د Nemty په نوم یو نوی ransomware په شبکه کې راڅرګند شو، کوم چې ګمان کیږي د ګرانډ کراب یا بران جانشین دی. مالویر په عمده توګه د جعلي PayPal ویب پاڼې څخه ویشل شوی او یو شمیر په زړه پورې ځانګړتیاوې لري. د دې ransomware د کار کولو څرنګوالي په اړه توضیحات د کټ لاندې دي.
نوی Nemty ransomware د کارونکي لخوا کشف شو
د نیمټي په اړه ډیری په زړه پوري حقایق وړاندیز کوي چې دا د ورته خلکو لخوا رامینځته شوی یا د سایبر جنایتکارانو لخوا چې د بران او ګرانډ کراب سره تړاو لري.
- د ګنډ کراب په څیر، نیمټي د ایسټر هګۍ لري - د روسیې د ولسمشر ولادیمیر پوتین عکس ته د فحش ټوکې سره لینک. میراثي GandCrab ransomware د ورته متن سره عکس درلود.
- د دواړو پروګرامونو ژبې اثار د ورته روسي ژبو لیکوالانو ته اشاره کوي.
- دا لومړی ransomware دی چې د 8092-bit RSA کیلي کاروي. که څه هم پدې کې هیڅ معنی نشته: د 1024-bit کیلي د هیک کولو پروړاندې د ساتنې لپاره کافي ده.
- د بران په څیر، ransomware په آبجیکٹ پاسکل کې لیکل شوی او په بورلینډ ډیلفي کې تالیف شوی.
جامد تحلیل
د ناوړه کوډ اجرا کول په څلورو مرحلو کې واقع کیږي. لومړی ګام د cashback.exe چلول دي، د PE32 اجرا وړ فایل د MS وینډوز لاندې د 1198936 بایټ اندازه سره. د دې کوډ په بصری C++ کې لیکل شوی او د اکتوبر په 14، 2013 کې تالیف شوی. دا یو آرشیف لري چې په اتوماتيک ډول خلاصیږي کله چې تاسو cashback.exe چلوئ. سافټویر د Cabinet.dll کتابتون او د هغې دندې FDICreate() FDIDestroy() او نور کاروي ترڅو د .cab آرشیف څخه فایلونه ترلاسه کړي.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
د آرشیف خلاصولو وروسته، درې فایلونه به ښکاره شي.
بیا، temp.exe پیل شوی، د 32 بایټ اندازه سره د MS وینډوز لاندې د PE307200 اجرا وړ فایل. کوډ په بصری C++ کې لیکل شوی او د MPRESS پیکر سره بسته شوی، یو پیکر چې UPX ته ورته دی.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
بل ګام ironman.exe دی. یوځل چې پیل شو، temp.exe ایمبیډ شوي ډیټا په temp کې ډیکریپټ کوي او ironman.exe ته یې نوم ورکوي، د 32 بایټ PE544768 اجرا وړ فایل. کوډ په بورلینډ ډیلفي کې تالیف شوی.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
وروستی ګام د ironman.exe فایل بیا پیل کول دي. د چلولو په وخت کې، دا خپل کوډ بدلوي او د حافظې څخه ځان چلوي. د ironman.exe دا نسخه ناوړه ده او د کوډ کولو مسولیت لري.
د برید ویکتور
اوس مهال، د Nemty ransomware د ویب پاڼې pp-back.info له لارې ویشل کیږي.
د انفیکشن بشپړ سلسله په کې لیدل کیدی شي
د جوړولو
Cashback.exe - د برید پیل. لکه څنګه چې مخکې یادونه وشوه، cashback.exe د .cab فایل خلاصوي چې پکې شامل دي. دا بیا د %TEMP%IXxxx.TMP فورمه TMP4351$.TMP فولډر جوړوي، چیرته چې xxx د 001 څخه تر 999 پورې شمیره ده.
بیا ، د راجسټری کیلي نصب شوې ، کوم چې داسې ښکاري:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
دا د نه بسته شوي فایلونو حذف کولو لپاره کارول کیږي. په نهایت کې ، cashback.exe د temp.exe پروسه پیل کوي.
Temp.exe د انفیکشن سلسله دوهمه مرحله ده
دا هغه پروسه ده چې د cashback.exe فایل لخوا پیل شوې، د ویروس اجرا کولو دوهم ګام. دا هڅه کوي AutoHotKey ډاونلوډ کړي، په وینډوز کې د سکریپټونو چلولو وسیله، او د WindowSpy.ahk سکریپټ چلوي چې د PE فایل د سرچینو برخه کې موقعیت لري.
د WindowSpy.ahk سکریپټ د RC4 الګوریتم او پاسورډ IwantAcake په کارولو سره په ironman.exe کې د temp فایل ډیکریټ کوي. د پټنوم څخه کیلي د MD5 هیشینګ الګوریتم په کارولو سره ترلاسه کیږي.
temp.exe بیا ironman.exe پروسې ته زنګ ووهي.
