PayPal ဆိုက်အတုမှ Nemty ransomware ကိုတွေ့ပါ။

Nemty ဟုခေါ်သော ransomware အသစ်တစ်ခုသည် GrandCrab သို့မဟုတ် Buran ၏ဆက်ခံသူဟုယူဆရသောကွန်ရက်ပေါ်တွင်ပေါ်လာသည်။ Malware သည် အဓိကအားဖြင့် PayPal အတု ဝဘ်ဆိုဒ်မှ ဖြန့်ဝေထားပြီး စိတ်ဝင်စားစရာကောင်းသည့် အင်္ဂါရပ်များစွာရှိသည်။ ဤ ransomware အလုပ်လုပ်ပုံနှင့်ပတ်သက်သောအသေးစိတ်အချက်များဖြတ်တောက်မှုအောက်တွင်ရှိသည်။

အသုံးပြုသူမှရှာဖွေတွေ့ရှိခဲ့သော Nemty ransomware အသစ် nao_sec စက်တင်ဘာ ၇၊ ၂၀၁၉။ Malware ကို ဝဘ်ဆိုဒ်တစ်ခုမှတဆင့် ဖြန့်ဝေခဲ့သည်။ PayPal အဖြစ် အသွင်ပြောင်းထားသည်။RIG exploit kit မှတဆင့် ransomware သည် ကွန်ပြူတာကို ထိုးဖောက်ဝင်ရောက်ရန်လည်း ဖြစ်နိုင်သည်။ တိုက်ခိုက်သူများသည် PayPal ဝဘ်ဆိုဒ်မှရရှိသည်ဟုစွပ်စွဲထားသော cashback.exe ဖိုင်ကိုအသုံးပြုသူအား အတင်းအကြပ်လုပ်ဆောင်ရန် လူမှုအင်ဂျင်နီယာနည်းလမ်းများကိုအသုံးပြုခဲ့သည်။ Nemty သည် Malware ပေးပို့ခြင်းမှကာကွယ်ပေးသည့် Local proxy ဝန်ဆောင်မှု Tor အတွက် မှားယွင်းသော port ကိုသတ်မှတ်ထားသည်ကိုလည်း သိချင်ပါသည်။ ဆာဗာသို့ဒေတာ။ ထို့ကြောင့်၊ အသုံးပြုသူသည် ရွေးနုတ်ဖိုးပေးချေရန်နှင့် တိုက်ခိုက်သူများထံမှ ကုဒ်စာဝှက်ခြင်းကို စောင့်မည်ဆိုပါက သူကိုယ်တိုင် Tor ကွန်ရက်သို့ ကုဒ်ဝှက်ထားသောဖိုင်များကို အပ်လုဒ်လုပ်ရမည်ဖြစ်သည်။

Nemty နှင့်ပတ်သက်သော စိတ်ဝင်စားစရာကောင်းသည့်အချက်များစွာက ၎င်းကို တူညီသောလူများ သို့မဟုတ် Buran နှင့် GrandCrab တို့နှင့်ဆက်စပ်သော ဆိုက်ဘာရာဇ၀တ်ကောင်များက ဖန်တီးထားကြောင်း အကြံပြုထားသည်။

• GandCrab ကဲ့သို့ပင်၊ Nemty တွင် အီစတာကြက်ဥတစ်လုံးရှိသည် - ရုရှားသမ္မတ ဗလာဒီမာပူတင်၏ ညစ်ညမ်းသောဟာသဖြင့် ဓာတ်ပုံတစ်ပုံ၏လင့်ခ်တစ်ခုရှိသည်။ အမွေအနှစ် GandCrab ransomware တွင် တူညီသောစာသားပါသော ရုပ်ပုံတစ်ခုပါရှိသည်။
• ပရိုဂရမ်နှစ်ခုလုံး၏ ဘာသာစကားဆိုင်ရာ ပစ္စည်းများသည် တူညီသော ရုရှားစကားပြောစာရေးဆရာများကို ညွှန်ပြသည်။
• ၎င်းသည် 8092-bit RSA ကီးကို အသုံးပြုသည့် ပထမဆုံး ransomware ဖြစ်သည်။ ဤအရာတွင် အဓိပ္ပါယ်မရှိသော်လည်း၊ 1024-bit သော့သည် ဟက်ကာကို ကာကွယ်ရန် လုံလောက်ပါသည်။
• Buran ကဲ့သို့ပင်၊ ransomware ကို Object Pascal ဖြင့် ရေးသားထားပြီး Borland Delphi တွင် ပြုစုထားသည်။

