🥇 नक्कली PayPal साइटबाट Nemty ransomware लाई भेट्नुहोस्

Nemty भनिने नयाँ ransomware नेटवर्कमा देखा परेको छ, जुन मानिन्छ कि GrandCrab वा Buran को उत्तराधिकारी हो। मालवेयर मुख्यतया नक्कली PayPal वेबसाइटबाट वितरित गरिन्छ र यसमा धेरै रोचक सुविधाहरू छन्। यस ransomware ले कसरी काम गर्दछ भन्ने बारे विवरणहरू कट अन्तर्गत छन्।

नयाँ Nemty ransomware प्रयोगकर्ता द्वारा पत्ता लगाइयो nao_sec सेप्टेम्बर 7, 2019। मालवेयर वेबसाइट मार्फत वितरण गरिएको थियो PayPal को रूपमा भेषमा, ransomware को लागि RIG शोषण किट मार्फत कम्प्युटर प्रवेश गर्न पनि सम्भव छ। आक्रमणकारीहरूले प्रयोगकर्तालाई cashback.exe फाइल चलाउन बाध्य पार्न सामाजिक ईन्जिनियरिङ् विधिहरू प्रयोग गरे, जुन उसले कथित रूपमा PayPal वेबसाइटबाट प्राप्त गरेको थियो। यो पनि उत्सुक छ कि नेम्टीले स्थानीय प्रोक्सी सेवा टोरको लागि गलत पोर्ट निर्दिष्ट गरेको छ, जसले मालवेयर पठाउनबाट रोक्छ। सर्भरमा डाटा। तसर्थ, प्रयोगकर्ताले टोर नेटवर्कमा ईन्क्रिप्टेड फाइलहरू अपलोड गर्नुपर्नेछ यदि उसले फिरौती तिर्न चाहन्छ भने र आक्रमणकारीहरूबाट डिक्रिप्शनको लागि पर्खनुहोस्।

नेम्टीको बारेमा धेरै रोचक तथ्यहरूले सुझाव दिन्छ कि यो उही व्यक्तिहरू वा Buran र GrandCrab सँग सम्बन्धित साइबर अपराधीहरूद्वारा विकसित गरिएको थियो।

GandCrab जस्तै, Nemty सँग इस्टर अण्डा छ - रूसी राष्ट्रपति भ्लादिमिर पुटिनको अश्लील मजाकको साथ फोटोको लिङ्क। विरासत GandCrab ransomware सँग समान पाठको छवि थियो।
दुबै कार्यक्रमहरूको भाषा कलाकृतिहरूले एउटै रूसी-भाषी लेखकहरूलाई संकेत गर्दछ।
यो 8092-bit RSA कुञ्जी प्रयोग गर्ने पहिलो ransomware हो। यद्यपि यसमा कुनै बिन्दु छैन: 1024-बिट कुञ्जी ह्याकिङ विरुद्ध सुरक्षा गर्न पर्याप्त छ।
Buran जस्तै, ransomware वस्तु पास्कल मा लेखिएको छ र Borland डेल्फी मा कम्पाइल गरिएको छ।

स्थिर विश्लेषण

दुर्भावनापूर्ण कोडको कार्यान्वयन चार चरणहरूमा हुन्छ। पहिलो चरण भनेको 32 बाइटको साइज भएको MS Windows अन्तर्गत PE1198936 कार्यान्वयनयोग्य फाइल cashback.exe चलाउनु हो। यसको कोड भिजुअल C++ मा लेखिएको थियो र अक्टोबर 14, 2013 मा कम्पाइल गरिएको थियो। यसले एउटा अभिलेख समावेश गर्दछ जुन स्वचालित रूपमा अनप्याक हुन्छ जब तपाइँ cashback.exe चलाउनुहुन्छ। सफ्टवेयरले .cab अभिलेखबाट फाइलहरू प्राप्त गर्न Cabinet.dll पुस्तकालय र यसको कार्यहरू FDICreate(), FDIDestroy() र अन्य प्रयोग गर्दछ।

