Ransomware ġdid imsejjaħ Nemty deher fuq in-netwerk, li suppost huwa s-suċċessur ta 'GrandCrab jew Buran. Il-malware huwa mqassam prinċipalment mill-websajt falza PayPal u għandu numru ta 'karatteristiċi interessanti. Dettalji dwar kif jaħdem dan ir-ransomware huma taħt il-qatgħa.
Nemty ransomware ġdid skopert mill-utent nao_sec 7 ta’ Settembru 2019. Il-malware tqassam permezz ta' websajt moħbija bħala PayPal, huwa wkoll possibbli li ransomware jippenetra kompjuter permezz tal-kit tal-isfruttament RIG. L-attakkanti użaw metodi ta 'inġinerija soċjali biex iġġiegħel lill-utent imexxi l-fajl cashback.exe, li allegatament irċieva mill-websajt PayPal.Huwa wkoll kurjuż li Nemty speċifikat il-port ħażin għas-servizz ta' prokura lokali Tor, li jipprevjeni l-malware milli jibgħat data lis-server. Għalhekk, l-utent ikollu jtella’ fajls encrypted fin-netwerk Tor innifsu jekk ikollu l-ħsieb li jħallas il-fidwa u jistenna d-decryption mill-attakkanti.
Diversi fatti interessanti dwar Nemty jissuġġerixxu li ġie żviluppat mill-istess nies jew minn cybercriminals assoċjati ma 'Buran u GrandCrab.
Bħal GandCrab, Nemty għandu bajda tal-Għid – link għal ritratt tal-President Russu Vladimir Putin b’ċajta oxxena. Il-legat GandCrab ransomware kellu immaġni bl-istess test.
L-artifacts tal-lingwa taż-żewġ programmi jindikaw l-istess awturi li jitkellmu bir-Russu.
Dan huwa l-ewwel ransomware li juża ċavetta RSA 8092-bit. Għalkemm m'hemm l-ebda punt f'dan: ċavetta 1024-bit hija pjuttost biżżejjed biex tipproteġi kontra l-hacking.
Bħal Buran, ir-ransomware huwa miktub f'Objet Pascal u miġbur f'Borland Delphi.
Analiżi statika
L-eżekuzzjoni ta 'kodiċi malizzjuż isseħħ f'erba' stadji. L-ewwel pass huwa li tħaddem cashback.exe, fajl eżekutibbli PE32 taħt MS Windows b'daqs ta '1198936 bytes. Il-kodiċi tiegħu kien miktub f'Visual C++ u kkompilat fl-14 ta' Ottubru 2013. Fih arkivju li jinfetaħ awtomatikament meta tmexxi cashback.exe. Is-softwer juża l-librerija Cabinet.dll u l-funzjonijiet tiegħu FDICreate(), FDIDestroy() u oħrajn biex jikseb fajls mill-arkivju .cab.
Sussegwentement, titnieda temp.exe, fajl eżekutibbli PE32 taħt MS Windows b'daqs ta' 307200 bytes. Il-kodiċi huwa miktub f'Visual C++ u ppakkjat b'MPRESS packer, packer simili għal UPX.
Il-pass li jmiss huwa ironman.exe. Ladarba jitnieda, temp.exe jiddekofra d-dejta inkorporata f'temp u jibdel l-isem għal ironman.exe, fajl eżekutibbli PE32 ta' 544768 byte. Il-kodiċi huwa miġbur f'Borland Delphi.
L-aħħar pass huwa li terġa 'tibda l-fajl ironman.exe. Fil-ħin tar-runtime, tittrasforma l-kodiċi tagħha u tmexxi ruħha mill-memorja. Din il-verżjoni ta 'ironman.exe hija malizzjuża u hija responsabbli għall-encryption.
Vettur tal-attakk
Bħalissa, il-ransomware Nemty huwa mqassam permezz tal-websajt pp-back.info.
