Nemty áá¯áá±á«áºáá±á¬ ransomware á¡áá áºáá áºáá¯ááẠGrandCrab ááá¯á·ááá¯áẠBuran ááááºáá¶áá°áá¯áá°áááá±á¬ááœááºáááºáá±á«áºááœááºáá±á«áºáá¬áááºá Malware ááẠá¡áááá¡á¬ážááŒáá·áº PayPal á¡áᯠáááºááá¯ááºá០ááŒáá·áºáá±áá¬ážááŒá®áž á áááºáááºá á¬ážá áá¬áá±á¬ááºážááá·áº á¡ááºá¹áá«áááºáá»á¬ážá áœá¬ááŸááááºá ဠransomware á¡áá¯ááºáá¯ááºáá¯á¶ááŸáá·áºáááºáááºáá±á¬á¡áá±ážá áááºá¡áá»ááºáá»á¬ážááŒááºáá±á¬ááºááŸá¯á¡á±á¬ááºááœááºááŸááááºá
á¡áá¯á¶ážááŒá¯áá°ááŸááŸá¬ááœá±ááœá±á·ááŸááá²á·áá±á¬ Nemty ransomware á¡áá
áº
Nemty ááŸáá·áºáááºáááºáá±á¬ á áááºáááºá á¬ážá áá¬áá±á¬ááºážááá·áºá¡áá»ááºáá»á¬ážá áœá¬á áááºážááᯠáá°áá®áá±á¬áá°áá»á¬áž ááá¯á·ááá¯áẠBuran ááŸáá·áº GrandCrab ááá¯á·ááŸáá·áºáááºá ááºáá±á¬ ááá¯ááºáá¬áá¬ááááºáá±á¬ááºáá»á¬ážá áááºáá®ážáá¬ážááŒá±á¬ááºáž á¡ááŒá¶ááŒá¯áá¬ážáááºá
- GandCrab áá²á·ááá¯á·áááºá Nemty ááœáẠá¡á®á áá¬ááŒááºá¥áá áºáá¯á¶ážááŸáááẠ- áá¯ááŸá¬ážááá¹áá ááá¬áá®áá¬áá°áááºá áá áºáááºážáá±á¬áá¬áááŒáá·áº áá¬ááºáá¯á¶áá áºáá¯á¶áááá·áºááºáá áºáá¯ááŸááááºá á¡ááœá±á¡ááŸá ẠGandCrab ransomware ááœáẠáá°áá®áá±á¬á á¬áá¬ážáá«áá±á¬ áá¯ááºáá¯á¶áá áºáá¯áá«ááŸááááºá
- áááá¯ááááºááŸá áºáá¯áá¯á¶ážá áá¬áá¬á áá¬ážááá¯ááºáᬠáá á¹á ááºážáá»á¬ážááẠáá°áá®áá±á¬ áá¯ááŸá¬ážá áá¬ážááŒá±á¬á á¬áá±ážááá¬áá»á¬ážááᯠááœáŸááºááŒáááºá
- áááºážááẠ8092-bit RSA áá®ážááᯠá¡áá¯á¶ážááŒá¯ááá·áº ááááá¯á¶áž ransomware ááŒá áºáááºá á€á¡áá¬ááœáẠá¡áááá¹áá«ááºáááŸááá±á¬áºáááºážá 1024-bit áá±á¬á·ááẠáááºáá¬ááᯠáá¬ááœááºááẠáá¯á¶áá±á¬ááºáá«áááºá
- Buran áá²á·ááá¯á·áááºá ransomware ááᯠObject Pascal ááŒáá·áº áá±ážáá¬ážáá¬ážááŒá®áž Borland Delphi ááœáẠááŒá¯á á¯áá¬ážáááºá
á¡ááŒáááºááá±
á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááŒááºážááẠá¡ááá·áºáá±ážááá·áºááŒáá·áº ááŒá áºáá±á«áºáá«áááºá áááá¡ááá·áºááŸá¬ 32 bytes á¡ááœááºá¡á á¬ážááŸááá±á¬ MS Windows á¡á±á¬ááºááœáẠPE1198936 executable file ááᯠcashback.exe ááᯠrun áááºááŒá áºáááºá áááºážááá¯ááºááᯠVisual C++ ááŒáá·áº