အငြိမ်မနေ

အန္တရာယ်ရှိသောကုဒ်ကို အကောင်အထည်ဖော်ခြင်းသည် အဆင့်လေးဆင့်ဖြင့် ဖြစ်ပေါ်ပါသည်။ ပထမအဆင့်မှာ 32 bytes အရွယ်အစားရှိသော MS Windows အောက်တွင် PE1198936 executable file ကို cashback.exe ကို run ရန်ဖြစ်သည်။ ၎င်း၏ကုဒ်ကို Visual C++ ဖြင့် ရေးသားပြီး အောက်တိုဘာလ 14 ရက်၊ 2013 ခုနှစ်တွင် ပြုစုခဲ့သည်။ သင် cashback.exe ကိုဖွင့်သောအခါ အလိုအလျောက်ထုပ်ပိုးထားသော မှတ်တမ်းတစ်ခုပါရှိသည်။ ဆော့ဖ်ဝဲသည် .cab မော်ကွန်းတိုက်မှ ဖိုင်များကို ရယူရန် FDICreate(), FDIDestroy() နှင့် အခြားအရာများကို အသုံးပြုသည်။

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

မှတ်တမ်းကို ထုပ်ပိုးပြီးနောက်၊ ဖိုင်သုံးခု ပေါ်လာပါမည်။

ထို့နောက်၊ temp.exe သည် 32 bytes အရွယ်အစားရှိသော MS Windows အောက်တွင် PE307200 executable file တစ်ခုကို စတင်လိုက်ပါသည်။ ကုဒ်ကို Visual C++ ဖြင့် ရေးသားထားပြီး UPX နှင့် ဆင်တူသော ထုပ်ပိုးသည့် MPRESS ထုပ်ပိုးမှုဖြင့် ထုပ်ပိုးထားသည်။

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

နောက်တစ်ဆင့်ကတော့ ironman.exe ဖြစ်ပါတယ်။ စတင်လိုက်သည်နှင့် temp.exe သည် temp တွင် မြှုပ်သွင်းထားသော ဒေတာကို ကုဒ်ဝှက်ပြီး 32 byte PE544768 executable file ကို ironman.exe သို့ အမည်ပြောင်းသည်။ ကုဒ်ကို Borland Delphi တွင်ပြုစုထားသည်။

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

နောက်ဆုံးအဆင့်မှာ ironman.exe ဖိုင်ကို ပြန်လည်စတင်ရန်ဖြစ်သည်။ runtime တွင်၊ ၎င်းသည် ၎င်း၏ကုဒ်ကို ပြောင်းလဲပြီး memory မှ သူ့ဘာသာသူ လုပ်ဆောင်သည်။ ဤ ironman.exe ဗားရှင်းသည် အန္တရာယ်ရှိပြီး ကုဒ်ဝှက်ခြင်းအတွက် တာဝန်ရှိသည်။

တိုက်ခိုက်မှု အားနည်းချက်

လက်ရှိတွင်၊ Nemty ransomware ကို ဝဘ်ဆိုဒ် pp-back.info မှတဆင့် ဖြန့်ဝေထားသည်။

ကူးစက်မှု ကွင်းဆက် အပြည့်အစုံကို တွင် ကြည့်ရှုနိုင်ပါသည်။ app.any.run နင်။

ustanovka

Cashback.exe - တိုက်ခိုက်မှု၏အစ။ ဖော်ပြပြီးသားအတိုင်း၊ cashback.exe သည် ၎င်းတွင်ပါရှိသော .cab ဖိုင်ကို ထုပ်ပိုးသည်။ ထို့နောက် xxx သည် 4351 မှ 001 မှ နံပါတ်တစ်ခုဖြစ်သည့် %TEMP%IXxxx.TMP ဖောင်၏ TMP999$.TMP ဖိုင်တွဲတစ်ခုကို ဖန်တီးသည်။

