En ny løsepengevare kalt Nemty har dukket opp på nettverket, som visstnok er etterfølgeren til GrandCrab eller Buran. Skadevaren distribueres hovedsakelig fra det falske PayPal-nettstedet og har en rekke interessante funksjoner. Detaljer om hvordan denne løsepengevaren fungerer er under kuttet.
Ny Nemty løsepengevare oppdaget av bruker 7. september 2019. Skadevaren ble distribuert via et nettsted , er det også mulig for løsepengeprogramvare å trenge inn i en datamaskin gjennom RIG-utnyttingssettet. Angriperne brukte sosiale ingeniørmetoder for å tvinge brukeren til å kjøre filen cashback.exe, som han angivelig har mottatt fra PayPal-nettstedet. Det er også merkelig at Nemty spesifiserte feil port for den lokale proxy-tjenesten Tor, som hindrer skadelig programvare i å sende data til serveren. Derfor må brukeren selv laste opp krypterte filer til Tor-nettverket hvis han har til hensikt å betale løsepengene og vente på dekryptering fra angriperne.
Flere interessante fakta om Nemty tyder på at den ble utviklet av de samme menneskene eller av nettkriminelle assosiert med Buran og GrandCrab.
- I likhet med GandCrab har Nemty et påskeegg – en lenke til et bilde av Russlands president Vladimir Putin med en uanstendig spøk. Den eldre løsepengevaren fra GandCrab hadde et bilde med samme tekst.
- Språkartefaktene til begge programmene peker på de samme russisktalende forfatterne.
- Dette er den første løsepengevaren som bruker en 8092-biters RSA-nøkkel. Selv om det ikke er noen vits i dette: en 1024-bits nøkkel er nok til å beskytte mot hacking.
- I likhet med Buran er løsepengevaren skrevet i Object Pascal og kompilert i Borland Delphi.
Statisk analyse
Utførelse av ondsinnet kode skjer i fire trinn. Det første trinnet er å kjøre cashback.exe, en PE32-kjørbar fil under MS Windows med en størrelse på 1198936 byte. Koden ble skrevet i Visual C++ og kompilert 14. oktober 2013. Den inneholder et arkiv som automatisk pakkes ut når du kjører cashback.exe. Programvaren bruker Cabinet.dll-biblioteket og dets funksjoner FDICreate(), FDIDestroy() og andre for å hente filer fra .cab-arkivet.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Etter utpakking av arkivet vil tre filer vises.
Deretter lanseres temp.exe, en PE32-kjørbar fil under MS Windows med en størrelse på 307200 byte. Koden er skrevet i Visual C++ og pakket med MPRESS-pakker, en pakker som ligner på UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Det neste trinnet er ironman.exe. Når den er lansert, dekrypterer temp.exe de innebygde dataene i temp og gir dem nytt navn til ironman.exe, en kjørbar PE32-fil på 544768 byte. Koden er kompilert i Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Det siste trinnet er å starte ironman.exe-filen på nytt. Ved kjøring transformerer den koden sin og kjører seg selv fra minnet. Denne versjonen av ironman.exe er skadelig og er ansvarlig for kryptering.
Angrepsvektor
For øyeblikket distribueres Nemty løsepengevare gjennom nettstedet pp-back.info.
Hele infeksjonskjeden kan sees på Sandkasse.
Installasjon
Cashback.exe - begynnelsen på angrepet. Som allerede nevnt, pakker cashback.exe ut .cab-filen den inneholder. Den oppretter deretter en mappe TMP4351$.TMP i formen %TEMP%IXxxx.TMP, der xxx er et tall fra 001 til 999.
Deretter installeres en registernøkkel, som ser slik ut:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP"""
Den brukes til å slette utpakkede filer. Til slutt starter cashback.exe temp.exe-prosessen.
Temp.exe er det andre trinnet i infeksjonskjeden
Dette er prosessen som lanseres av filen cashback.exe, det andre trinnet i virusutførelsen. Den prøver å laste ned AutoHotKey, et verktøy for å kjøre skript på Windows, og kjøre WindowSpy.ahk-skriptet som ligger i ressursdelen av PE-filen.