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

संग्रह अनप्याक गरेपछि, तीन फाइलहरू देखा पर्नेछ।

अर्को, temp.exe लन्च गरिएको छ, 32 बाइटको साइजको एमएस विन्डोज अन्तर्गत PE307200 कार्यान्वयनयोग्य फाइल। कोड भिजुअल C++ मा लेखिएको छ र MPRESS प्याकर, UPX जस्तै प्याकरसँग प्याकेज गरिएको छ।

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

अर्को चरण ironman.exe हो। एक पटक सुरु भएपछि, temp.exe ले इम्बेडेड डाटालाई temp मा डिक्रिप्ट गर्छ र ironman.exe, 32 बाइट PE544768 कार्यान्वयनयोग्य फाइलमा पुन: नामाकरण गर्दछ। कोड बोरल्याण्ड डेल्फी मा कम्पाइल गरिएको छ।

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

अन्तिम चरण ironman.exe फाइल पुन: सुरु गर्न हो। रनटाइममा, यसले यसको कोड परिवर्तन गर्छ र मेमोरीबाट आफै चल्छ। ironman.exe को यो संस्करण खराब छ र गुप्तिकरणको लागि जिम्मेवार छ।

आक्रमण वेक्टर

हाल, Nemty ransomware वेबसाइट pp-back.info मार्फत वितरण गरिन्छ।

संक्रमण को पूर्ण श्रृंखला मा हेर्न सकिन्छ app.any.run स्यान्डबक्स

सेटिङ

Cashback.exe - आक्रमणको सुरुवात। पहिले नै उल्लेख गरिएझैं, cashback.exe ले यसमा रहेको cab फाइल खोल्छ। त्यसपछि यसले %TEMP%IXxxx.TMP फारमको TMP4351$.TMP फोल्डर सिर्जना गर्छ, जहाँ xxx 001 देखि 999 सम्मको संख्या हो।

अर्को, एक रजिस्ट्री कुञ्जी स्थापना गरिएको छ, जुन यो जस्तो देखिन्छ:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""

यो अनप्याक फाइलहरू मेटाउन प्रयोग गरिन्छ। अन्तमा, cashback.exe ले temp.exe प्रक्रिया सुरु गर्छ।

Temp.exe संक्रमण श्रृंखलाको दोस्रो चरण हो

यो cashback.exe फाइलद्वारा सुरु गरिएको प्रक्रिया हो, भाइरस कार्यान्वयनको दोस्रो चरण। यसले AutoHotKey डाउनलोड गर्ने प्रयास गर्छ, Windows मा स्क्रिप्टहरू चलाउनको लागि एउटा उपकरण, र PE फाइलको स्रोत खण्डमा अवस्थित WindowSpy.ahk स्क्रिप्ट चलाउनुहोस्।

WindowSpy.ahk स्क्रिप्टले RC4 एल्गोरिदम र पासवर्ड IwantAcake प्रयोग गरेर ironman.exe मा temp फाइल डिक्रिप्ट गर्दछ। पासवर्डबाट कुञ्जी MD5 ह्यासिङ एल्गोरिथ्म प्रयोग गरेर प्राप्त गरिन्छ।

temp.exe त्यसपछि ironman.exe प्रक्रियालाई कल गर्दछ।

Ironman.exe - तेस्रो चरण

Ironman.exe ले iron.bmp फाइलको सामग्रीहरू पढ्छ र क्रिप्टोलकरको साथ iron.txt फाइल सिर्जना गर्दछ जुन अर्को सुरु हुनेछ।

यसपछि, भाइरसले iron.txt लाई मेमोरीमा लोड गर्छ र ironman.exe को रूपमा पुनः सुरु गर्छ। यस पछि, iron.txt मेटाइन्छ।

ironman.exe NEMTY ransomware को मुख्य भाग हो, जसले प्रभावित कम्प्युटरमा फाइलहरू इन्क्रिप्ट गर्दछ। मालवेयरले घृणा भनिने म्युटेक्स सिर्जना गर्दछ।

पहिलो कुरा यसले कम्प्युटरको भौगोलिक स्थान निर्धारण गर्छ। Nemty ले ब्राउजर खोल्छ र IP पत्ता लगाउँछ http://api.ipify.org। साइट मा api.db-ip.com/v2/free[IP]/countryName देश प्राप्त गरिएको IP बाट निर्धारण गरिन्छ, र यदि कम्प्युटर तल सूचीबद्ध क्षेत्रहरू मध्ये एकमा अवस्थित छ भने, मालवेयर कोडको कार्यान्वयन रोकिन्छ:

