ il-browser u jsib l-IP fuq . Fuq is-sit [IP]/countryName Il-pajjiż huwa determinat mill-IP riċevut, u jekk il-kompjuter jinsab f'wieħed mir-reġjuni elenkati hawn taħt, l-eżekuzzjoni tal-kodiċi tal-malware tieqaf:
- Russja
- Byelorussia
- Ukraina
- Kazakhstan
- Taġikistan
Ħafna probabbli, l-iżviluppaturi ma jridux jiġbdu l-attenzjoni tal-aġenziji tal-infurzar tal-liġi fil-pajjiżi ta 'residenza tagħhom, u għalhekk ma jikkriptawx fajls fil-ġurisdizzjonijiet "dar" tagħhom.
Jekk l-indirizz IP tal-vittma ma jappartjenix għal-lista ta 'hawn fuq, allura l-virus jikkripta l-informazzjoni tal-utent.
Biex jiġi evitat l-irkupru tal-fajls, il-kopji shadow tagħhom jitħassru:
Imbagħad toħloq lista ta’ fajls u folders li mhux se jkunu kodifikati, kif ukoll lista ta’ estensjonijiet ta’ fajls.
- twieqi
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- eċċ
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- dejta tal-programm
- data tal-app
- osoft
- Fajls Komuni
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Offuskazzjoni
Biex taħbi l-URLs u d-dejta tal-konfigurazzjoni inkorporata, Nemty juża algoritmu ta 'kodifikazzjoni base64 u RC4 bil-keyword fuckav.
Il-proċess ta 'deċifrar bl-użu ta' CryptStringToBinary huwa kif ġej
Kriptaġġ
Nemty juża kriptaġġ bi tliet saffi:
- AES-128-CBC għall-fajls. Iċ-ċavetta AES 128-bit hija ġġenerata b'mod każwali u tintuża l-istess għall-fajls kollha. Huwa maħżun f'fajl ta 'konfigurazzjoni fuq il-kompjuter tal-utent. L-IV jiġi ġġenerat b'mod każwali għal kull fajl u maħżun f'fajl encrypted.
- RSA-2048 għall-kriptaġġ tal-fajl IV. Jiġi ġġenerat par ewlieni għas-sessjoni. Iċ-ċavetta privata għas-sessjoni hija maħżuna f'fajl ta 'konfigurazzjoni fuq il-kompjuter tal-utent.
- RSA-8192. Iċ-ċavetta pubblika ewlenija hija mibnija fil-programm u tintuża biex tikkodifika l-fajl tal-konfigurazzjoni, li jaħżen iċ-ċavetta AES u ċ-ċavetta sigrieta għas-sessjoni RSA-2048.
- Nemty l-ewwel jiġġenera 32 bytes ta 'dejta każwali. L-ewwel 16-il byte jintużaw bħala ċ-ċavetta AES-128-CBC.
It-tieni algoritmu ta 'kodifikazzjoni huwa RSA-2048. Il-par taċ-ċwievet huwa ġġenerat mill-funzjoni CryptGenKey() u importat mill-funzjoni CryptImportKey().
Ladarba jiġi ġġenerat il-par taċ-ċavetta għas-sessjoni, iċ-ċavetta pubblika tiġi importata fil-Fornitur tas-Servizz Kriptografiku MS.
Eżempju ta' ċavetta pubblika ġġenerata għal sessjoni:
Sussegwentement, iċ-ċavetta privata tiġi importata fis-CSP.
Eżempju ta' ċavetta privata ġġenerata għal sessjoni:
U l-aħħar jiġi RSA-8192. Iċ-ċavetta pubblika ewlenija hija maħżuna f'forma kriptata (Base64 + RC4) fit-taqsima .data tal-fajl PE.
Iċ-ċavetta RSA-8192 wara d-dekodifikazzjoni base64 u d-deċifrar RC4 bil-password fuckav tidher bħal din.
Bħala riżultat, il-proċess kollu tal-kriptaġġ jidher bħal dan:
- Iġġenera ċavetta AES ta '128-bit li se tintuża biex tikkripta l-fajls kollha.
- Oħloq IV għal kull fajl.
- Ħolqien ta 'par ewlieni għal sessjoni RSA-2048.
- Deċifrar ta 'ċavetta RSA-8192 eżistenti bl-użu ta' base64 u RC4.
- Kriptaġġ tal-kontenut tal-fajl billi tuża l-algoritmu AES-128-CBC mill-ewwel pass.
- Kriptaġġ IV bl-użu taċ-ċavetta pubblika RSA-2048 u l-kodifikazzjoni base64.
- Żieda ta 'IV encrypted mat-tmiem ta' kull fajl encrypted.
- Iż-żieda ta 'ċavetta AES u ċavetta privata tas-sessjoni RSA-2048 mal-konfigurazzjoni.