áá±ážáá¬ážááŒá®áž á¡á±á¬ááºááá¯áá¬á 14 áááºá 2013 áá¯ááŸá áºááœáẠááŒá¯á á¯áá²á·áááºá ááẠcashback.exe ááá¯ááœáá·áºáá±á¬á¡áá« á¡ááá¯á¡áá»á±á¬ááºáá¯ááºááá¯ážáá¬ážáá±á¬ ááŸááºáááºážáá áºáá¯áá«ááŸááááºá áá±á¬á·ááºáá²ááẠ.cab áá±á¬áºááœááºážááá¯ááºá០ááá¯ááºáá»á¬ážááᯠááá°ááẠFDICreate(), FDIDestroy() ááŸáá·áº á¡ááŒá¬ážá¡áá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááºá
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
ááŸááºáááºážááᯠáá¯ááºááá¯ážááŒá®ážáá±á¬ááºá ááá¯ááºáá¯á¶ážáᯠáá±á«áºáá¬áá«áááºá
ááá¯á·áá±á¬ááºá temp.exe ááẠ32 bytes á¡ááœááºá¡á
á¬ážááŸááá±á¬ MS Windows á¡á±á¬ááºááœáẠPE307200 executable file áá
áºáá¯ááᯠá
áááºááá¯ááºáá«áááºá áá¯ááºááᯠVisual C++ ááŒáá·áº áá±ážáá¬ážáá¬ážááŒá®áž UPX ááŸáá·áº áááºáá°áá±á¬ áá¯ááºááá¯ážááá·áº MPRESS áá¯ááºááá¯ážááŸá¯ááŒáá·áº áá¯ááºááá¯ážáá¬ážáááºá
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
áá±á¬ááºáá áºááá·áºááá±á¬á· ironman.exe ááŒá áºáá«áááºá á áááºááá¯ááºáááºááŸáá·áº temp.exe ááẠtemp ááœáẠááŒáŸá¯ááºááœááºážáá¬ážáá±á¬ áá±áá¬ááᯠáá¯ááºááŸááºááŒá®áž 32 byte PE544768 executable file ááᯠironman.exe ááá¯á· á¡áááºááŒá±á¬ááºážáááºá áá¯ááºááᯠBorland Delphi ááœááºááŒá¯á á¯áá¬ážáááºá
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
áá±á¬ááºáá¯á¶ážá¡ááá·áºááŸá¬ ironman.exe ááá¯ááºááᯠááŒááºáááºá áááºáááºááŒá áºáááºá runtime ááœááºá áááºážááẠáááºážááá¯ááºááᯠááŒá±á¬ááºážáá²ááŒá®áž memory á០áá°á·áá¬áá¬áá° áá¯ááºáá±á¬ááºáááºá ဠironman.exe áá¬ážááŸááºážááẠá¡áá¹ááá¬ááºááŸáááŒá®áž áá¯ááºááŸááºááŒááºážá¡ááœáẠáá¬áááºááŸááááºá
ááá¯ááºááá¯ááºááŸá¯ á¡á¬ážáááºážáá»ááº
áááºááŸáááœááºá Nemty ransomware ááᯠáááºááá¯áẠpp-back.info ááŸáááá·áº ááŒáá·áºáá±áá¬ážáááºá
áá°ážá
ááºááŸá¯ ááœááºážááẠá¡ááŒáá·áºá¡á
á¯á¶ááᯠááœáẠááŒáá·áºááŸá¯ááá¯ááºáá«áááºá
ustanovka
