د جعلي PayPal سایټ څخه د Nemty ransomware سره لیدنه وکړئ

د Nemty په نوم یو نوی ransomware په شبکه کې راڅرګند شو، کوم چې ګمان کیږي د ګرانډ کراب یا بران جانشین دی. مالویر په عمده توګه د جعلي PayPal ویب پاڼې څخه ویشل شوی او یو شمیر په زړه پورې ځانګړتیاوې لري. د دې ransomware د کار کولو څرنګوالي په اړه توضیحات د کټ لاندې دي.

نوی Nemty ransomware د کارونکي لخوا کشف شو nao_sec د ۲۰۱۹ کال د سپتمبر ۷ مه مالویر د ویب پاڼې له لارې ویشل شوی و د PayPal په بڼه، دا د ransomware لپاره هم امکان لري چې د RIG استحصال کټ له لارې کمپیوټر ته ننوځي. برید کوونکو د ټولنیز انجینرۍ طریقې کارولې ترڅو کاروونکي د cashback.exe فایل چلولو ته اړ کړي، کوم چې هغه ادعا کوي چې د PayPal ویب پاڼې څخه یې ترلاسه کړی. دا هم د پام وړ خبره ده چې Nemty د محلي پراکسي خدمت Tor لپاره غلط پورټ مشخص کړی، کوم چې د مالویر لیږلو مخه نیسي سرور ته ډاټا. له همدې امله ، کارونکي باید پخپله د تور شبکې ته کوډ شوي فایلونه اپلوډ کړي که چیرې هغه د تاوان تادیه کولو اراده لري او د برید کونکو څخه د کوډ کولو لپاره انتظار باسي.

د نیمټي په اړه ډیری په زړه پوري حقایق وړاندیز کوي چې دا د ورته خلکو لخوا رامینځته شوی یا د سایبر جنایتکارانو لخوا چې د بران او ګرانډ کراب سره تړاو لري.

• د ګنډ کراب په څیر، نیمټي د ایسټر هګۍ لري - د روسیې د ولسمشر ولادیمیر پوتین عکس ته د فحش ټوکې سره لینک. میراثي GandCrab ransomware د ورته متن سره عکس درلود.
• د دواړو پروګرامونو ژبې اثار د ورته روسي ژبو لیکوالانو ته اشاره کوي.
• دا لومړی ransomware دی چې د 8092-bit RSA کیلي کاروي. که څه هم پدې کې هیڅ معنی نشته: د 1024-bit کیلي د هیک کولو پروړاندې د ساتنې لپاره کافي ده.
• د بران په څیر، ransomware په آبجیکٹ پاسکل کې لیکل شوی او په بورلینډ ډیلفي کې تالیف شوی.

جامد تحلیل

د ناوړه کوډ اجرا کول په څلورو مرحلو کې واقع کیږي. لومړی ګام د cashback.exe چلول دي، د PE32 اجرا وړ فایل د MS وینډوز لاندې د 1198936 بایټ اندازه سره. د دې کوډ په بصری C++ کې لیکل شوی او د اکتوبر په 14، 2013 کې تالیف شوی. دا یو آرشیف لري چې په اتوماتيک ډول خلاصیږي کله چې تاسو cashback.exe چلوئ. سافټویر د Cabinet.dll کتابتون او د هغې دندې FDICreate() FDIDestroy() او نور کاروي ترڅو د .cab آرشیف څخه فایلونه ترلاسه کړي.

SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

د آرشیف خلاصولو وروسته، درې فایلونه به ښکاره شي.

بیا، temp.exe پیل شوی، د 32 بایټ اندازه سره د MS وینډوز لاندې د PE307200 اجرا وړ فایل. کوډ په بصری C++ کې لیکل شوی او د MPRESS پیکر سره بسته شوی، یو پیکر چې UPX ته ورته دی.

SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD

بل ګام ironman.exe دی. یوځل چې پیل شو، temp.exe ایمبیډ شوي ډیټا په temp کې ډیکریپټ کوي او ironman.exe ته یې نوم ورکوي، د 32 بایټ PE544768 اجرا وړ فایل. کوډ په بورلینډ ډیلفي کې تالیف شوی.

SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

وروستی ګام د ironman.exe فایل بیا پیل کول دي. د چلولو په وخت کې، دا خپل کوډ بدلوي او د حافظې څخه ځان چلوي. د ironman.exe دا نسخه ناوړه ده او د کوډ کولو مسولیت لري.