Ironman.exe - دریم ګام
Ironman.exe د iron.bmp فایل مینځپانګه لولي او د کریپټولاکر سره د iron.txt فایل رامینځته کوي چې وروسته به پیل شي.
له دې وروسته، ویروس iron.txt په حافظه کې باروي او د ironman.exe په توګه یې بیا پیلوي. له دې وروسته، iron.txt ړنګ شوی.
ironman.exe د NEMTY ransomware اصلي برخه ده، کوم چې په اغیزمن شوي کمپیوټر کې فایلونه کوډ کوي. مالویر د نفرت په نوم یو میټیکس رامینځته کوي.
لومړی شی چې دا کوي د کمپیوټر جغرافیایی موقعیت ټاکي. Nemty براوزر خلاصوي او IP یې موندلی
- روسیه
- بیلاروس
- د اوکراین
- قزاقستان
- تاجکستان
ډیری احتمال، پراختیا کونکي نه غواړي د دوی د استوګنې هیوادونو کې د قانون پلي کونکو ادارو پاملرنه راجلب کړي، او له همدې امله د دوی "کور" صالحیتونو کې فایلونه کوډ نه کوي.
که چیرې د قرباني IP پته د پورته لیست سره تړاو ونلري، نو ویروس د کارونکي معلومات کوډ کوي.
د فایل د بیرته راګرځیدو مخنیوي لپاره، د دوی سیوري کاپي ړنګ شوي:
دا بیا د فایلونو او فولډرو لیست رامینځته کوي چې کوډ شوی نه وي ، په بیله بیا د فایل توسیع لیست.
- کړکۍ
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- etc
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- ډېسکټاپ
- SYS CONFIG.
- BOOTSECT.BAK
- بوټمګر
- د پروګرام ډاټا
- اپټاټا
- osoft
- عام فایلونه
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
ګډوډي
د URLs او ایمبیډ شوي تشکیلاتو ډیټا پټولو لپاره ، Nemty د fuckav کلیدي کلمې سره base64 او RC4 کوډ کولو الګوریتم کاروي.
د CryptStringToBinary په کارولو سره د کوډ کولو پروسه په لاندې ډول ده
کوډ ورکول
Nemty درې پرت کوډونه کاروي:
- AES-128-CBC د فایلونو لپاره. د 128-bit AES کیلي په تصادفي ډول رامینځته کیږي او د ټولو فایلونو لپاره ورته کارول کیږي. دا د کارونکي کمپیوټر کې د ترتیب کولو فایل کې زیرمه شوی. IV په تصادفي ډول د هرې فایل لپاره رامینځته کیږي او په کوډ شوي فایل کې زیرمه کیږي.
- RSA-2048 د فایل کوډ کولو لپاره IV. د غونډې لپاره کلیدي جوړه جوړه شوې. د ناستې لپاره شخصي کیلي د کارونکي کمپیوټر کې د ترتیب کولو فایل کې زیرمه کیږي.
- RSA-8192. ماسټر عامه کیلي په برنامه کې رامینځته شوې او د ترتیب فایل کوډ کولو لپاره کارول کیږي ، کوم چې د RSA-2048 ناستې لپاره د AES کیلي او پټ کیلي ذخیره کوي.
- Nemty لومړی د تصادفي معلوماتو 32 بایټ تولیدوي. لومړی 16 بایټونه د AES-128-CBC کیلي په توګه کارول کیږي.
د کوډ کولو دوهم الګوریتم RSA-2048 دی. کلیدي جوړه د CryptGenKey () فنکشن لخوا رامینځته کیږي او د CryptImportKey () فنکشن لخوا وارد شوي.
یوځل چې د غونډې لپاره کلیدي جوړه رامینځته شي ، عامه کیلي د MS کریپټوګرافیک خدماتو چمتو کونکي ته واردیږي.
د غونډې لپاره د تولید شوي عامه کیلي بیلګه:
بیا، شخصي کیلي په CSP کې واردیږي.
د ناستې لپاره د تولید شوي شخصي کیلي بیلګه:
او وروستی راځي RSA-8192. اصلي عامه کیلي په کوډ شوي بڼه (Base64 + RC4) کې د PE فایل .data برخه کې زیرمه شوې.
د RSA-8192 کیلي د بیس64 ډیکوډینګ او RC4 ډیکریپشن وروسته د fuckav پاسورډ سره داسې ښکاري.
د پایلې په توګه، د کوډ کولو ټوله پروسه داسې ښکاري:
- د 128-bit AES کیلي رامینځته کړئ چې د ټولو فایلونو کوډ کولو لپاره به وکارول شي.
- د هرې فایل لپاره IV جوړ کړئ.
- د RSA-2048 ناستې لپاره کلیدي جوړه رامینځته کول.
- د بیس8192 او RC64 په کارولو سره د موجوده RSA-4 کیلي ډیکریپشن.
- د لومړي ګام څخه د AES-128-CBC الګوریتم په کارولو سره د فایل مینځپانګې کوډ کړئ.