- Dejta tal-konfigurazzjoni deskritta fit-taqsima dwar il-kompjuter infettat huma encrypted bl-użu taċ-ċavetta pubblika ewlenija RSA-8192.
- Il-fajl ikkodifikat jidher bħal dan:
Eżempju ta' fajls kriptati:
Ġbir ta 'informazzjoni dwar il-kompjuter infettat
Ir-ransomware jiġbor ċwievet biex jiddeċifra fajls infettati, u għalhekk l-attakkant jista 'fil-fatt joħloq decryptor. Barra minn hekk, Nemty jiġbor data tal-utent bħal isem tal-utent, isem tal-kompjuter, profil tal-ħardwer.
Huwa jsejjaħ il-funzjonijiet GetLogicalDrives(), GetFreeSpace(), GetDriveType() biex jiġbor informazzjoni dwar id-drajvs tal-kompjuter infettat.
L-informazzjoni miġbura hija maħżuna f'fajl ta 'konfigurazzjoni. Wara li ddekodifika s-sekwenza, aħna jkollna lista ta 'parametri fil-fajl ta' konfigurazzjoni:
Eżempju ta' konfigurazzjoni ta' kompjuter infettat:
Il-mudell tal-konfigurazzjoni jista 'jiġi rappreżentat kif ġej:
{"Ġenerali": {"IP":"[IP]", "Pajjiż":"[Pajjiż]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":falza, "verżjoni":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "ċavetta":"[ċavetta]", "pr_key":"[pr_key]
Nemty jaħżen id-dejta miġbura f'format JSON fil-fajl %USER%/_NEMTY_.nemty. FileID huwa twil 7 karattri u ġġenerat bl-addoċċ. Per eżempju: _NEMTY_tgdLYrd_.nemty. Il-FileID huwa wkoll mehmuż mat-tmiem tal-fajl encrypted.
Messaġġ ta’ fidwa
Wara l-kriptaġġ tal-fajls, il-fajl _NEMTY_[FileID]-DECRYPT.txt jidher fuq id-desktop bil-kontenut li ġej:
Fl-aħħar tal-fajl hemm informazzjoni kriptata dwar il-kompjuter infettat.
Komunikazzjoni tan-netwerk
Il-proċess ironman.exe tniżżel id-distribuzzjoni tal-browser Tor mill-indirizz u jipprova jinstallah.
Nemty imbagħad jipprova jibgħat dejta tal-konfigurazzjoni lil 127.0.0.1:9050, fejn jistenna li jsib proxy tal-browser Tor li jaħdem. Madankollu, awtomatikament il-proxy Tor jisma' fuq il-port 9150, u l-port 9050 jintuża mid-daemon Tor fuq Linux jew Expert Bundle fuq Windows. Għalhekk, l-ebda data ma tintbagħat lis-server tal-attakkant. Minflok, l-utent jista 'tniżżel il-fajl ta' konfigurazzjoni manwalment billi jżur is-servizz ta 'deċifrar Tor permezz tal-link ipprovdut fil-messaġġ ta' fidwa.
Konnessjoni mal-proxy Tor:
HTTP GET joħloq talba lil 127.0.0.1:9050/public/gate?data=
Hawnhekk tista' tara l-portijiet TCP miftuħa li jintużaw mill-proxy TORlocal:
Servizz ta 'deċifrar Nemty fuq in-netwerk Tor:
Tista’ ttella’ ritratt ikkodifikat (jpg, png, bmp) biex tittestja s-servizz ta’ deċifrar.
Wara dan, l-attakkant jitlob li jħallas fidwa. F'każ ta' nuqqas ta' ħlas il-prezz jiġi rduppjat.
Konklużjoni
Fil-mument, mhuwiex possibbli li jiġu dekriptjati fajls encrypted minn Nemty mingħajr ma tħallas fidwa. Din il-verżjoni tar-ransomware għandha karatteristiċi komuni mar-ransomware Buran u l-GandCrab skadut: kumpilazzjoni f'Borland Delphi u stampi bl-istess test. Barra minn hekk, dan huwa l-ewwel encryptor li juża ċavetta RSA 8092-bit, li, għal darb'oħra, ma tagħmel l-ebda sens, peress li ċavetta 1024-bit hija biżżejjed għall-protezzjoni. Fl-aħħarnett, u b'mod interessanti, jipprova juża l-port ħażin għas-servizz lokali Tor proxy.
Madankollu, soluzzjonijiet и jipprevjeni li l-ransomware Nemty jilħaq il-kompjuters u d-dejta tal-utenti, u l-fornituri jistgħu jipproteġu lill-klijenti tagħhom bihom . Sħiħ jipprovdi mhux biss backup, iżda wkoll protezzjoni bl-użu , teknoloġija speċjali bbażata fuq intelliġenza artifiċjali u euristiċi tal-imġieba li tippermettilek tinnewtralizza malware anke għadu mhux magħruf.
Sors: www.habr.com