Il-katina sħiħa ta 'infezzjoni tista' titqies fuq app.kull.run kaxxa tar-ramel.
Installazzjoni
Cashback.exe - il-bidu tal-attakk. Kif diġà ssemma, cashback.exe jispakkja l-fajl .cab li fih. Imbagħad joħloq folder TMP4351$.TMP tal-forma %TEMP%IXxxx.TMP, fejn xxx huwa numru minn 001 sa 999.
Sussegwentement, tiġi installata ċavetta tar-reġistru, li tidher bħal din:
Jintuża biex iħassar fajls mhux ippakkjati. Fl-aħħarnett, cashback.exe jibda l-proċess temp.exe.
Temp.exe huwa t-tieni stadju fil-katina tal-infezzjoni
Dan huwa l-proċess imniedi mill-fajl cashback.exe, it-tieni pass tal-eżekuzzjoni tal-virus. Jipprova tniżżel AutoHotKey, għodda għat-tħaddim ta' skripts fuq il-Windows, u jħaddem l-iskript WindowSpy.ahk li jinsab fit-taqsima tar-riżorsi tal-fajl PE.
L-iskrittura WindowSpy.ahk jiddeċifra l-fajl temp f'ironman.exe billi juża l-algoritmu RC4 u l-password IwantAcake. Iċ-ċavetta mill-password tinkiseb bl-użu tal-algoritmu tal-hashing MD5.
temp.exe imbagħad isejjaħ il-proċess ironman.exe.
Ironman.exe - it-tielet pass
Ironman.exe jaqra l-kontenut tal-fajl iron.bmp u joħloq fajl iron.txt bi cryptolocker li se jitnieda wara.
Wara dan, il-virus jgħabbi iron.txt fil-memorja u jerġa 'jibda bħala ironman.exe. Wara dan, iron.txt jitħassar.
ironman.exe hija l-parti prinċipali tar-ransomware NEMTY, li jikkripta l-fajls fuq il-kompjuter affettwat. Il-malware joħloq mutex imsejjaħ mibegħda.
L-ewwel ħaġa li tagħmel hija li tiddetermina l-post ġeografiku tal-kompjuter. Nemty jiftaħ il-browser u jsib l-IP fuq http://api.ipify.org. Fuq is-sit api.db-ip.com/v2/free[IP]/countryName Il-pajjiż huwa determinat mill-IP riċevut, u jekk il-kompjuter jinsab f'wieħed mir-reġjuni elenkati hawn taħt, l-eżekuzzjoni tal-kodiċi tal-malware tieqaf:
Russja
Byelorussia
Ukraina
Kazakhstan
Taġikistan
Ħafna probabbli, l-iżviluppaturi ma jridux jiġbdu l-attenzjoni tal-aġenziji tal-infurzar tal-liġi fil-pajjiżi ta 'residenza tagħhom, u għalhekk ma jikkriptawx fajls fil-ġurisdizzjonijiet "dar" tagħhom.
Jekk l-indirizz IP tal-vittma ma jappartjenix għal-lista ta 'hawn fuq, allura l-virus jikkripta l-informazzjoni tal-utent.
Biex jiġi evitat l-irkupru tal-fajls, il-kopji shadow tagħhom jitħassru:
Imbagħad toħloq lista ta’ fajls u folders li mhux se jkunu kodifikati, kif ukoll lista ta’ estensjonijiet ta’ fajls.
twieqi
$RECYCLE.BIN
rsa
NTDETECT.COM
eċċ
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
SYS CONFIG.
BOOTSECT.BAK
bootmgr
dejta tal-programm
data tal-app
osoft
Fajls Komuni
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Offuskazzjoni
Biex taħbi l-URLs u d-dejta tal-konfigurazzjoni inkorporata, Nemty juża algoritmu ta 'kodifikazzjoni base64 u RC4 bil-keyword fuckav.