WindowSpy.ahk-skriptet dekrypterer temp-filen i ironman.exe ved å bruke RC4-algoritmen og passordet IwantAcake. Nøkkelen fra passordet er hentet ved hjelp av MD5 hashing-algoritmen.
temp.exe kaller deretter ironman.exe-prosessen.
Ironman.exe - tredje trinn
Ironman.exe leser innholdet i iron.bmp-filen og lager en iron.txt-fil med en kryptolåser som vil bli lansert neste gang.
Etter dette laster viruset iron.txt inn i minnet og starter det på nytt som ironman.exe. Etter dette slettes iron.txt.
ironman.exe er hoveddelen av NEMTY-ransomware, som krypterer filer på den berørte datamaskinen. Skadelig programvare skaper en mutex kalt hat.
Det første den gjør er å bestemme den geografiske plasseringen til datamaskinen. Nemty åpner nettleseren og finner ut IP-en på . På siden [IP]/countryName Landet bestemmes ut fra den mottatte IP-en, og hvis datamaskinen er plassert i en av regionene som er oppført nedenfor, stopper utføringen av skadevarekoden:
- Russland
- Hviterussland
- Ukraina
- Kasakhstan
- Tadsjikistan
Mest sannsynlig ønsker ikke utviklere å tiltrekke seg oppmerksomheten til rettshåndhevelsesbyråer i deres bostedsland, og krypterer derfor ikke filer i deres "hjemme" jurisdiksjoner.
Hvis offerets IP-adresse ikke tilhører listen ovenfor, krypterer viruset brukerens informasjon.
For å forhindre filgjenoppretting slettes skyggekopiene deres:
Den lager deretter en liste over filer og mapper som ikke vil bli kryptert, samt en liste over filutvidelser.
- vinduer
- $ RECYCLE.BIN
- rsa
- NTDETECT.COM
- ntldr
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- Desktop.ini
- CONFIG.SYS
- BOOTSECT.BAK
- Bootmgr
- programdata
- appdata
- osoft
- Vanlige filer
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Obfuskasjon
For å skjule URL-er og innebygde konfigurasjonsdata, bruker Nemty en base64 og RC4-kodingsalgoritme med fuckav-nøkkelordet.
Dekrypteringsprosessen ved hjelp av CryptStringToBinary er som følger
Kryptering
Nemty bruker trelags kryptering:
- AES-128-CBC for filer. 128-biters AES-nøkkelen genereres tilfeldig og brukes på samme måte for alle filer. Den lagres i en konfigurasjonsfil på brukerens datamaskin. IV er tilfeldig generert for hver fil og lagret i en kryptert fil.
- RSA-2048 for filkryptering IV. Et nøkkelpar for økten genereres. Den private nøkkelen for økten lagres i en konfigurasjonsfil på brukerens datamaskin.
- RSA-8192. Den offentlige hovednøkkelen er innebygd i programmet og brukes til å kryptere konfigurasjonsfilen, som lagrer AES-nøkkelen og den hemmelige nøkkelen for RSA-2048-økten.
- Nemty genererer først 32 byte med tilfeldige data. De første 16 bytene brukes som AES-128-CBC-nøkkelen.
Den andre krypteringsalgoritmen er RSA-2048. Nøkkelparet genereres av CryptGenKey()-funksjonen og importeres av CryptImportKey()-funksjonen.
Når nøkkelparet for økten er generert, importeres den offentlige nøkkelen til MS Cryptographic Service Provider.
Et eksempel på en generert offentlig nøkkel for en økt:
Deretter importeres den private nøkkelen til CSP.
Et eksempel på en generert privat nøkkel for en økt:
Og sist kommer RSA-8192. Den offentlige hovednøkkelen er lagret i kryptert form (Base64 + RC4) i .data-delen av PE-filen.
RSA-8192-nøkkelen etter base64-dekoding og RC4-dekryptering med fuckav-passordet ser slik ut.
Som et resultat ser hele krypteringsprosessen slik ut:
- Generer en 128-bits AES-nøkkel som skal brukes til å kryptere alle filer.
- Lag en IV for hver fil.
- Opprette et nøkkelpar for en RSA-2048-økt.