ထို့နောက်၊ ဤပုံသဏ္ဌာန်ရှိသော registry key တစ်ခုကို ထည့်သွင်းပြီး၊

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
“rundll32.exe” “C:Windowssystem32advpack.dll၊DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””

မထုပ်ပိုးထားသောဖိုင်များကိုဖျက်ရန် ၎င်းကိုအသုံးပြုသည်။ နောက်ဆုံးတွင် cashback.exe သည် temp.exe လုပ်ငန်းစဉ်ကိုစတင်သည်။

Temp.exe သည် ကူးစက်မှုကွင်းဆက်၏ ဒုတိယအဆင့်ဖြစ်သည်။

၎င်းသည် cashback.exe ဖိုင်၊ ဗိုင်းရပ်စ် ကွပ်မျက်မှု၏ ဒုတိယအဆင့်ဖြစ်သည်။ ၎င်းသည် Windows တွင် script များလည်ပတ်ရန်အတွက် tool တစ်ခုဖြစ်သည့် AutoHotKey ကိုဒေါင်းလုဒ်လုပ်ပြီး PE ဖိုင်၏အရင်းအမြစ်များကဏ္ဍတွင်ရှိသော WindowSpy.ahk script ကို run ရန်ကြိုးစားသည်။

WindowSpy.ahk script သည် RC4 algorithm နှင့် password IwantAcake ကို အသုံးပြု၍ ironman.exe တွင် temp ဖိုင်ကို စာဝှက်ပေးသည်။ စကားဝှက်မှသော့ကို MD5 hashing algorithm ကိုအသုံးပြု၍ ရယူသည်။

temp.exe ထို့နောက် ironman.exe လုပ်ငန်းစဉ်ကို ခေါ်သည်။

Ironman.exe - တတိယအဆင့်

Ironman.exe သည် iron.bmp ဖိုင်၏ အကြောင်းအရာများကို ဖတ်ပြီး နောက်ထွက်မည့် cryptolocker ဖြင့် iron.txt ဖိုင်ကို ဖန်တီးသည်။

၎င်းနောက်တွင်၊ ဗိုင်းရပ်စ်သည် iron.txt ကို memory ထဲသို့ load လုပ်ပြီး ironman.exe အဖြစ် ပြန်လည်စတင်သည်။ အဲဒါပြီးရင်တော့ iron.txt ကို ဖျက်လိုက်ပါပြီ။

ironman.exe သည် NEMTY ransomware ၏အဓိကအစိတ်အပိုင်းဖြစ်ပြီး၊ ထိခိုက်နေသောကွန်ပျူတာရှိဖိုင်များကိုစာဝှက်ပေးသည်။ Malware သည် hate ဟုခေါ်သော mutex ကိုဖန်တီးသည်။

ပထမဆုံးလုပ်ဆောင်တာက ကွန်ပျူတာရဲ့ ပထဝီဝင်တည်နေရာကို ဆုံးဖြတ်ဖို့ပါပဲ။ Nemty သည် ဘရောက်ဆာကိုဖွင့်ပြီး ပေါ်ရှိ IP ကိုရှာဖွေသည်။ http://api.ipify.org. site ပေါ်တွင် api.db-ip.com/v2/free[IP]/countryName နိုင်ငံကို လက်ခံရရှိသော IP မှ ဆုံးဖြတ်ပြီး ကွန်ပျူတာသည် အောက်တွင်ဖော်ပြထားသော ဒေသတစ်ခုတွင် တည်ရှိပါက၊ malware ကုဒ်၏ လုပ်ဆောင်မှုသည် ရပ်သွားသည်-

• ရုရှားနိုင်ငံ
• Byelorussia
• ယူကရိန်း
• ကာဇက်စတန်
• Tajikistan

ဖြစ်နိုင်ချေအများစုမှာ၊ developer များသည် ၎င်းတို့၏နေထိုင်ရာနိုင်ငံများတွင် ဥပဒေစိုးမိုးရေးအေဂျင်စီများ၏ အာရုံစိုက်မှုကို မဆွဲဆောင်ချင်ကြသောကြောင့်၊ ထို့ကြောင့် ၎င်းတို့၏ "အိမ်" တရားစီရင်ပိုင်ခွင့်များတွင် ဖိုင်များကို စာဝှက်မထားပါ။

