Un nou ransomware numit Nemty a apărut în rețea, care se presupune că este succesorul lui GrandCrab sau Buran. Malware-ul este distribuit în principal de pe site-ul fals PayPal și are o serie de caracteristici interesante. Detaliile despre modul în care funcționează acest ransomware sunt în continuare.
Un nou ransomware Nemty a fost descoperit de utilizator 7 septembrie 2019. Malware-ul a fost distribuit printr-un site web , este, de asemenea, posibil ca ransomware-ul să pătrundă într-un computer prin trusa de exploatare RIG. Atacatorii au folosit metode de inginerie socială pentru a forța utilizatorul să ruleze fișierul cashback.exe, pe care ar fi primit-o de pe site-ul PayPal.De asemenea, este curios că Nemty a specificat portul greșit pentru serviciul proxy local Tor, care împiedică trimiterea malware-ului. date către server. Prin urmare, utilizatorul va trebui să încarce el însuși fișiere criptate în rețeaua Tor dacă intenționează să plătească răscumpărarea și să aștepte decriptarea de la atacatori.
Mai multe fapte interesante despre Nemty sugerează că a fost dezvoltat de aceiași oameni sau de infractorii cibernetici asociați cu Buran și GrandCrab.
- La fel ca GandCrab, Nemty are un ou de Paște - un link către o fotografie a președintelui rus Vladimir Putin cu o glumă obscenă. Moștenirea ransomware GandCrab avea o imagine cu același text.
- Artefactele lingvistice ale ambelor programe indică aceiași autori vorbitori de limbă rusă.
- Acesta este primul ransomware care folosește o cheie RSA de 8092 de biți. Deși nu are rost în asta: o cheie de 1024 de biți este suficientă pentru a proteja împotriva hackingului.
- La fel ca Buran, ransomware-ul este scris în Object Pascal și compilat în Borland Delphi.
Analiza statica
Executarea codului rău intenționat are loc în patru etape. Primul pas este să rulați cashback.exe, un fișier executabil PE32 sub MS Windows cu o dimensiune de 1198936 de octeți. Codul său a fost scris în Visual C++ și compilat pe 14 octombrie 2013. Conține o arhivă care este dezambalată automat atunci când rulați cashback.exe. Software-ul folosește biblioteca Cabinet.dll și funcțiile sale FDICreate(), FDIDestroy() și altele pentru a obține fișiere din arhiva .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
După despachetarea arhivei, vor apărea trei fișiere.
În continuare, este lansat temp.exe, un fișier executabil PE32 sub MS Windows cu o dimensiune de 307200 de octeți. Codul este scris în Visual C++ și împachetat cu MPRESS packer, un packer similar cu UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Următorul pas este ironman.exe. Odată lansat, temp.exe decriptează datele încorporate în temp și le redenumește în ironman.exe, un fișier executabil PE32 de 544768 de octeți. Codul este compilat în Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Ultimul pas este să reporniți fișierul ironman.exe. În timpul rulării, își transformă codul și rulează singur din memorie. Această versiune de ironman.exe este rău intenționată și este responsabilă pentru criptare.
Vector de atac
În prezent, ransomware-ul Nemty este distribuit prin site-ul web pp-back.info.
Lanțul complet de infecție poate fi vizualizat la nisip.
Instalare
Cashback.exe - începutul atacului. După cum sa menționat deja, cashback.exe despachetează fișierul .cab pe care îl conține. Apoi creează un folder TMP4351$.TMP de forma %TEMP%IXxxx.TMP, unde xxx este un număr de la 001 la 999.
Apoi, este instalată o cheie de registry, care arată astfel:
„rundll32.exe” „C:Windowssystem32advpack.dll, DelNodeRunDLL32 „C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Este folosit pentru a șterge fișierele despachetate. În cele din urmă, cashback.exe pornește procesul temp.exe.
Temp.exe este a doua etapă a lanțului de infecție
Acesta este procesul lansat de fișierul cashback.exe, al doilea pas al execuției virusului. Încearcă să descarce AutoHotKey, un instrument pentru rularea scripturilor pe Windows și să ruleze scriptul WindowSpy.ahk situat în secțiunea de resurse a fișierului PE.