Cashback.exe - ááá¯ááºááá¯ááºááŸá¯áá¡á á áá±á¬áºááŒááŒá®ážáá¬ážá¡ááá¯ááºážá cashback.exe ááẠáááºážááœááºáá«ááŸááá±á¬ .cab ááá¯ááºááᯠáá¯ááºááá¯ážáááºá ááá¯á·áá±á¬áẠxxx ááẠ4351 á០001 á០áá¶áá«ááºáá áºáá¯ááŒá áºááá·áº %TEMP%IXxxx.TMP áá±á¬ááºá TMP999$.TMP ááá¯ááºááœá²áá áºáá¯ááᯠáááºáá®ážáááºá
ááá¯á·áá±á¬ááºá á€áá¯á¶ááá¹áá¬ááºááŸááá±á¬ registry key áá
áºáá¯ááᯠááá·áºááœááºážááŒá®ážá
ârundll32.exeâ âC:Windowssystem32advpack.dlláDelNodeRunDLL32 âC:UsersMALWAR~1AppDataLocalTempIXPxxx.TMPââ
ááá¯ááºááá¯ážáá¬ážáá±á¬ááá¯ááºáá»á¬ážááá¯áá»ááºááẠáááºážááá¯á¡áá¯á¶ážááŒá¯áááºá áá±á¬ááºáá¯á¶ážááœáẠcashback.exe ááẠtemp.exe áá¯ááºáááºážá ááºááá¯á áááºáááºá
Temp.exe ááẠáá°ážá
ááºááŸá¯ááœááºážáááºá áá¯áááá¡ááá·áºááŒá
áºáááºá
áááºážááẠcashback.exe ááá¯ááºá ááá¯ááºážáááºá Ạááœááºáá»ááºááŸá¯á áá¯áááá¡ááá·áºááŒá áºáááºá áááºážááẠWindows ááœáẠscript áá»á¬ážáááºáááºáááºá¡ááœáẠtool áá áºáá¯ááŒá áºááá·áº AutoHotKey ááá¯áá±á«ááºážáá¯ááºáá¯ááºááŒá®áž PE ááá¯ááºáá¡áááºážá¡ááŒá áºáá»á¬ážááá¹áááœááºááŸááá±á¬ WindowSpy.ahk script ááᯠrun áááºááŒáá¯ážá á¬ážáááºá
WindowSpy.ahk script ááẠRC4 algorithm ááŸáá·áº password IwantAcake ááᯠá¡áá¯á¶ážááŒá¯á ironman.exe ááœáẠtemp ááá¯ááºááᯠá
á¬ááŸááºáá±ážáááºá á
áá¬ážááŸááºááŸáá±á¬á·ááᯠMD5 hashing algorithm ááá¯á¡áá¯á¶ážááŒá¯á ááá°áááºá
temp.exe ááá¯á·áá±á¬áẠironman.exe áá¯ááºáááºážá ááºááᯠáá±á«áºáááºá
Ironman.exe - ááááá¡ááá·áº
Ironman.exe ááẠiron.bmp ááá¯ááºá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠáááºááŒá®áž áá±á¬ááºááœááºááá·áº cryptolocker ááŒáá·áº iron.txt ááá¯ááºááᯠáááºáá®ážáááºá
áááºážáá±á¬ááºááœááºá ááá¯ááºážáááºá
áºááẠiron.txt ááᯠmemory áá²ááá¯á· load áá¯ááºááŒá®áž ironman.exe á¡ááŒá
ẠááŒááºáááºá
áááºáááºá á¡á²áá«ááŒá®ážáááºáá±á¬á· iron.txt ááᯠáá»ááºááá¯ááºáá«ááŒá®á
ironman.exe ááẠNEMTY ransomware áá¡áááá¡á áááºá¡ááá¯ááºážááŒá áºááŒá®ážá ááááá¯ááºáá±áá±á¬ááœááºáá»á°áá¬ááŸáááá¯ááºáá»á¬ážááá¯á á¬ááŸááºáá±ážáááºá Malware ááẠhate áá¯áá±á«áºáá±á¬ mutex ááá¯áááºáá®ážáááºá