အကယ်၍ သားကောင်၏ IP လိပ်စာသည် အထက်ဖော်ပြပါစာရင်းတွင် မပါဝင်ပါက၊ ဗိုင်းရပ်စ်သည် အသုံးပြုသူ၏ အချက်အလက်ကို ကုဒ်ဝှက်သည်။

ဖိုင်ပြန်လည်ရယူခြင်းကို တားဆီးရန်အတွက် ၎င်းတို့၏အရိပ်ကော်ပီများကို ဖျက်လိုက်သည်-

ထို့နောက် ၎င်းသည် ကုဒ်ဝှက်ထားမည်မဟုတ်သည့် ဖိုင်များနှင့် ဖိုင်တွဲများစာရင်းကို ဖန်တီးပေးသည့်အပြင် ဖိုင်တိုးချဲ့မှုစာရင်းကို ဖန်တီးပေးသည်။

• ပြတင်းပေါက်
• $RECYCLE.BIN
• rsa
• NTDETECT.COM
• ချစ်သူ
• MSDOS.SYS
• IO.SYS
• boot.ini AUTOEXEC.BAT ntuser.dat
• desktop.ini
• SYS ပြင်ဆင်မှု။
• BOOTSECT.BAK
• မင်္ဂလာပါ
• ပရိုဂရမ်ဒေတာ
• ကဗျာ
• osoft
• ဘုံဖိုင်များ

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY 

ရှုပ်ထွေးခြင်း

URLs များနှင့် embedded configuration data ကိုဖျောက်ရန်၊ Nemty သည် fuckav keyword ဖြင့် base64 နှင့် RC4 encoding algorithm ကိုအသုံးပြုသည်။

CryptStringToBinary ကို အသုံးပြု၍ စာဝှက်ခြင်းလုပ်ငန်းစဉ်သည် အောက်ပါအတိုင်းဖြစ်သည်။

စာဝှက်ခြင်း

Nemty သည် သုံးလွှာ ကုဒ်ဝှက်ခြင်းကို အသုံးပြုသည်-

• ဖိုင်များအတွက် AES-128-CBC 128-bit AES သော့ကို ကျပန်းထုတ်ပေးပြီး ဖိုင်အားလုံးအတွက် တူညီပါသည်။ ၎င်းကို အသုံးပြုသူ၏ကွန်ပျူတာရှိ ဖွဲ့စည်းမှုဖိုင်တစ်ခုတွင် သိမ်းဆည်းထားသည်။ IV ကို ဖိုင်တစ်ခုစီအတွက် ကျပန်းထုတ်ပေးပြီး ကုဒ်ဝှက်ထားသောဖိုင်တစ်ခုတွင် သိမ်းဆည်းထားသည်။
• ဖိုင်ကုဒ်ဝှက်ခြင်း IV အတွက် RSA-2048 စက်ရှင်အတွက် သော့တွဲတစ်ခုကို ထုတ်ပေးသည်။ စက်ရှင်အတွက် သီးသန့်သော့ကို အသုံးပြုသူ၏ကွန်ပြူတာရှိ ဖွဲ့စည်းမှုဖိုင်တစ်ခုတွင် သိမ်းဆည်းထားသည်။
• RSA-8192။ Master အများသူငှာသော့ကို ပရိုဂရမ်တွင် တည်ဆောက်ထားပြီး RSA-2048 စက်ရှင်အတွက် AES သော့နှင့် လျှို့ဝှက်သော့ကို သိမ်းဆည်းထားသည့် ဖွဲ့စည်းမှုဖိုင်ကို ကုဒ်ဝှက်ရန်အတွက် အသုံးပြုပါသည်။
• Nemty သည် ကျပန်းဒေတာ 32 bytes ကို ပထမဆုံးထုတ်ပေးသည်။ ပထမ 16 bytes ကို AES-128-CBC သော့အဖြစ် အသုံးပြုသည်။