د برید ویکتور

اوس مهال، د Nemty ransomware د ویب پاڼې pp-back.info له لارې ویشل کیږي.

د انفیکشن بشپړ سلسله په کې لیدل کیدی شي app.any.run شګه بکس.

د جوړولو

Cashback.exe - د برید پیل. لکه څنګه چې مخکې یادونه وشوه، cashback.exe د .cab فایل خلاصوي چې پکې شامل دي. دا بیا د %TEMP%IXxxx.TMP فورمه TMP4351$.TMP فولډر جوړوي، چیرته چې xxx د 001 څخه تر 999 پورې شمیره ده.

بیا ، د راجسټری کیلي نصب شوې ، کوم چې داسې ښکاري:

[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""

دا د نه بسته شوي فایلونو حذف کولو لپاره کارول کیږي. په نهایت کې ، cashback.exe د temp.exe پروسه پیل کوي.

Temp.exe د انفیکشن سلسله دوهمه مرحله ده

دا هغه پروسه ده چې د cashback.exe فایل لخوا پیل شوې، د ویروس اجرا کولو دوهم ګام. دا هڅه کوي AutoHotKey ډاونلوډ کړي، په وینډوز کې د سکریپټونو چلولو وسیله، او د WindowSpy.ahk سکریپټ چلوي چې د PE فایل د سرچینو برخه کې موقعیت لري.

د WindowSpy.ahk سکریپټ د RC4 الګوریتم او پاسورډ IwantAcake په کارولو سره په ironman.exe کې د temp فایل ډیکریټ کوي. د پټنوم څخه کیلي د MD5 هیشینګ الګوریتم په کارولو سره ترلاسه کیږي.

temp.exe بیا ironman.exe پروسې ته زنګ ووهي.

Ironman.exe - دریم ګام

Ironman.exe د iron.bmp فایل مینځپانګه لولي او د کریپټولاکر سره د iron.txt فایل رامینځته کوي چې وروسته به پیل شي.

له دې وروسته، ویروس iron.txt په حافظه کې باروي او د ironman.exe په توګه یې بیا پیلوي. له دې وروسته، iron.txt ړنګ شوی.

ironman.exe د NEMTY ransomware اصلي برخه ده، کوم چې په اغیزمن شوي کمپیوټر کې فایلونه کوډ کوي. مالویر د نفرت په نوم یو میټیکس رامینځته کوي.

لومړی شی چې دا کوي د کمپیوټر جغرافیایی موقعیت ټاکي. Nemty براوزر خلاصوي او IP یې موندلی http://api.ipify.org. په سایټ کې api.db-ip.com/v2/free[IP]/countryName هیواد د ترلاسه شوي IP څخه ټاکل کیږي، او که چیرې کمپیوټر په لاندې لیست شویو سیمو کې موقعیت ولري، د مالویر کوډ اجرا کول ودریږي:

• روسیه
• بیلاروس
• د اوکراین
• قزاقستان
• تاجکستان

ډیری احتمال، پراختیا کونکي نه غواړي د دوی د استوګنې هیوادونو کې د قانون پلي کونکو ادارو پاملرنه راجلب کړي، او له همدې امله د دوی "کور" صالحیتونو کې فایلونه کوډ نه کوي.

که چیرې د قرباني IP پته د پورته لیست سره تړاو ونلري، نو ویروس د کارونکي معلومات کوډ کوي.

د فایل د بیرته راګرځیدو مخنیوي لپاره، د دوی سیوري کاپي ړنګ شوي:

دا بیا د فایلونو او فولډرو لیست رامینځته کوي چې کوډ شوی نه وي ، په بیله بیا د فایل توسیع لیست.

• کړکۍ
• $RECYCLE.BIN
• rsa
• NTDETECT.COM
• etc
• MSDOS.SYS
• IO.SYS
• boot.ini AUTOEXEC.BAT ntuser.dat
• ډېسکټاپ
• SYS CONFIG.
• BOOTSECT.BAK
• بوټمګر
• د پروګرام ډاټا
• اپټاټا
• osoft
• عام فایلونه

log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY 

ګډوډي

د URLs او ایمبیډ شوي تشکیلاتو ډیټا پټولو لپاره ، Nemty د fuckav کلیدي کلمې سره base64 او RC4 کوډ کولو الګوریتم کاروي.