Il-proċess ta 'deċifrar bl-użu ta' CryptStringToBinary huwa kif ġej
Kriptaġġ
Nemty juża kriptaġġ bi tliet saffi:
AES-128-CBC għall-fajls. Iċ-ċavetta AES 128-bit hija ġġenerata b'mod każwali u tintuża l-istess għall-fajls kollha. Huwa maħżun f'fajl ta 'konfigurazzjoni fuq il-kompjuter tal-utent. L-IV jiġi ġġenerat b'mod każwali għal kull fajl u maħżun f'fajl encrypted.
RSA-2048 għall-kriptaġġ tal-fajl IV. Jiġi ġġenerat par ewlieni għas-sessjoni. Iċ-ċavetta privata għas-sessjoni hija maħżuna f'fajl ta 'konfigurazzjoni fuq il-kompjuter tal-utent.
RSA-8192. Iċ-ċavetta pubblika ewlenija hija mibnija fil-programm u tintuża biex tikkodifika l-fajl tal-konfigurazzjoni, li jaħżen iċ-ċavetta AES u ċ-ċavetta sigrieta għas-sessjoni RSA-2048.
Nemty l-ewwel jiġġenera 32 bytes ta 'dejta każwali. L-ewwel 16-il byte jintużaw bħala ċ-ċavetta AES-128-CBC.
It-tieni algoritmu ta 'kodifikazzjoni huwa RSA-2048. Il-par taċ-ċwievet huwa ġġenerat mill-funzjoni CryptGenKey() u importat mill-funzjoni CryptImportKey().
Ladarba jiġi ġġenerat il-par taċ-ċavetta għas-sessjoni, iċ-ċavetta pubblika tiġi importata fil-Fornitur tas-Servizz Kriptografiku MS.
Eżempju ta' ċavetta pubblika ġġenerata għal sessjoni:
Sussegwentement, iċ-ċavetta privata tiġi importata fis-CSP.
Eżempju ta' ċavetta privata ġġenerata għal sessjoni:
U l-aħħar jiġi RSA-8192. Iċ-ċavetta pubblika ewlenija hija maħżuna f'forma kriptata (Base64 + RC4) fit-taqsima .data tal-fajl PE.
Iċ-ċavetta RSA-8192 wara d-dekodifikazzjoni base64 u d-deċifrar RC4 bil-password fuckav tidher bħal din.
Bħala riżultat, il-proċess kollu tal-kriptaġġ jidher bħal dan:
Iġġenera ċavetta AES ta '128-bit li se tintuża biex tikkripta l-fajls kollha.
Oħloq IV għal kull fajl.
Ħolqien ta 'par ewlieni għal sessjoni RSA-2048.
Deċifrar ta 'ċavetta RSA-8192 eżistenti bl-użu ta' base64 u RC4.
Kriptaġġ tal-kontenut tal-fajl billi tuża l-algoritmu AES-128-CBC mill-ewwel pass.
Kriptaġġ IV bl-użu taċ-ċavetta pubblika RSA-2048 u l-kodifikazzjoni base64.
Żieda ta 'IV encrypted mat-tmiem ta' kull fajl encrypted.
Iż-żieda ta 'ċavetta AES u ċavetta privata tas-sessjoni RSA-2048 mal-konfigurazzjoni.
Dejta tal-konfigurazzjoni deskritta fit-taqsima Ġbir ta 'informazzjoni dwar il-kompjuter infettat huma encrypted bl-użu taċ-ċavetta pubblika ewlenija RSA-8192.
Il-fajl ikkodifikat jidher bħal dan:
Eżempju ta' fajls kriptati:
Ġbir ta 'informazzjoni dwar il-kompjuter infettat
Ir-ransomware jiġbor ċwievet biex jiddeċifra fajls infettati, u għalhekk l-attakkant jista 'fil-fatt joħloq decryptor. Barra minn hekk, Nemty jiġbor data tal-utent bħal isem tal-utent, isem tal-kompjuter, profil tal-ħardwer.