ဒုတိယ ကုဒ်ဝှက်ခြင်းဆိုင်ရာ algorithm သည် RSA-2048 ဖြစ်သည်။ သော့တွဲကို CryptGenKey() လုပ်ဆောင်ချက်မှ ထုတ်လုပ်ပြီး CryptImportKey() လုပ်ဆောင်ချက်ဖြင့် တင်သွင်းသည်။

စက်ရှင်အတွက် သော့အတွဲကို ထုတ်ပေးသည်နှင့်တစ်ပြိုင်နက်၊ အများသူငှာသော့ကို MS Cryptographic Service Provider သို့ တင်သွင်းသည်။

စက်ရှင်တစ်ခုအတွက် ထုတ်ပေးထားသော အများသူငှာသော့၏ ဥပမာ-

ထို့နောက်၊ သီးသန့်သော့ကို CSP သို့ တင်သွင်းသည်။

စက်ရှင်တစ်ခုအတွက် ထုတ်လုပ်ထားသော ကိုယ်ပိုင်ကီး၏ ဥပမာတစ်ခု။

နောက်ဆုံး RSA-8192 ရောက်လာသည်။ ပင်မအများပြည်သူကီးကို PE ဖိုင်၏ .data ကဏ္ဍတွင် ကုဒ်ဝှက်ထားသောပုံစံ (Base64 + RC4) တွင် သိမ်းဆည်းထားသည်။

RSA-8192 သော့သည် base64 စကားဝှက်နှင့် fuckav စကားဝှက်ဖြင့် RC4 ကုဒ်ဝှက်ခြင်းပြီးနောက် ဤကဲ့သို့သောပုံရှိသည်။

ရလဒ်အနေဖြင့်၊ ကုဒ်ဝှက်ခြင်းလုပ်ငန်းစဉ်တစ်ခုလုံးသည် ဤကဲ့သို့ဖြစ်နေသည်-

• ဖိုင်အားလုံးကို စာဝှက်ရန် အသုံးပြုမည့် 128-bit AES သော့ကို ဖန်တီးပါ။
• ဖိုင်တစ်ခုစီအတွက် IV တစ်ခုဖန်တီးပါ။
• RSA-2048 စက်ရှင်အတွက် သော့တွဲတစ်ခုကို ဖန်တီးခြင်း။
• base8192 နှင့် RC64 ကို အသုံးပြု၍ လက်ရှိ RSA-4 သော့ကို ကုဒ်ဝှက်ခြင်း။
• ပထမအဆင့်မှ AES-128-CBC algorithm ကို အသုံးပြု၍ ဖိုင်အကြောင်းအရာများကို စာဝှက်ပါ။
• RSA-2048 အများသူငှာသော့နှင့် base64 ကုဒ်နံပါတ်ကို အသုံးပြု၍ IV ကုဒ်ဝှက်ခြင်း။
• ကုဒ်ဝှက်ထားသော IV တစ်ခုစီကို ကုဒ်ဝှက်ထားသော ဖိုင်တစ်ခုစီ၏အဆုံးတွင် ထည့်သွင်းခြင်း။
• AES သော့နှင့် RSA-2048 စက်ရှင် သီးသန့်သော့ကို config တွင် ထည့်သွင်းခြင်း။
• ကဏ္ဍတွင်ဖော်ပြထားသော ဖွဲ့စည်းမှုအချက်အလက် သတင်းအချက်အလက်များစုဆောင်းခြင်း ကူးစက်ခံထားရသော ကွန်ပျူတာနှင့်ပတ်သက်သော ပင်မအများပြည်သူကီး RSA-8192 ကို အသုံးပြု၍ စာဝှက်ထားသည်။
• ကုဒ်ဝှက်ထားသော ဖိုင်သည် ဤကဲ့သို့ ဖြစ်သည်-