- Dekryptering av en eksisterende RSA-8192-nøkkel ved hjelp av base64 og RC4.
- Krypter filinnhold ved å bruke AES-128-CBC-algoritmen fra første trinn.
- IV-kryptering med RSA-2048 offentlig nøkkel og base64-koding.
- Legge til en kryptert IV på slutten av hver kryptert fil.
- Legge til en AES-nøkkel og en privat RSA-2048-øktnøkkel til konfigurasjonen.
- Konfigurasjonsdata beskrevet i avsnitt om den infiserte datamaskinen er kryptert med den offentlige hovednøkkelen RSA-8192.
- Den krypterte filen ser slik ut:
Eksempel på krypterte filer:
Samle informasjon om den infiserte datamaskinen
Ransomware samler nøkler for å dekryptere infiserte filer, slik at angriperen faktisk kan lage en dekryptering. I tillegg samler Nemty inn brukerdata som brukernavn, datamaskinnavn, maskinvareprofil.
Den kaller funksjonene GetLogicalDrives(), GetFreeSpace(), GetDriveType() for å samle informasjon om stasjonene til den infiserte datamaskinen.
Den innsamlede informasjonen lagres i en konfigurasjonsfil. Etter å ha dekodet strengen, får vi en liste over parametere i konfigurasjonsfilen:
Eksempel på konfigurasjon av en infisert datamaskin:
Konfigurasjonsmalen kan representeres som følger:
{"General": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[Datamaskinnavn]", "Brukernavn":"[Brukernavn]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FilID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty lagrer de innsamlede dataene i JSON-format i filen %USER%/_NEMTY_.nemty. Fil-ID er 7 tegn lang og tilfeldig generert. For eksempel: _NEMTY_tgdLYrd_.nemty. Fil-ID-en er også lagt til på slutten av den krypterte filen.
Løsepengemelding
Etter å ha kryptert filene, vises filen _NEMTY_[FileID]-DECRYPT.txt på skrivebordet med følgende innhold:
På slutten av filen er det kryptert informasjon om den infiserte datamaskinen.
Nettverkskommunikasjon
ironman.exe-prosessen laster ned Tor-nettleserdistribusjonen fra adressen og prøver å installere den.
Nemty prøver deretter å sende konfigurasjonsdata til 127.0.0.1:9050, hvor den forventer å finne en fungerende Tor-nettleserproxy. Som standard lytter imidlertid Tor-proxyen på port 9150, og port 9050 brukes av Tor-demonen på Linux eller Expert Bundle på Windows. Dermed sendes ingen data til angriperens server. I stedet kan brukeren laste ned konfigurasjonsfilen manuelt ved å besøke Tor-dekrypteringstjenesten via lenken gitt i løsepengemeldingen.
Kobler til Tor-proxy:
HTTP GET oppretter en forespørsel til 127.0.0.1:9050/public/gate?data=
Her kan du se de åpne TCP-portene som brukes av TORlocal proxy:
Nemty-dekrypteringstjeneste på Tor-nettverket:
Du kan laste opp et kryptert bilde (jpg, png, bmp) for å teste dekrypteringstjenesten.
Etter dette ber angriperen om å betale løsepenger. Ved manglende betaling dobles prisen.
Konklusjon
For øyeblikket er det ikke mulig å dekryptere filer kryptert av Nemty uten å betale løsepenger. Denne versjonen av løsepengevare har fellestrekk med Buran løsepengevare og den utdaterte GandCrab: samling i Borland Delphi og bilder med samme tekst. I tillegg er dette den første kryptøren som bruker en 8092-bits RSA-nøkkel, noe som igjen ikke gir noen mening, siden en 1024-bits nøkkel er tilstrekkelig for beskyttelse. Til slutt, og interessant nok, prøver den å bruke feil port for den lokale Tor-proxy-tjenesten.
Imidlertid løsninger и hindre Nemty løsepengevare fra å nå bruker-PCer og data, og leverandører kan beskytte sine klienter med . Full gir ikke bare backup, men også beskyttelse ved hjelp av , en spesiell teknologi basert på kunstig intelligens og atferdsheuristikk som lar deg nøytralisere selv ennå ukjent skadelig programvare.
Kilde: www.habr.com