ááááá¯á¶ážáá¯ááºáá±á¬ááºáá¬á ááœááºáá»á°áá¬áá²á· áááá®áááºáááºáá±áá¬ááᯠáá¯á¶ážááŒááºááá¯á·áá«áá²á Nemty ááẠááá±á¬ááºáá¬ááá¯ááœáá·áºááŒá®áž áá±á«áºááŸá IP ááá¯ááŸá¬ááœá±áááºá
- áá¯ááŸá¬ážááá¯ááºáá¶
- Byelorussia
- áá°áááááºáž
- áá¬áááºá áááº
- Tajikistan
ááŒá áºááá¯ááºáá»á±á¡áá»á¬ážá á¯ááŸá¬á developer áá»á¬ážááẠáááºážááá¯á·ááá±ááá¯ááºáá¬ááá¯ááºáá¶áá»á¬ážááœáẠá¥ááá±á áá¯ážááá¯ážáá±ážá¡á±áá»ááºá á®áá»á¬ážá á¡á¬áá¯á¶á áá¯ááºááŸá¯ááᯠáááœá²áá±á¬ááºáá»ááºááŒáá±á¬ááŒá±á¬áá·áºá ááá¯á·ááŒá±á¬áá·áº áááºážááá¯á·á "á¡áááº" ááá¬ážá á®áááºááá¯ááºááœáá·áºáá»á¬ážááœáẠááá¯ááºáá»á¬ážááᯠá á¬ááŸááºááá¬ážáá«á
á¡áááºá áá¬ážáá±á¬ááºá IP ááááºá á¬ááẠá¡áááºáá±á¬áºááŒáá«á á¬áááºážááœáẠááá«áááºáá«áá ááá¯ááºážáááºá áºááẠá¡áá¯á¶ážááŒá¯áá°á á¡áá»ááºá¡áááºááᯠáá¯ááºááŸááºáááºá
ááá¯ááºááŒááºáááºááá°ááŒááºážááᯠáá¬ážáá®ážáááºá¡ááœáẠáááºážááá¯á·áá¡ááááºáá±á¬áºáá®áá»á¬ážááᯠáá»ááºááá¯ááºáááº-
ááá¯á·áá±á¬áẠáááºážááẠáá¯ááºááŸááºáá¬ážáááºááá¯ááºááá·áº ááá¯ááºáá»á¬ážááŸáá·áº ááá¯ááºááœá²áá»á¬ážá
á¬áááºážááᯠáááºáá®ážáá±ážááá·áºá¡ááŒáẠááá¯ááºááá¯ážáá»á²á·ááŸá¯á
á¬áááºážááᯠáááºáá®ážáá±ážáááºá
- ááŒáááºážáá±á«ááº
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- áá»á áºáá°
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS ááŒááºáááºááŸá¯á
- BOOTSECT.BAK
- áááºá¹ááá¬áá«
- áááá¯ááááºáá±áá¬
- ááá»á¬
- osoft
- áá¯á¶ááá¯ááºáá»á¬áž
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
ááŸá¯ááºááœá±ážááŒááºáž
URLs áá»á¬ážááŸáá·áº embedded configuration data ááá¯áá»á±á¬ááºáááºá Nemty ááẠfuckav keyword ááŒáá·áº base64 ááŸáá·áº RC4 encoding algorithm ááá¯á¡áá¯á¶ážááŒá¯áááºá
CryptStringToBinary ááᯠá¡áá¯á¶ážááŒá¯á á
á¬ááŸááºááŒááºážáá¯ááºáááºážá
ááºááẠá¡á±á¬ááºáá«á¡ááá¯ááºážááŒá
áºáááºá
á á¬ááŸááºááŒááºáž
Nemty ááẠáá¯á¶ážááœáŸá¬ áá¯ááºááŸááºááŒááºážááᯠá¡áá¯á¶ážááŒá¯áááº-