ကုဒ်ဝှက်ထားသောဖိုင်များ ဥပမာ-

ကူးစက်ခံရသော ကွန်ပျူတာနှင့်ပတ်သက်သော အချက်အလက်များကို စုဆောင်းခြင်း။

ransomware သည် ကူးစက်ခံထားရသော ဖိုင်များကို ကုဒ်ဝှက်ရန် သော့များကို စုဆောင်းထားသောကြောင့် တိုက်ခိုက်သူသည် ကုဒ်ဝှက်ကိရိယာကို အမှန်တကယ် ဖန်တီးနိုင်သည်။ ထို့အပြင်၊ Nemty သည် အသုံးပြုသူအမည်၊ ကွန်ပျူတာအမည်၊ ဟာ့ဒ်ဝဲပရိုဖိုင်ကဲ့သို့သော သုံးစွဲသူဒေတာများကို စုဆောင်းသည်။

၎င်းသည် GetLogicalDrives(), GetFreeSpace(), GetDriveType() လုပ်ဆောင်ချက်များကို ဗိုင်းရပ်စ်ကူးစက်ထားသော ကွန်ပျူတာ၏ drives များအကြောင်း အချက်အလက်များကို စုဆောင်းသည်။

စုဆောင်းထားသော အချက်အလက်ကို စီမံဖွဲ့စည်းမှုဖိုင်တွင် သိမ်းဆည်းထားသည်။ string ကို ကုဒ်ဖြင့် ကုဒ်လုပ်ခြင်းဖြင့်၊ configuration file တွင် parameter များစာရင်းကို ကျွန်ုပ်တို့ ရရှိသည်-

ကူးစက်ခံထားရသော ကွန်ပျူတာ၏ နမူနာပုံစံဖွဲ့စည်းပုံ-

configuration template ကို အောက်ပါအတိုင်း ကိုယ်စားပြုနိုင်ပါသည်။

{"အထွေထွေ": {"IP":"[IP]", "နိုင်ငံ":"[နိုင်ငံ]", "ComputerName":"[ComputerName]", "အသုံးပြုသူအမည်":"[Username]", "OS"- "[OS]", "isRU":false, "ဗားရှင်း":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]

Nemty သည် စုဆောင်းထားသောဒေတာကို %USER%/_NEMTY_.nemty ဖိုင်တွင် JSON ဖော်မတ်ဖြင့် သိမ်းဆည်းထားသည်။ FileID သည် စာလုံး 7 လုံးရှည်ပြီး ကျပန်းထုတ်ပေးသည်။ ဥပမာ- _NEMTY_tgdLYrd_.nemty။ FileID ကို ကုဒ်ဝှက်ထားသောဖိုင်၏အဆုံးတွင်လည်း ထည့်သွင်းထားသည်။

ရွေးနုတ်စာ

ဖိုင်များကို ကုဒ်ဝှက်ပြီးနောက်၊ ဖိုင် _NEMTY_[FileID]-DECRYPT.txt သည် အောက်ပါအကြောင်းအရာဖြင့် desktop ပေါ်တွင် ပေါ်လာသည်-

ဖိုင်၏အဆုံးတွင် ကူးစက်ခံထားရသော ကွန်ပျူတာနှင့်ပတ်သက်သည့် ကုဒ်ဝှက်ထားသော အချက်အလက် ရှိပါသည်။

ကွန်ရက်ဆက်သွယ်ရေး

ironman.exe လုပ်ငန်းစဉ်သည် Tor ဘရောက်ဆာဖြန့်ဖြူးမှုကို လိပ်စာမှဒေါင်းလုဒ်လုပ်သည်။ https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip ၎င်းကို ထည့်သွင်းရန် ကြိုးစားသည်။

ထို့နောက် Nemty သည် အလုပ်လုပ်သော Tor ဘရောက်ဆာ ပရောက်စီကို ရှာရန် မျှော်လင့်ထားသည့် 127.0.0.1:9050 သို့ ဖွဲ့စည်းမှုဒေတာကို ပေးပို့ရန် ကြိုးစားသည်။ သို့သော်လည်း ပုံမှန်အားဖြင့် Tor proxy သည် port 9150 တွင် နားထောင်ပြီး port 9050 ကို Linux သို့မဟုတ် Windows တွင် Expert Bundle မှ Tor daemon မှ အသုံးပြုပါသည်။ ထို့ကြောင့်၊ တိုက်ခိုက်သူ၏ဆာဗာသို့ ဒေတာမပို့ပါ။ ယင်းအစား၊ အသုံးပြုသူသည် ရွေးနုတ်ဖိုးမက်ဆေ့ဂျ်တွင် ပေးထားသော လင့်ခ်မှတစ်ဆင့် Tor ကုဒ်ဝှက်ခြင်းဝန်ဆောင်မှုသို့ သွားရောက်ခြင်းဖြင့် ဖွဲ့စည်းမှုဖိုင်ကို ကိုယ်တိုင်ဒေါင်းလုဒ်လုပ်နိုင်ပါသည်။