- IV کوډ کول د RSA-2048 عامه کیلي او بیس64 کوډ کولو په کارولو سره.
- د هر کوډ شوي فایل پای ته د کوډ شوي IV اضافه کول.
- ترتیب ته د AES کیلي او RSA-2048 سیشن شخصي کیلي اضافه کول.
- د ترتیب کولو ډاټا په برخه کې تشریح شوې
د معلوماتو راټولول د اخته شوي کمپیوټر په اړه د اصلي عامه کیلي RSA-8192 په کارولو سره کوډ شوي دي. - کوډ شوی فایل داسې ښکاري:
د کوډ شوي فایلونو بیلګه:
د اخته شوي کمپیوټر په اړه د معلوماتو راټولول
ransomware د اخته شوي فایلونو د کوډ کولو لپاره کلیدونه راټولوي، نو برید کونکی کولی شي واقعیا یو ډیکریپټر رامینځته کړي. سربیره پردې ، Nemty د کارونکي ډیټا راټولوي لکه د کارن نوم ، کمپیوټر نوم ، هارډویر پروفایل.
دا د GetLogicalDrives()، GetFreeSpace()، GetDriveType() فنکشنونو ته غږ کوي ترڅو د اخته شوي کمپیوټر ډرایو په اړه معلومات راټول کړي.
راټول شوي معلومات د ترتیب کولو فایل کې زیرمه شوي. د تار ډیکوډ کولو سره، موږ د ترتیب کولو فایل کې د پیرامیټونو لیست ترلاسه کوو:
د اخته شوي کمپیوټر د ترتیب بیلګه:
د ترتیب کولو ټیمپلیټ په لاندې ډول ښودل کیدی شي:
{"عمومي": {"IP":"[IP]"، "Country":"[Country]، "ComputerName":"[ComputerName]"، "کارن نوم":"[کارن نوم]، "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]"، "key":"[key]"، "pr_key":"[pr_key]
Nemty راټول شوي معلومات د JSON بڼه کې په %USER%/_NEMTY_.nemty فایل کې ذخیره کوي. FileID 7 حروف اوږد دی او په تصادفي توګه تولید شوی. د مثال په توګه: _NEMTY_tgdLYrd_.nemty. د فایل ID د کوډ شوي فایل په پای کې هم ضمیمه شوی.
د تاوان پیغام
د فایلونو د کوډ کولو وروسته، فایل _NEMTY_[FileID]-DECRYPT.txt په ډیسټاپ کې د لاندې مینځپانګې سره څرګندیږي:
د فایل په پای کې د اخته شوي کمپیوټر په اړه کوډ شوي معلومات شتون لري.
د شبکې ارتباط
ironman.exe پروسه د آدرس څخه د تور براوزر توزیع ډاونلوډ کوي
Nemty بیا هڅه کوي د ترتیب کولو ډاټا 127.0.0.1:9050 ته واستوي، چیرته چې دا تمه لري چې د کار تور براوزر پراکسي ومومي. په هرصورت، په ډیفالټ ډول د تور پراکسي په پورټ 9150 کې اوري، او پورټ 9050 د تور ډیمون لخوا په لینکس کې یا په وینډوز کې د متخصص بنډل لخوا کارول کیږي. په دې توګه، د برید کونکي سرور ته هیڅ معلومات نه لیږل کیږي. پرځای یې، کاروونکي کولی شي د کنفیګریشن فایل په لاسي ډول ډاونلوډ کړي د تور ډیکریپشن خدمت ته د تاوان پیغام کې چمتو شوي لینک له لارې.
د تور پراکسي سره نښلول:
HTTP GET 127.0.0.1:9050/public/gate?data= ته یوه غوښتنه رامینځته کوي
دلته تاسو کولی شئ خلاص TCP بندرونه وګورئ چې د TORlocal پراکسي لخوا کارول کیږي:
په تور شبکه کې د Nemty ډیکریپشن خدمت:
تاسو کولی شئ د کوډ شوي عکس اپلوډ کړئ (jpg, png, bmp) د کوډ کولو خدمت ازموینې لپاره.
له دې وروسته، بریدګر د پیسو ورکولو غوښتنه کوي. د نه ورکولو په صورت کې نرخ دوه چنده کیږي.
پایلې
په اوس وخت کې ، د تاوان تادیه کولو پرته د Nemty لخوا کوډ شوي فایلونه کوډ کول ممکن ندي. د ransomware دا نسخه د Buran ransomware او زاړه GandCrab سره ګډې ځانګړتیاوې لري: په بورلینډ ډیلفي کې تالیف او د ورته متن سره عکسونه. سربیره پردې ، دا لومړی کوډ کونکی دی چې د 8092-bit RSA کیلي کاروي ، کوم چې بیا هیڅ معنی نلري ، ځکه چې د 1024-bit کیلي د ساتنې لپاره کافي ده. په پای کې، او په زړه پورې، دا هڅه کوي د محلي تور پراکسي خدمت لپاره غلط بندر وکاروي.
په هرصورت، د حل لارې
سرچینه: www.habr.com