रूस
बेलारूस
युक्रेन
काजाकिस्तान
ताजिकिस्तान

सम्भवतः, विकासकर्ताहरूले आफ्नो निवासको देशहरूमा कानून प्रवर्तन एजेन्सीहरूको ध्यान आकर्षित गर्न चाहँदैनन्, र त्यसैले तिनीहरूको "घर" क्षेत्राधिकारमा फाइलहरू इन्क्रिप्ट गर्दैनन्।

यदि पीडितको आईपी ठेगाना माथिको सूचीसँग सम्बन्धित छैन भने, भाइरसले प्रयोगकर्ताको जानकारी इन्क्रिप्ट गर्दछ।

फाइल रिकभरी रोक्नको लागि, तिनीहरूको छाया प्रतिलिपिहरू मेटाइएका छन्:

यसले त्यसपछि फाइलहरू र फोल्डरहरूको सूची सिर्जना गर्दछ जुन ईन्क्रिप्टेड हुनेछैन, साथै फाइल विस्तारहरूको सूची।

Windows
$RECYCLE.BIN
आरएसए
NTDETECT.COM
आदि
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
डेस्कटप.इन
SYS कन्फिग।
BOOTSECT.BAK
bootmgr
कार्यक्रम डाटा
एप डाटा
osoft
सामान्य फाइलहरू

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY

अस्पष्टता

URL हरू र इम्बेडेड कन्फिगरेसन डाटा लुकाउन, Nemty ले fuckav किवर्डको साथ base64 र RC4 एन्कोडिङ एल्गोरिदम प्रयोग गर्दछ।

CryptStringToBinary प्रयोग गरी डिक्रिप्शन प्रक्रिया निम्नानुसार छ

ईन्क्रिप्शन

Nemty तीन-तह ईन्क्रिप्शन प्रयोग गर्दछ:

फाइलहरूको लागि AES-128-CBC। 128-बिट AES कुञ्जी अनियमित रूपमा उत्पन्न हुन्छ र सबै फाइलहरूको लागि समान प्रयोग गरिन्छ। यो प्रयोगकर्ताको कम्प्युटरमा कन्फिगरेसन फाइलमा भण्डारण गरिएको छ। IV अनियमित रूपमा प्रत्येक फाइलको लागि उत्पन्न हुन्छ र एन्क्रिप्टेड फाइलमा भण्डारण गरिन्छ।
RSA-2048 फाइल इन्क्रिप्सन IV को लागि। सत्रको लागि कुञ्जी जोडा उत्पन्न हुन्छ। सत्रको लागि निजी कुञ्जी प्रयोगकर्ताको कम्प्युटरमा कन्फिगरेसन फाइलमा भण्डार गरिएको छ।
RSA-8192। मास्टर सार्वजनिक कुञ्जी कार्यक्रममा निर्मित छ र कन्फिगरेसन फाइल इन्क्रिप्ट गर्न प्रयोग गरिन्छ, जसले RSA-2048 सत्रको लागि AES कुञ्जी र गोप्य कुञ्जी भण्डारण गर्दछ।
Nemty पहिले 32 बाइट अनियमित डाटा उत्पन्न गर्दछ। पहिलो 16 बाइटहरू AES-128-CBC कुञ्जीको रूपमा प्रयोग गरिन्छ।

दोस्रो एन्क्रिप्शन एल्गोरिथ्म RSA-2048 हो। कुञ्जी जोडी CryptGenKey() प्रकार्यद्वारा उत्पन्न हुन्छ र CryptImportKey() प्रकार्यद्वारा आयात गरिन्छ।

सत्रको लागि कुञ्जी जोडा उत्पन्न भएपछि, सार्वजनिक कुञ्जी एमएस क्रिप्टोग्राफिक सेवा प्रदायकमा आयात गरिन्छ।

सत्रको लागि उत्पन्न सार्वजनिक कुञ्जीको उदाहरण:

अर्को, निजी कुञ्जी CSP मा आयात गरिन्छ।

सत्रको लागि उत्पन्न गरिएको निजी कुञ्जीको उदाहरण:

र अन्तिम आउँछ RSA-8192। मुख्य सार्वजनिक कुञ्जी PE फाइलको डेटा खण्डमा इन्क्रिप्टेड फारम (Base64 + RC4) मा भण्डारण गरिएको छ।

RSA-8192 कुञ्जी बेस64 डिकोडिङ र fuckav पासवर्डको साथ RC4 डिक्रिप्शन पछि यस्तो देखिन्छ।

नतिजाको रूपमा, सम्पूर्ण एन्क्रिप्शन प्रक्रिया यस्तो देखिन्छ:

सबै फाइलहरू इन्क्रिप्ट गर्न प्रयोग गरिने १२८-बिट AES कुञ्जी उत्पन्न गर्नुहोस्।
प्रत्येक फाइलको लागि IV सिर्जना गर्नुहोस्।
RSA-2048 सत्रको लागि कुञ्जी जोडी सिर्जना गर्दै।
base8192 र RC64 प्रयोग गरी अवस्थित RSA-4 कुञ्जीको डिक्रिप्शन।
पहिलो चरणबाट AES-128-CBC एल्गोरिदम प्रयोग गरी फाइल सामग्रीहरू इन्क्रिप्ट गर्नुहोस्।
RSA-2048 सार्वजनिक कुञ्जी र base64 इन्कोडिङ प्रयोग गरेर IV इन्क्रिप्शन।
प्रत्येक इन्क्रिप्टेड फाइलको अन्त्यमा इन्क्रिप्टेड IV थप्दै।
कन्फिगरेसनमा AES कुञ्जी र RSA-2048 सत्र निजी कुञ्जी थप्दै।
खण्डमा वर्णन गरिएको कन्फिगरेसन डेटा जानकारी संग्रह संक्रमित कम्प्युटर बारे मुख्य सार्वजनिक कुञ्जी RSA-8192 प्रयोग गरेर गुप्तिकरण गरिएको छ।
इन्क्रिप्टेड फाइल यस्तो देखिन्छ:

एन्क्रिप्टेड फाइलहरूको उदाहरण:

संक्रमित कम्प्युटर बारे जानकारी सङ्कलन

ransomware ले संक्रमित फाइलहरू डिक्रिप्ट गर्न कुञ्जीहरू सङ्कलन गर्दछ, त्यसैले आक्रमणकारीले वास्तवमा डिक्रिप्टर सिर्जना गर्न सक्छ। थप रूपमा, Nemty प्रयोगकर्ता डेटा जस्तै प्रयोगकर्ता नाम, कम्प्युटर नाम, हार्डवेयर प्रोफाइल सङ्कलन गर्दछ।

यसले GetLogicalDrives(), GetFreeSpace(), GetDriveType() प्रकार्यहरूलाई संक्रमित कम्प्युटरको ड्राइभको बारेमा जानकारी सङ्कलन गर्दछ।

संकलित जानकारी कन्फिगरेसन फाइलमा भण्डार गरिएको छ। स्ट्रिङ डिकोड गरिसकेपछि, हामीले कन्फिगरेसन फाइलमा प्यारामिटरहरूको सूची पाउँछौं:

संक्रमित कम्प्युटरको उदाहरण कन्फिगरेसन:

कन्फिगरेसन टेम्प्लेट निम्न रूपमा प्रतिनिधित्व गर्न सकिन्छ:

{"सामान्य": {"IP":"[IP]", "देश":"[देश]", "कम्प्यूटरनाम":"[कम्प्यूटरनाम]", "प्रयोगकर्ता नाम":"[प्रयोगकर्ता नाम]", "ओएस": "[OS]", "isRU":false, "संस्करण":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]

Nemty ले JSON ढाँचामा %USER%/_NEMTY_.nemty फाइलमा संग्रहित डाटा भण्डारण गर्छ। FileID 7 वर्ण लामो र अनियमित रूपमा उत्पन्न हुन्छ। उदाहरणका लागि: _NEMTY_tgdLYrd_.nemty। फाइलआईडीलाई एन्क्रिप्टेड फाइलको अन्त्यमा पनि जोडिएको छ।