Tor ပရောက်စီသို့ ချိတ်ဆက်နေသည်-

HTTP GET သည် 127.0.0.1:9050/public/gate?data= သို့ တောင်းဆိုချက်တစ်ခုကို ဖန်တီးသည်

TORlocal proxy မှအသုံးပြုသော open TCP port များကို ဤနေရာတွင် သင်တွေ့မြင်နိုင်သည်-

Tor ကွန်ရက်ရှိ Nemty ကုဒ်ဝှက်ခြင်းဝန်ဆောင်မှု-

ကုဒ်ဝှက်ခြင်းဝန်ဆောင်မှုကို စမ်းသပ်ရန် သင်သည် ကုဒ်ဝှက်ထားသော ဓာတ်ပုံ (jpg၊ png၊ bmp) ကို အပ်လုဒ်လုပ်နိုင်ပါသည်။

ယင်းနောက်၊ တိုက်ခိုက်သူသည် ရွေးနုတ်ဖိုးပေးဆောင်ရန် တောင်းဆိုသည်။ ပေးချေခြင်းမရှိပါက စျေးနှုန်းသည် နှစ်ဆဖြစ်သည်။

ကောက်ချက်

လောလောဆယ်တွင်၊ ရွေးနုတ်ဖိုးမပေးဘဲ Nemty မှ စာဝှက်ထားသော ဖိုင်များကို ကုဒ်ဝှက်ရန် မဖြစ်နိုင်ပါ။ ဤ ransomware ဗားရှင်းတွင် Buran ransomware နှင့် ခေတ်မမီတော့သော GandCrab နှင့် ဘုံအင်္ဂါရပ်များ ရှိသည်- Borland Delphi တွင် စုစည်းမှုနှင့် တူညီသောစာသားပါသော ပုံများ။ ထို့အပြင်၊ ၎င်းသည် 8092-bit RSA သော့ကို အသုံးပြုသည့် ပထမဆုံး ကုဒ်ဝှက်စနစ်ဖြစ်ပြီး 1024-bit သော့သည် အကာအကွယ်အတွက် လုံလောက်သောကြောင့် ထပ်မံ၍အဓိပ္ပာယ်မရှိပေ။ နောက်ဆုံးအနေနှင့် စိတ်ဝင်စားစရာကောင်းသည်မှာ၊ ၎င်းသည် ဒေသတွင်း Tor ပရောက်စီဝန်ဆောင်မှုအတွက် မှားယွင်းသောဆိပ်ကမ်းကို အသုံးပြုရန် ကြိုးစားသည်။

သို့သော် ဖြေရှင်းနည်းများ Acronis Backup ကို и Acronis True Image တို့ Nemty ransomware ကို အသုံးပြုသူ PC များနှင့် ဒေတာများ မရောက်စေရန် တားဆီးထားပြီး ဝန်ဆောင်မှုပေးသူများသည် ၎င်းတို့၏ ဖောက်သည်များကို ကာကွယ်နိုင်သည်။ Acronis Backup Cloud. အပြည့် ဆိုက်ဘာကာကွယ်မှု အရန်သိမ်းခြင်းသာမကဘဲ အသုံးပြုခြင်းကိုလည်း အကာအကွယ်ပေးပါသည်။ Acronis Active Protectionဥာဏ်ရည်တုနှင့် အပြုအမူဆိုင်ရာ ဟေရီရစ်စ်များကို အခြေခံထားသည့် အထူးနည်းပညာဖြစ်သည့် သင်မသိရသေးသော malware များကိုပင် ပျက်ပြယ်စေပါသည်။

source: www.habr.com