- ááá¯ááºáá»á¬ážá¡ááœáẠAES-128-CBC 128-bit AES áá±á¬á·ááᯠáá»áááºážáá¯ááºáá±ážááŒá®áž ááá¯ááºá¡á¬ážáá¯á¶ážá¡ááœáẠáá°áá®áá«áááºá áááºážááᯠá¡áá¯á¶ážááŒá¯áá°áááœááºáá»á°áá¬ááŸá ááœá²á·á ááºážááŸá¯ááá¯ááºáá áºáá¯ááœáẠááááºážáááºážáá¬ážáááºá IV ááᯠááá¯ááºáá áºáá¯á á®á¡ááœáẠáá»áááºážáá¯ááºáá±ážááŒá®áž áá¯ááºááŸááºáá¬ážáá±á¬ááá¯ááºáá áºáá¯ááœáẠááááºážáááºážáá¬ážáááºá
- ááá¯ááºáá¯ááºááŸááºááŒááºáž IV á¡ááœáẠRSA-2048 á ááºááŸááºá¡ááœáẠáá±á¬á·ááœá²áá áºáá¯ááᯠáá¯ááºáá±ážáááºá á ááºááŸááºá¡ááœáẠáá®ážááá·áºáá±á¬á·ááᯠá¡áá¯á¶ážááŒá¯áá°áááœááºááŒá°áá¬ááŸá ááœá²á·á ááºážááŸá¯ááá¯ááºáá áºáá¯ááœáẠááááºážáááºážáá¬ážáááºá
- RSA-8192á Master á¡áá»á¬ážáá°ááŸá¬áá±á¬á·ááᯠáááá¯ááááºááœáẠáááºáá±á¬ááºáá¬ážááŒá®áž RSA-2048 á ááºááŸááºá¡ááœáẠAES áá±á¬á·ááŸáá·áº áá»áŸáá¯á·ááŸááºáá±á¬á·ááᯠááááºážáááºážáá¬ážááá·áº ááœá²á·á ááºážááŸá¯ááá¯ááºááᯠáá¯ááºááŸááºáááºá¡ááœáẠá¡áá¯á¶ážááŒá¯áá«áááºá
- Nemty ááẠáá»áááºážáá±áᬠ32 bytes ááᯠááááá¯á¶ážáá¯ááºáá±ážáááºá ááá 16 bytes ááᯠAES-128-CBC áá±á¬á·á¡ááŒá Ạá¡áá¯á¶ážááŒá¯áááºá
áá¯ááá áá¯ááºááŸááºááŒááºážááá¯ááºáᬠalgorithm ááẠRSA-2048 ááŒá
áºáááºá áá±á¬á·ááœá²ááᯠCryptGenKey() áá¯ááºáá±á¬ááºáá»ááºá០áá¯ááºáá¯ááºááŒá®áž CryptImportKey() áá¯ááºáá±á¬ááºáá»ááºááŒáá·áº áááºááœááºážáááºá
á
ááºááŸááºá¡ááœáẠáá±á¬á·á¡ááœá²ááᯠáá¯ááºáá±ážáááºááŸáá·áºáá
áºááŒáá¯ááºáááºá á¡áá»á¬ážáá°ááŸá¬áá±á¬á·ááᯠMS Cryptographic Service Provider ááá¯á· áááºááœááºážáááºá
á
ááºááŸááºáá
áºáá¯á¡ááœáẠáá¯ááºáá±ážáá¬ážáá±á¬ á¡áá»á¬ážáá°ááŸá¬áá±á¬á·á á¥ááá¬-
ááá¯á·áá±á¬ááºá áá®ážááá·áºáá±á¬á·ááᯠCSP ááá¯á· áááºááœááºážáááºá
á
ááºááŸááºáá
áºáá¯á¡ááœáẠáá¯ááºáá¯ááºáá¬ážáá±á¬ ááá¯ááºááá¯ááºáá®ážá á¥ááá¬áá
áºáá¯á
áá±á¬ááºáá¯á¶áž RSA-8192 áá±á¬ááºáá¬áááºá áááºáá¡áá»á¬ážááŒááºáá°áá®ážááᯠPE ááá¯ááºá .data ááá¹áááœáẠáá¯ááºááŸááºáá¬ážáá±á¬áá¯á¶á
ᶠ(Base64 + RC4) ááœáẠááááºážáááºážáá¬ážáááºá
RSA-8192 áá±á¬á·ááẠbase64 á
áá¬ážááŸááºááŸáá·áº fuckav á
áá¬ážááŸááºááŒáá·áº RC4 áá¯ááºááŸááºááŒááºážááŒá®ážáá±á¬áẠá€áá²á·ááá¯á·áá±á¬áá¯á¶ááŸááááºá
ááááºá¡áá±ááŒáá·áºá áá¯ááºááŸááºááŒááºážáá¯ááºáááºážá