Scriptul WindowSpy.ahk decriptează fișierul temporar din ironman.exe folosind algoritmul RC4 și parola IwantAcake. Cheia de la parolă este obținută folosind algoritmul de hashing MD5.
temp.exe apelează apoi procesul ironman.exe.
Ironman.exe - al treilea pas
Ironman.exe citește conținutul fișierului iron.bmp și creează un fișier iron.txt cu un cryptolocker care va fi lansat în continuare.
După aceasta, virusul încarcă iron.txt în memorie și îl repornește ca ironman.exe. După aceasta, iron.txt este șters.
ironman.exe este partea principală a ransomware-ului NEMTY, care criptează fișierele de pe computerul afectat. Programele malware creează un mutex numit ură.
Primul lucru pe care îl face este să determine locația geografică a computerului. Nemty deschide browserul și află IP-ul pe . Pe net [IP]/countryName Țara este determinată din IP-ul primit, iar dacă computerul se află într-una dintre regiunile enumerate mai jos, execuția codului malware se oprește:
- Rusia
- Bielorusia
- Ucraina
- Kazahstan
- Tadjikistan
Cel mai probabil, dezvoltatorii nu doresc să atragă atenția agențiilor de aplicare a legii din țările lor de reședință și, prin urmare, nu criptează fișierele în jurisdicțiile lor „de origine”.
Dacă adresa IP a victimei nu aparține listei de mai sus, atunci virusul criptează informațiile utilizatorului.
Pentru a preveni recuperarea fișierelor, copiile umbră ale acestora sunt șterse:
Apoi creează o listă de fișiere și foldere care nu vor fi criptate, precum și o listă de extensii de fișiere.
- ferestre
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- NTLDR
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- Desktop.ini
- CONFIG.SYS
- BOOTSECT.BAK
- Bootmgr
- datele programului
- datele aplicatiei
- osoft
- Fisiere comune
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Confuzie
Pentru a ascunde adresele URL și datele de configurare încorporate, Nemty folosește un algoritm de codare base64 și RC4 cu cuvântul cheie fuckav.
Procesul de decriptare folosind CryptStringToBinary este următorul
Criptare
Nemty folosește criptarea pe trei straturi:
- AES-128-CBC pentru fișiere. Cheia AES pe 128 de biți este generată aleatoriu și este utilizată la fel pentru toate fișierele. Este stocat într-un fișier de configurare pe computerul utilizatorului. IV-ul este generat aleatoriu pentru fiecare fișier și stocat într-un fișier criptat.
- RSA-2048 pentru criptarea fișierelor IV. Se generează o pereche de chei pentru sesiune. Cheia privată pentru sesiune este stocată într-un fișier de configurare pe computerul utilizatorului.
- RSA-8192. Cheia publică principală este încorporată în program și este utilizată pentru a cripta fișierul de configurare, care stochează cheia AES și cheia secretă pentru sesiunea RSA-2048.
- Nemty generează mai întâi 32 de octeți de date aleatorii. Primii 16 octeți sunt utilizați ca cheie AES-128-CBC.
Al doilea algoritm de criptare este RSA-2048. Perechea de chei este generată de funcția CryptGenKey() și importată de funcția CryptImportKey().
Odată ce perechea de chei pentru sesiune este generată, cheia publică este importată în Furnizorul de servicii criptografice MS.
Un exemplu de cheie publică generată pentru o sesiune:
Apoi, cheia privată este importată în CSP.
Un exemplu de cheie privată generată pentru o sesiune:
Și ultimul vine RSA-8192. Cheia publică principală este stocată în formă criptată (Base64 + RC4) în secțiunea .data a fișierului PE.
Cheia RSA-8192 după decodarea base64 și decriptarea RC4 cu parola fuckav arată așa.
Ca rezultat, întregul proces de criptare arată astfel:
- Generați o cheie AES de 128 de biți care va fi folosită pentru a cripta toate fișierele.
- Creați un IV pentru fiecare fișier.
- Crearea unei perechi de chei pentru o sesiune RSA-2048.
- Decriptarea unei chei RSA-8192 existente folosind base64 și RC4.
- Criptați conținutul fișierului folosind algoritmul AES-128-CBC de la primul pas.