د CryptStringToBinary په کارولو سره د کوډ کولو پروسه په لاندې ډول ده

کوډ ورکول

Nemty درې پرت کوډونه کاروي:

• AES-128-CBC د فایلونو لپاره. د 128-bit AES کیلي په تصادفي ډول رامینځته کیږي او د ټولو فایلونو لپاره ورته کارول کیږي. دا د کارونکي کمپیوټر کې د ترتیب کولو فایل کې زیرمه شوی. IV په تصادفي ډول د هرې فایل لپاره رامینځته کیږي او په کوډ شوي فایل کې زیرمه کیږي.
• RSA-2048 د فایل کوډ کولو لپاره IV. د غونډې لپاره کلیدي جوړه جوړه شوې. د ناستې لپاره شخصي کیلي د کارونکي کمپیوټر کې د ترتیب کولو فایل کې زیرمه کیږي.
• RSA-8192. ماسټر عامه کیلي په برنامه کې رامینځته شوې او د ترتیب فایل کوډ کولو لپاره کارول کیږي ، کوم چې د RSA-2048 ناستې لپاره د AES کیلي او پټ کیلي ذخیره کوي.
• Nemty لومړی د تصادفي معلوماتو 32 بایټ تولیدوي. لومړی 16 بایټونه د AES-128-CBC کیلي په توګه کارول کیږي.

د کوډ کولو دوهم الګوریتم RSA-2048 دی. کلیدي جوړه د CryptGenKey () فنکشن لخوا رامینځته کیږي او د CryptImportKey () فنکشن لخوا وارد شوي.

یوځل چې د غونډې لپاره کلیدي جوړه رامینځته شي ، عامه کیلي د MS کریپټوګرافیک خدماتو چمتو کونکي ته واردیږي.

د غونډې لپاره د تولید شوي عامه کیلي بیلګه:

بیا، شخصي کیلي په CSP کې واردیږي.

د ناستې لپاره د تولید شوي شخصي کیلي بیلګه:

او وروستی راځي RSA-8192. اصلي عامه کیلي په کوډ شوي بڼه (Base64 + RC4) کې د PE فایل .data برخه کې زیرمه شوې.

د RSA-8192 کیلي د بیس64 ډیکوډینګ او RC4 ډیکریپشن وروسته د fuckav پاسورډ سره داسې ښکاري.

د پایلې په توګه، د کوډ کولو ټوله پروسه داسې ښکاري:

• د 128-bit AES کیلي رامینځته کړئ چې د ټولو فایلونو کوډ کولو لپاره به وکارول شي.
• د هرې فایل لپاره IV جوړ کړئ.
• د RSA-2048 ناستې لپاره کلیدي جوړه رامینځته کول.
• د بیس8192 او RC64 په کارولو سره د موجوده RSA-4 کیلي ډیکریپشن.
• د لومړي ګام څخه د AES-128-CBC الګوریتم په کارولو سره د فایل مینځپانګې کوډ کړئ.
• IV کوډ کول د RSA-2048 عامه کیلي او بیس64 کوډ کولو په کارولو سره.
• د هر کوډ شوي فایل پای ته د کوډ شوي IV اضافه کول.
• ترتیب ته د AES کیلي او RSA-2048 سیشن شخصي کیلي اضافه کول.
• د ترتیب کولو ډاټا په برخه کې تشریح شوې د معلوماتو راټولول د اخته شوي کمپیوټر په اړه د اصلي عامه کیلي RSA-8192 په کارولو سره کوډ شوي دي.
• کوډ شوی فایل داسې ښکاري:

د کوډ شوي فایلونو بیلګه:

د اخته شوي کمپیوټر په اړه د معلوماتو راټولول

ransomware د اخته شوي فایلونو د کوډ کولو لپاره کلیدونه راټولوي، نو برید کونکی کولی شي واقعیا یو ډیکریپټر رامینځته کړي. سربیره پردې ، Nemty د کارونکي ډیټا راټولوي لکه د کارن نوم ، کمپیوټر نوم ، هارډویر پروفایل.

دا د GetLogicalDrives()، GetFreeSpace()، GetDriveType() فنکشنونو ته غږ کوي ترڅو د اخته شوي کمپیوټر ډرایو په اړه معلومات راټول کړي.

