بدسلوڪي ڪوڊ جو عمل چار مرحلن ۾ ٿئي ٿو. پهريون قدم هلائڻو آهي cashback.exe، 32 بائيٽ جي سائيز سان ايم ايس ونڊوز جي تحت هڪ PE1198936 عملدار فائل. ان جو ڪوڊ Visual C++ ۾ لکيو ويو ۽ 14 آڪٽوبر 2013 تي مرتب ڪيو ويو. اهو هڪ آرڪائيو تي مشتمل آهي جيڪو خودڪار طريقي سان ڀريل آهي جڏهن توهان هلائيندا آهيو cashback.exe. سافٽ ويئر Cabinet.dll لائبريري ۽ ان جا ڪم FDICreate(), FDIDestroy() ۽ ٻيا استعمال ڪري ٿو .cab آرڪائيو مان فائلون حاصل ڪرڻ لاءِ.
اڳيون، temp.exe شروع ڪيو ويو آهي، 32 بائيٽ جي سائيز سان ايم ايس ونڊوز جي تحت هڪ PE307200 قابل عمل فائل. ڪوڊ Visual C++ ۾ لکيل آهي ۽ MPRESS packer سان پيڪيج ٿيل آهي، هڪ پيڪر UPX سان ملندڙ جلندڙ آهي.
اهو unpacked فائلن کي حذف ڪرڻ لاء استعمال ڪيو ويندو آهي. آخرڪار، cashback.exe شروع ٿئي ٿو temp.exe عمل.
Temp.exe انفيڪشن زنجير ۾ ٻيو مرحلو آهي
اهو عمل آهي cashback.exe فائل پاران شروع ڪيو ويو، وائرس جي عمل جو ٻيو مرحلو. اهو AutoHotKey ڊائون لوڊ ڪرڻ جي ڪوشش ڪري ٿو، ونڊوز تي اسڪرپٽ هلائڻ لاءِ هڪ اوزار، ۽ PE فائل جي وسيلن واري حصي ۾ واقع WindowSpy.ahk اسڪرپٽ کي هلائڻ جي ڪوشش ڪري ٿو.
WindowSpy.ahk اسڪرپٽ RC4 الگورٿم ۽ پاسورڊ IwantAcake استعمال ڪندي ironman.exe ۾ عارضي فائل کي ڊيڪرپٽ ڪري ٿو. پاسورڊ مان اهم حاصل ڪئي وئي آهي MD5 hashing algorithm استعمال ڪندي.
temp.exe وري ironman.exe عمل کي سڏي ٿو.
Ironman.exe - ٽيون قدم
Ironman.exe iron.bmp فائل جو مواد پڙهي ٿو ۽ هڪ cryptolocker سان iron.txt فائل ٺاهي ٿو جيڪا اڳتي هلي شروع ڪئي ويندي.
ان کان پوء، وائرس iron.txt کي ميموري ۾ لوڊ ڪري ٿو ۽ ان کي ironman.exe طور ٻيهر شروع ڪري ٿو. ان کان پوء، iron.txt ختم ٿي وئي آهي.
ironman.exe NEMTY ransomware جو مکيه حصو آهي، جيڪو متاثر ٿيل ڪمپيوٽر تي فائلن کي انڪرپٽ ڪري ٿو. مالويئر هڪ ميوٽڪس ٺاهي ٿو جنهن کي نفرت سڏيو ويندو آهي.
پهرين شيء اهو ڪندو آهي ڪمپيوٽر جي جاگرافيائي مقام جو تعين ڪرڻ. Nemty برائوزر کوليو ۽ IP ڳولي ٿو آن http://api.ipify.org. سائيٽ تي api.db-ip.com/v2/free[IP]/countryName ملڪ جو تعين موصول ٿيل IP مان ڪيو ويندو آهي، ۽ جيڪڏهن ڪمپيوٽر هيٺ ڏنل علائقن مان ڪنهن هڪ ۾ واقع آهي، ته مالويئر ڪوڊ جو عمل روڪي ٿو:
روس
بيلاروس
اکرين
قزاقستان
تاجڪستان
گهڻو ڪري، ڊولپرز پنهنجي رهائش جي ملڪن ۾ قانون لاڳو ڪندڙ ادارن جي ڌيان کي راغب ڪرڻ نٿا چاهين، ۽ تنهن ڪري انهن جي "گهر" جي دائري اختيار ۾ فائلن کي انڪوڊ نه ڪريو.
جيڪڏهن مقتول جو IP پتو مٿي ڏنل فهرست سان لاڳاپيل ناهي، ته پوءِ وائرس صارف جي معلومات کي انڪرپٽ ڪري ٿو.
فائل وصولي کي روڪڻ لاء، انهن جي ڇانو ڪاپيون ختم ڪيون ويون آهن:
اهو وري فائلن ۽ فولڊرن جي هڪ فهرست ٺاهي ٿو جيڪي انڪوڊ ٿيل نه هوندا، انهي سان گڏ فائل جي واڌارن جي هڪ فهرست.