- Criptare IV folosind cheia publică RSA-2048 și codificarea base64.
- Adăugarea unui IV criptat la sfârșitul fiecărui fișier criptat.
- Adăugarea unei chei AES și a unei chei private de sesiune RSA-2048 la configurație.
- Date de configurare descrise în secțiune despre computerul infectat sunt criptate folosind cheia publică principală RSA-8192.
- Fișierul criptat arată astfel:
Exemplu de fișiere criptate:
Colectarea de informații despre computerul infectat
Ransomware-ul colectează chei pentru a decripta fișierele infectate, astfel încât atacatorul să poată crea de fapt un decriptor. În plus, Nemty colectează date despre utilizator, cum ar fi numele de utilizator, numele computerului, profilul hardware.
Apelează funcțiile GetLogicalDrives(), GetFreeSpace(), GetDriveType() pentru a colecta informații despre unitățile computerului infectat.
Informațiile colectate sunt stocate într-un fișier de configurare. După ce am decodat șirul, obținem o listă de parametri în fișierul de configurare:
Exemplu de configurare a unui computer infectat:
Șablonul de configurare poate fi reprezentat după cum urmează:
{"General": {"IP":"[IP]", "Țara":"[Țara]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": „[OS]”, „isRU”:false, „versiunea”:”1.4”, „CompID”:”{[CompID]}”, „FileID”:”_NEMTY_[FileID]_”, „UserID”:”[ UserID]”, „key”:”[key]”, „pr_key”:”[pr_key]
Nemty stochează datele colectate în format JSON în fișierul %USER%/_NEMTY_.nemty. FileID are 7 caractere și este generat aleatoriu. De exemplu: _NEMTY_tgdLYrd_.nemty. FileID este, de asemenea, atașat la sfârșitul fișierului criptat.
Mesaj de răscumpărare
După criptarea fișierelor, fișierul _NEMTY_[FileID]-DECRYPT.txt apare pe desktop cu următorul conținut:
La sfârșitul fișierului există informații criptate despre computerul infectat.
Comunicare în rețea
Procesul ironman.exe descarcă distribuția browserului Tor de la adresa și încearcă să-l instaleze.
Nemty încearcă apoi să trimită date de configurare la 127.0.0.1:9050, unde se așteaptă să găsească un proxy de browser Tor funcțional. Cu toate acestea, în mod implicit, proxy-ul Tor ascultă pe portul 9150, iar portul 9050 este utilizat de demonul Tor pe Linux sau Expert Bundle pe Windows. Astfel, nu sunt trimise date către serverul atacatorului. În schimb, utilizatorul poate descărca manual fișierul de configurare vizitând serviciul de decriptare Tor prin linkul furnizat în mesajul de răscumpărare.
Conectarea la proxy Tor:
HTTP GET creează o solicitare către 127.0.0.1:9050/public/gate?data=
Aici puteți vedea porturile TCP deschise care sunt utilizate de proxy-ul TORlocal:
Serviciul de decriptare Nemty în rețeaua Tor:
Puteți încărca o fotografie criptată (jpg, png, bmp) pentru a testa serviciul de decriptare.
După aceasta, atacatorul cere să plătească o răscumpărare. In caz de neplata pretul se dubleaza.
Concluzie
În acest moment, nu este posibil să decriptați fișierele criptate de Nemty fără a plăti o răscumpărare. Această versiune de ransomware are caracteristici comune cu ransomware-ul Buran și GandCrab învechit: compilare în Borland Delphi și imagini cu același text. În plus, acesta este primul criptator care utilizează o cheie RSA de 8092 de biți, ceea ce, din nou, nu are niciun sens, deoarece o cheie de 1024 de biți este suficientă pentru protecție. În cele din urmă, și este interesant, încearcă să folosească portul greșit pentru serviciul proxy Tor local.
Cu toate acestea, soluții и împiedică ransomware-ul Nemty să ajungă la computerele și datele utilizatorilor, iar furnizorii își pot proteja clienții . Deplin oferă nu numai backup, ci și protecție folosind , o tehnologie specială bazată pe inteligență artificială și euristică comportamentală care vă permite să neutralizați programele malware chiar și încă necunoscute.
Sursa: www.habr.com