ááºáá
áºáá¯áá¯á¶ážááẠá€áá²á·ááá¯á·ááŒá
áºáá±áááº-
- ááá¯ááºá¡á¬ážáá¯á¶ážááᯠá á¬ááŸááºááẠá¡áá¯á¶ážááŒá¯ááá·áº 128-bit AES áá±á¬á·ááᯠáááºáá®ážáá«á
- ááá¯ááºáá áºáá¯á á®á¡ááœáẠIV áá áºáá¯áááºáá®ážáá«á
- RSA-2048 á ááºááŸááºá¡ááœáẠáá±á¬á·ááœá²áá áºáá¯ááᯠáááºáá®ážááŒááºážá
- base8192 ááŸáá·áº RC64 ááᯠá¡áá¯á¶ážááŒá¯á áááºááŸá RSA-4 áá±á¬á·ááᯠáá¯ááºááŸááºááŒááºážá
- áááá¡ááá·áºá០AES-128-CBC algorithm ááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠá á¬ááŸááºáá«á
- RSA-2048 á¡áá»á¬ážáá°ááŸá¬áá±á¬á·ááŸáá·áº base64 áá¯ááºáá¶áá«ááºááᯠá¡áá¯á¶ážááŒá¯á IV áá¯ááºááŸááºááŒááºážá
- áá¯ááºááŸááºáá¬ážáá±á¬ IV áá áºáá¯á á®ááᯠáá¯ááºááŸááºáá¬ážáá±á¬ ááá¯ááºáá áºáá¯á á®áá¡áá¯á¶ážááœáẠááá·áºááœááºážááŒááºážá
- AES áá±á¬á·ááŸáá·áº RSA-2048 á ááºááŸáẠáá®ážááá·áºáá±á¬á·ááᯠconfig ááœáẠááá·áºááœááºážááŒááºážá
- ááá¹áááœááºáá±á¬áºááŒáá¬ážáá±á¬ ááœá²á·á
ááºážááŸá¯á¡áá»ááºá¡áááº
ááááºážá¡áá»ááºá¡áááºáá»á¬ážá á¯áá±á¬ááºážááŒááºáž áá°ážá ááºáá¶áá¬ážááá±á¬ ááœááºáá»á°áá¬ááŸáá·áºáááºáááºáá±á¬ áááºáá¡áá»á¬ážááŒááºáá°áá®áž RSA-8192 ááᯠá¡áá¯á¶ážááŒá¯á á á¬ááŸááºáá¬ážáááºá - áá¯ááºááŸááºáá¬ážáá±á¬ ááá¯ááºááẠá€áá²á·ááá¯á· ááŒá áºáááº-
áá¯ááºááŸááºáá¬ážáá±á¬ááá¯ááºáá»á¬áž á¥ááá¬-
áá°ážá ááºáá¶ááá±á¬ ááœááºáá»á°áá¬ááŸáá·áºáááºáááºáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážááᯠá á¯áá±á¬ááºážááŒááºážá
ransomware ááẠáá°ážá ááºáá¶áá¬ážááá±á¬ ááá¯ááºáá»á¬ážááᯠáá¯ááºááŸááºááẠáá±á¬á·áá»á¬ážááᯠá á¯áá±á¬ááºážáá¬ážáá±á¬ááŒá±á¬áá·áº ááá¯ááºááá¯ááºáá°ááẠáá¯ááºááŸááºáááááá¬ááᯠá¡ááŸááºáááẠáááºáá®ážááá¯ááºáááºá ááá¯á·á¡ááŒááºá Nemty ááẠá¡áá¯á¶ážááŒá¯áá°á¡áááºá ááœááºáá»á°áá¬á¡áááºá áá¬á·ááºáá²áááá¯ááá¯ááºáá²á·ááá¯á·áá±á¬ áá¯á¶ážá áœá²áá°áá±áá¬áá»á¬ážááᯠá á¯áá±á¬ááºážáááºá
áááºážááẠGetLogicalDrives(), GetFreeSpace(), GetDriveType() áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠááá¯ááºážáááºá
áºáá°ážá