راټول شوي معلومات د ترتیب کولو فایل کې زیرمه شوي. د تار ډیکوډ کولو سره، موږ د ترتیب کولو فایل کې د پیرامیټونو لیست ترلاسه کوو:

د اخته شوي کمپیوټر د ترتیب بیلګه:

د ترتیب کولو ټیمپلیټ په لاندې ډول ښودل کیدی شي:

{"عمومي": {"IP":"[IP]"، "Country":"[Country]، "ComputerName":"[ComputerName]"، "کارن نوم":"[کارن نوم]، "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]"، "key":"[key]"، "pr_key":"[pr_key]

Nemty راټول شوي معلومات د JSON بڼه کې په %USER%/_NEMTY_.nemty فایل کې ذخیره کوي. FileID 7 حروف اوږد دی او په تصادفي توګه تولید شوی. د مثال په توګه: _NEMTY_tgdLYrd_.nemty. د فایل ID د کوډ شوي فایل په پای کې هم ضمیمه شوی.

د تاوان پیغام

د فایلونو د کوډ کولو وروسته، فایل _NEMTY_[FileID]-DECRYPT.txt په ډیسټاپ کې د لاندې مینځپانګې سره څرګندیږي:

د فایل په پای کې د اخته شوي کمپیوټر په اړه کوډ شوي معلومات شتون لري.

د شبکې ارتباط

ironman.exe پروسه د آدرس څخه د تور براوزر توزیع ډاونلوډ کوي https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip او د نصبولو هڅه کوي.

Nemty بیا هڅه کوي د ترتیب کولو ډاټا 127.0.0.1:9050 ته واستوي، چیرته چې دا تمه لري چې د کار تور براوزر پراکسي ومومي. په هرصورت، په ډیفالټ ډول د تور پراکسي په پورټ 9150 کې اوري، او پورټ 9050 د تور ډیمون لخوا په لینکس کې یا په وینډوز کې د متخصص بنډل لخوا کارول کیږي. په دې توګه، د برید کونکي سرور ته هیڅ معلومات نه لیږل کیږي. پرځای یې، کاروونکي کولی شي د کنفیګریشن فایل په لاسي ډول ډاونلوډ کړي د تور ډیکریپشن خدمت ته د تاوان پیغام کې چمتو شوي لینک له لارې.

د تور پراکسي سره نښلول:

HTTP GET 127.0.0.1:9050/public/gate?data= ته یوه غوښتنه رامینځته کوي

دلته تاسو کولی شئ خلاص TCP بندرونه وګورئ چې د TORlocal پراکسي لخوا کارول کیږي:

په تور شبکه کې د Nemty ډیکریپشن خدمت:

تاسو کولی شئ د کوډ شوي عکس اپلوډ کړئ (jpg, png, bmp) د کوډ کولو خدمت ازموینې لپاره.

له دې وروسته، بریدګر د پیسو ورکولو غوښتنه کوي. د نه ورکولو په صورت کې نرخ دوه چنده کیږي.

پایلې

په اوس وخت کې ، د تاوان تادیه کولو پرته د Nemty لخوا کوډ شوي فایلونه کوډ کول ممکن ندي. د ransomware دا نسخه د Buran ransomware او زاړه GandCrab سره ګډې ځانګړتیاوې لري: په بورلینډ ډیلفي کې تالیف او د ورته متن سره عکسونه. سربیره پردې ، دا لومړی کوډ کونکی دی چې د 8092-bit RSA کیلي کاروي ، کوم چې بیا هیڅ معنی نلري ، ځکه چې د 1024-bit کیلي د ساتنې لپاره کافي ده. په پای کې، او په زړه پورې، دا هڅه کوي د محلي تور پراکسي خدمت لپاره غلط بندر وکاروي.

په هرصورت، د حل لارې Acronis بیک اپ и رښتیني انځور رښتیا انځور د Nemty ransomware د کاروونکو کمپیوټرونو او ډیټا ته د رسیدو مخه نیسي ، او چمتو کونکي کولی شي خپل پیرودونکي د دې سره خوندي کړي اکرونیس بیک اپ کلاوډ... ډک د سایبر محافظت نه یوازې بیک اپ چمتو کوي ، بلکه د کارولو محافظت هم Acronis فعال محافظت، د مصنوعي هوښیارتیا او چلند چلند پراساس یوه ځانګړې ټیکنالوژي چې تاسو ته اجازه درکوي حتی نامعلوم مالویر بې طرفه کړئ.

سرچینه: www.habr.com