फिरौती सन्देश

फाइलहरू इन्क्रिप्ट गरेपछि, फाइल _NEMTY_[FileID]-DECRYPT.txt डेस्कटपमा निम्न सामग्रीको साथ देखा पर्दछ:

फाइलको अन्त्यमा संक्रमित कम्प्युटरको बारेमा इन्क्रिप्टेड जानकारी छ।

नेटवर्क संचार

ironman.exe प्रक्रियाले ठेगानाबाट Tor ब्राउजर वितरण डाउनलोड गर्दछ https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip र यसलाई स्थापना गर्न प्रयास गर्दछ।

Nemty त्यसपछि 127.0.0.1:9050 मा कन्फिगरेसन डाटा पठाउने प्रयास गर्दछ, जहाँ यसले काम गर्ने टोर ब्राउजर प्रोक्सी फेला पार्ने अपेक्षा गर्दछ। यद्यपि, पूर्वनिर्धारित रूपमा टोर प्रोक्सीले पोर्ट 9150 मा सुन्दछ, र पोर्ट 9050 लाई लिनक्समा टोर डेमन वा विन्डोजमा विशेषज्ञ बन्डलद्वारा प्रयोग गरिन्छ। यसरी, आक्रमणकारीको सर्भरमा कुनै डाटा पठाइँदैन। यसको सट्टा, प्रयोगकर्ताले फिरौती सन्देशमा प्रदान गरिएको लिङ्क मार्फत टोर डिक्रिप्शन सेवामा गएर कन्फिगरेसन फाइल म्यानुअल रूपमा डाउनलोड गर्न सक्नुहुन्छ।

Tor proxy मा जडान गर्दै:

HTTP GET ले 127.0.0.1:9050/public/gate?data= मा अनुरोध सिर्जना गर्दछ

यहाँ तपाइँ TORlocal प्रोक्सी द्वारा प्रयोग गरिएका खुला TCP पोर्टहरू हेर्न सक्नुहुन्छ:

टोर नेटवर्कमा Nemty डिक्रिप्शन सेवा:

तपाईंले डिक्रिप्शन सेवा परीक्षण गर्नको लागि एन्क्रिप्टेड फोटो (jpg, png, bmp) अपलोड गर्न सक्नुहुन्छ।

यस पछि, आक्रमणकारीले फिरौती तिर्न सोध्छन्। भुक्तानी नगरेको अवस्थामा मूल्य दोब्बर हुन्छ।

निष्कर्षमा

हाल, Nemty द्वारा गुप्तिकरण गरिएका फाइलहरूलाई फिरौती नतिरिकन डिक्रिप्ट गर्न सम्भव छैन। ransomware को यो संस्करण Buran ransomware र पुरानो GandCrab: Borland Delphi मा संकलन र उही पाठ संग छविहरु संग साझा सुविधाहरू छन्। थप रूपमा, यो पहिलो एन्क्रिप्टर हो जसले 8092-बिट RSA कुञ्जी प्रयोग गर्दछ, जुन, फेरि, कुनै अर्थ छैन, किनकि 1024-बिट कुञ्जी सुरक्षाको लागि पर्याप्त छ। अन्तमा, र चाखलाग्दो कुरा, यसले स्थानीय टोर प्रोक्सी सेवाको लागि गलत पोर्ट प्रयोग गर्ने प्रयास गर्दछ।

यद्यपि, समाधानहरू एक्रोनिस बैकअप и Acronis True Image Nemty ransomware लाई प्रयोगकर्ताको पीसी र डाटामा पुग्नबाट रोक्नुहोस्, र प्रदायकहरूले आफ्ना ग्राहकहरूलाई सुरक्षित गर्न सक्छन्। Acronis ब्याकअप क्लाउड... पूर्ण साइबर सुरक्षा ब्याकअप मात्र प्रदान गर्दैन, तर प्रयोग गरेर सुरक्षा पनि प्रदान गर्दछ Acronis सक्रिय संरक्षण, कृत्रिम बुद्धिमत्ता र व्यवहारिक हेरिस्टिक्समा आधारित एक विशेष प्रविधि जसले तपाईंलाई अझै अज्ञात मालवेयरलाई बेअसर गर्न अनुमति दिन्छ।

स्रोत: www.habr.com

नक्कली PayPal साइटबाट Nemty ransomware भेट्नुहोस्