ááºáá¬ážáá±á¬ ááœááºáá»á°áá¬á drives áá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠá
á¯áá±á¬ááºážáááºá
á á¯áá±á¬ááºážáá¬ážáá±á¬ á¡áá»ááºá¡áááºááᯠá á®áá¶ááœá²á·á ááºážááŸá¯ááá¯ááºááœáẠááááºážáááºážáá¬ážáááºá string ááᯠáá¯ááºááŒáá·áº áá¯ááºáá¯ááºááŒááºážááŒáá·áºá configuration file ááœáẠparameter áá»á¬ážá á¬áááºážááᯠáá»áœááºá¯ááºááá¯á· áááŸááááº-
áá°ážá
ááºáá¶áá¬ážááá±á¬ ááœááºáá»á°áá¬á ááá°áá¬áá¯á¶á
á¶ááœá²á·á
ááºážáá¯á¶-
configuration template ááᯠá¡á±á¬ááºáá«á¡ááá¯ááºáž ááá¯ááºá
á¬ážááŒá¯ááá¯ááºáá«áááºá
{"á¡ááœá±ááœá±": {"IP":"[IP]", "ááá¯ááºáá¶":"[ááá¯ááºáá¶]", "ComputerName":"[ComputerName]", "á¡áá¯á¶ážááŒá¯áá°á¡áááº":"[Username]", "OS"- "[OS]", "isRU":false, "áá¬ážááŸááºáž":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty ááẠá á¯áá±á¬ááºážáá¬ážáá±á¬áá±áá¬ááᯠ%USER%/_NEMTY_.nemty ááá¯ááºááœáẠJSON áá±á¬áºáááºááŒáá·áº ááááºážáááºážáá¬ážáááºá FileID ááẠá á¬áá¯á¶áž 7 áá¯á¶ážááŸááºááŒá®áž áá»áááºážáá¯ááºáá±ážáááºá á¥ááá¬- _NEMTY_tgdLYrd_.nemtyá FileID ááᯠáá¯ááºááŸááºáá¬ážáá±á¬ááá¯ááºáá¡áá¯á¶ážááœááºáááºáž ááá·áºááœááºážáá¬ážáááºá
ááœá±ážáá¯ááºá á¬
ááá¯ááºáá»á¬ážááᯠáá¯ááºááŸááºááŒá®ážáá±á¬ááºá ááá¯áẠ_NEMTY_[FileID]-DECRYPT.txt ááẠá¡á±á¬ááºáá«á¡ááŒá±á¬ááºážá¡áá¬ááŒáá·áº desktop áá±á«áºááœáẠáá±á«áºáá¬áááº-
ááá¯ááºáá¡áá¯á¶ážááœáẠáá°ážá
ááºáá¶áá¬ážááá±á¬ ááœááºáá»á°áá¬ááŸáá·áºáááºáááºááá·áº áá¯ááºááŸááºáá¬ážáá±á¬ á¡áá»ááºá¡ááẠááŸááá«áááºá
ááœááºáááºáááºááœááºáá±áž
ironman.exe áá¯ááºáááºážá
ááºááẠTor ááá±á¬ááºáá¬ááŒáá·áºááŒá°ážááŸá¯ááᯠááááºá
á¬ááŸáá±á«ááºážáá¯ááºáá¯ááºáááºá
ááá¯á·áá±á¬áẠNemty ááẠá¡áá¯ááºáá¯ááºáá±á¬ Tor ááá±á¬ááºáᬠááá±á¬ááºá á®ááᯠááŸá¬ááẠáá»áŸá±á¬áºááá·áºáá¬ážááá·áº 127.0.0.1:9050 ááá¯á· ááœá²á·á ááºážááŸá¯áá±áá¬ááᯠáá±ážááá¯á·ááẠááŒáá¯ážá á¬ážáááºá ááá¯á·áá±á¬áºáááºáž áá¯á¶ááŸááºá¡á¬ážááŒáá·áº Tor proxy ááẠport 9150 ááœáẠáá¬ážáá±á¬ááºááŒá®áž port 9050 ááᯠLinux ááá¯á·ááá¯áẠWindows ááœáẠExpert Bundle á០Tor daemon