Windows
$RECYCLE.BIN
rsa
NTDETECT.COM
اين ٽي ايل آر
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
ڊيسڪ ٽاپ
SYS CONFIG.
BOOTSECT.BAK
بوٽو گرام
پروگرام ڊيٽا
ايپيٽا
osoft
عام فائلون
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
ابتڙ
URLs ۽ ايمبيڊڊ ڪنفيگريشن ڊيٽا کي لڪائڻ لاءِ، Nemty استعمال ڪري ٿو base64 ۽ RC4 انڪوڊنگ الگورٿم fuckav لفظ سان.
CryptStringToBinary استعمال ڪندي ڊيڪرپشن جو عمل ھيٺ ڏنل آھي
پاسخاطري ڪرڻ
Nemty استعمال ڪري ٿو ٽي-پرت انڪرپشن:
AES-128-CBC فائلن لاء. 128-bit AES ڪيئي بي ترتيب ٺاهي وئي آهي ۽ سڀني فائلن لاءِ ساڳيو استعمال ڪيو ويندو آهي. اهو صارف جي ڪمپيوٽر تي هڪ ترتيب واري فائيل ۾ ذخيرو ٿيل آهي. IV بي ترتيب طور تي هر فائل لاءِ ٺاهي وئي آهي ۽ انڪريپٽ ٿيل فائل ۾ ذخيرو ٿيل آهي.
RSA-2048 فائل انڪرپشن لاءِ IV. سيشن لاء هڪ اهم جوڙو ٺاهيل آهي. سيشن لاءِ خانگي ڪنجي استعمال ڪندڙ جي ڪمپيوٽر تي ترتيب واري فائل ۾ محفوظ ٿيل آهي.
Nemty وري 127.0.0.1:9050 تي ترتيب ڏيڻ واري ڊيٽا موڪلڻ جي ڪوشش ڪري ٿو، جتي اهو ڪم ڪندڙ Tor برائوزر پراکسي ڳولڻ جي اميد رکي ٿو. بهرحال، ڊفالٽ طور تي Tor proxy ٻڌندو آهي پورٽ 9150 تي، ۽ پورٽ 9050 استعمال ڪيو ويندو آهي Tor daemon تي Linux يا Expert Bundle on Windows. اهڙيء طرح، ڪا به ڊيٽا حملي ڪندڙ جي سرور ڏانهن نه موڪلي وئي آهي. ان جي بدران، صارف دستي طور تي ڊائون لوڊ ڪري سگھي ٿو ترتيب واري فائل کي ٽور ڊيڪرپشن سروس جو دورو ڪندي رنڊم پيغام ۾ مهيا ڪيل لنڪ ذريعي.
Tor proxy سان ڳنڍڻ:
HTTP GET 127.0.0.1:9050/public/gate?data= ڏانهن هڪ درخواست ٺاهي ٿو
ان کان پوء، حملي آور هڪ تاوان ادا ڪرڻ لاء پڇي ٿو. ادائگي نه ڪرڻ جي صورت ۾ قيمت ٻيڻي ڪئي ويندي.
ٿڪل
هن وقت، اهو ممڪن ناهي ته Nemty طرفان انڪوڊ ٿيل فائلن کي ڊريڪٽ ڪرڻ کان سواءِ تاوان ادا ڪرڻ کان سواءِ. ransomware جي هن نسخي ۾ عام خاصيتون آهن بران ransomware ۽ پراڻي GandCrab سان گڏ: بورلينڊ ڊيلفي ۾ تاليف ۽ ساڳئي متن سان تصويرون. ان کان علاوه، هي پهريون انڪرپٽر آهي جيڪو استعمال ڪري ٿو 8092-bit RSA ڪي، جيڪو ٻيهر، ڪو به احساس نٿو رکي، ڇو ته 1024-bit ڪيئي تحفظ لاءِ ڪافي آهي. آخرڪار، ۽ دلچسپ طور تي، اهو مقامي Tor proxy سروس لاء غلط بندرگاهن کي استعمال ڪرڻ جي ڪوشش ڪري ٿو.
بهرحال، حل Acronis بيڪ اپ и اصلي تصوير صحيح Nemty ransomware کي صارف جي پي سيز ۽ ڊيٽا تائين پهچڻ کان روڪيو، ۽ مهيا ڪندڙ پنهنجن گراهڪن جي حفاظت ڪري سگھن ٿا Acronis Backup Cloud... پورو سائبر تحفظ نه صرف بيڪ اپ مهيا ڪري ٿو، پر پڻ استعمال ڪندي تحفظ Acronis فعال تحفظ، هڪ خاص ٽيڪنالاجي مصنوعي ذهانت ۽ رويي جي هوريسٽس تي ٻڌل آهي جيڪا توهان کي اڃا تائين اڻڄاتل مالويئر کي غير جانبدار ڪرڻ جي اجازت ڏئي ٿي.