Huwa jsejjaħ il-funzjonijiet GetLogicalDrives(), GetFreeSpace(), GetDriveType() biex jiġbor informazzjoni dwar id-drajvs tal-kompjuter infettat.
L-informazzjoni miġbura hija maħżuna f'fajl ta 'konfigurazzjoni. Wara li ddekodifika s-sekwenza, aħna jkollna lista ta 'parametri fil-fajl ta' konfigurazzjoni:
Eżempju ta' konfigurazzjoni ta' kompjuter infettat:
Il-mudell tal-konfigurazzjoni jista 'jiġi rappreżentat kif ġej:
Nemty jaħżen id-dejta miġbura f'format JSON fil-fajl %USER%/_NEMTY_.nemty. FileID huwa twil 7 karattri u ġġenerat bl-addoċċ. Per eżempju: _NEMTY_tgdLYrd_.nemty. Il-FileID huwa wkoll mehmuż mat-tmiem tal-fajl encrypted.
Messaġġ ta’ fidwa
Wara l-kriptaġġ tal-fajls, il-fajl _NEMTY_[FileID]-DECRYPT.txt jidher fuq id-desktop bil-kontenut li ġej:
Fl-aħħar tal-fajl hemm informazzjoni kriptata dwar il-kompjuter infettat.
Nemty imbagħad jipprova jibgħat dejta tal-konfigurazzjoni lil 127.0.0.1:9050, fejn jistenna li jsib proxy tal-browser Tor li jaħdem. Madankollu, awtomatikament il-proxy Tor jisma' fuq il-port 9150, u l-port 9050 jintuża mid-daemon Tor fuq Linux jew Expert Bundle fuq Windows. Għalhekk, l-ebda data ma tintbagħat lis-server tal-attakkant. Minflok, l-utent jista 'tniżżel il-fajl ta' konfigurazzjoni manwalment billi jżur is-servizz ta 'deċifrar Tor permezz tal-link ipprovdut fil-messaġġ ta' fidwa.
Konnessjoni mal-proxy Tor:
HTTP GET joħloq talba lil 127.0.0.1:9050/public/gate?data=
Hawnhekk tista' tara l-portijiet TCP miftuħa li jintużaw mill-proxy TORlocal:
Servizz ta 'deċifrar Nemty fuq in-netwerk Tor:
Tista’ ttella’ ritratt ikkodifikat (jpg, png, bmp) biex tittestja s-servizz ta’ deċifrar.
Wara dan, l-attakkant jitlob li jħallas fidwa. F'każ ta' nuqqas ta' ħlas il-prezz jiġi rduppjat.
Konklużjoni
Fil-mument, mhuwiex possibbli li jiġu dekriptjati fajls encrypted minn Nemty mingħajr ma tħallas fidwa. Din il-verżjoni tar-ransomware għandha karatteristiċi komuni mar-ransomware Buran u l-GandCrab skadut: kumpilazzjoni f'Borland Delphi u stampi bl-istess test. Barra minn hekk, dan huwa l-ewwel encryptor li juża ċavetta RSA 8092-bit, li, għal darb'oħra, ma tagħmel l-ebda sens, peress li ċavetta 1024-bit hija biżżejjed għall-protezzjoni. Fl-aħħarnett, u b'mod interessanti, jipprova juża l-port ħażin għas-servizz lokali Tor proxy.
Madankollu, soluzzjonijiet Acronis Backup и Immaġni Veru Acronis jipprevjeni li l-ransomware Nemty jilħaq il-kompjuters u d-dejta tal-utenti, u l-fornituri jistgħu jipproteġu lill-klijenti tagħhom bihom Acronis Backup Cloud. Sħiħ Protezzjoni ċibernetika jipprovdi mhux biss backup, iżda wkoll protezzjoni bl-użu Protezzjoni Attiva Acronis, teknoloġija speċjali bbażata fuq intelliġenza artifiċjali u euristiċi tal-imġieba li tippermettilek tinnewtralizza malware anke għadu mhux magħruf.