á០á¡áá¯á¶ážááŒá¯áá«áááºá ááá¯á·ááŒá±á¬áá·áºá ááá¯ááºááá¯ááºáá°ááá¬áá¬ááá¯á· áá±áá¬áááá¯á·áá«á áááºážá¡á á¬ážá á¡áá¯á¶ážááŒá¯áá°ááẠááœá±ážáá¯ááºááá¯ážáááºáá±á·áá»áºááœáẠáá±ážáá¬ážáá±á¬ ááá·áºááºááŸáá áºááá·áº Tor áá¯ááºááŸááºááŒááºážáááºáá±á¬ááºááŸá¯ááá¯á· ááœá¬ážáá±á¬ááºááŒááºážááŒáá·áº ááœá²á·á ááºážááŸá¯ááá¯ááºááᯠááá¯ááºááá¯ááºáá±á«ááºážáá¯ááºáá¯ááºááá¯ááºáá«áááºá
Tor ááá±á¬ááºá á®ááá¯á· áá»áááºáááºáá±áááº-
HTTP GET ááẠ127.0.0.1:9050/public/gate?data= ááá¯á· áá±á¬ááºážááá¯áá»ááºáá
áºáá¯ááᯠáááºáá®ážáááº
TORlocal proxy ááŸá¡áá¯á¶ážááŒá¯áá±á¬ open TCP port áá»á¬ážááᯠá€áá±áá¬ááœáẠáááºááœá±á·ááŒááºááá¯ááºáááº-
Tor ááœááºáááºááŸá Nemty áá¯ááºááŸááºááŒááºážáááºáá±á¬ááºááŸá¯-
áá¯ááºááŸááºááŒááºážáááºáá±á¬ááºááŸá¯ááᯠá
ááºážáááºááẠáááºááẠáá¯ááºááŸááºáá¬ážáá±á¬ áá¬ááºáá¯á¶ (jpgá pngá bmp) ááᯠá¡ááºáá¯ááºáá¯ááºááá¯ááºáá«áááºá
áááºážáá±á¬ááºá ááá¯ááºááá¯ááºáá°ááẠááœá±ážáá¯ááºááá¯ážáá±ážáá±á¬ááºááẠáá±á¬ááºážááá¯áááºá áá±ážáá»á±ááŒááºážáááŸááá«á á
á»á±ážááŸá¯ááºážááẠááŸá
áºáááŒá
áºáááºá
áá±á¬ááºáá»ááº
áá±á¬áá±á¬áááºááœááºá ááœá±ážáá¯ááºááá¯ážááá±ážáá² Nemty á០á á¬ááŸááºáá¬ážáá±á¬ ááá¯ááºáá»á¬ážááᯠáá¯ááºááŸááºááẠáááŒá áºááá¯ááºáá«á ဠransomware áá¬ážááŸááºážááœáẠBuran ransomware ááŸáá·áº áá±ááºááá®áá±á¬á·áá±á¬ GandCrab ááŸáá·áº áá¯á¶á¡ááºá¹áá«áááºáá»á¬áž ááŸááááº- Borland Delphi ááœáẠá á¯á ááºážááŸá¯ááŸáá·áº áá°áá®áá±á¬á á¬áá¬ážáá«áá±á¬ áá¯á¶áá»á¬ážá ááá¯á·á¡ááŒááºá áááºážááẠ8092-bit RSA áá±á¬á·ááᯠá¡áá¯á¶ážááŒá¯ááá·áº ááááá¯á¶áž áá¯ááºááŸááºá áá áºááŒá áºááŒá®áž 1024-bit áá±á¬á·ááẠá¡áá¬á¡ááœááºá¡ááœáẠáá¯á¶áá±á¬ááºáá±á¬ááŒá±á¬áá·áº áááºáá¶áá¡áááá¹áá¬ááºáááŸááá±á áá±á¬ááºáá¯á¶ážá¡áá±ááŸáá·áº á áááºáááºá á¬ážá áá¬áá±á¬ááºážáááºááŸá¬á áááºážááẠáá±áááœááºáž Tor ááá±á¬ááºá á®áááºáá±á¬ááºááŸá¯á¡ááœáẠááŸá¬ážááœááºážáá±á¬ááááºáááºážááᯠá¡áá¯á¶ážááŒá¯ááẠááŒáá¯ážá á¬ážáááºá
ááá¯á·áá±á¬áº ááŒá±ááŸááºážáááºážáá»á¬áž
source: www.habr.com