نيٽ تي هڪ نئون ransomware ظاهر ٿيو آهي جنهن کي Nemty سڏيو ويندو آهي، جيڪو سمجهيو وڃي ٿو گرانڊ ڪرب يا بران جو جانشين. مالويئر بنيادي طور تي جعلي PayPal ويب سائيٽ تان ورهايو ويو آهي ۽ ان ۾ ڪيتريون ئي دلچسپ خاصيتون آهن. تفصيلات جي باري ۾ ته هي ransomware ڪيئن ڪم ڪري ٿو ڪٽ هيٺ.
نئون Nemty ransomware صارف پاران دريافت ڪيو ويو سيپٽمبر 7، 2019. مالويئر ويب سائيٽ ذريعي ورهايو ويو ، اهو پڻ ممڪن آهي ransomware لاءِ ڪمپيوٽر ۾ داخل ٿيڻ لاءِ RIG استحصال کٽ ذريعي. حملي آورن سوشل انجنيئرنگ جا طريقا استعمال ڪيا ته جيئن صارف کي cashback.exe فائل هلائڻ لاءِ مجبور ڪيو وڃي، جيڪا هن مبينا طور تي PayPal ويب سائيٽ تان حاصل ڪئي هئي. اهو پڻ دلچسپ آهي ته Nemty مقامي پراکسي سروس Tor لاءِ غلط پورٽ بيان ڪيو آهي، جيڪو مالويئر کي موڪلڻ کان روڪي ٿو. سرور ڏانهن ڊيٽا. تنهن ڪري، صارف کي ٽور نيٽ ورڪ تي اينڪرپٽ ٿيل فائلن کي اپلوڊ ڪرڻو پوندو، جيڪڏهن هو تاوان ادا ڪرڻ جو ارادو رکي ٿو ۽ حملي ڪندڙن کان ڊسڪشن جو انتظار ڪري ٿو.
Nemty بابت ڪيتريون ئي دلچسپ حقيقتون پيش ڪن ٿيون ته اهو ساڳيو ماڻهن يا بران ۽ گرانڊ ڪرب سان لاڳاپيل سائبر ڪرمنلز پاران تيار ڪيو ويو آهي.
- GandCrab وانگر، Nemty وٽ ايسٽر ايگ آهي - روسي صدر ولاديمير پوتن جي هڪ فحش مذاق سان تصوير جي لنڪ. وراثت GandCrab ransomware ساڳي متن سان هڪ تصوير هئي.
- ٻنهي پروگرامن جي ٻوليءَ جا نمونا ساڳيا روسي ڳالهائيندڙ ليکڪن ڏانهن اشارو ڪن ٿا.
- هي پهريون ransomware آهي 8092-bit RSA ڪيئي استعمال ڪرڻ لاءِ. جيتوڻيڪ هن ۾ ڪو به نقطو نه آهي: هڪ 1024-بٽ ڪيچ هيڪنگ کان بچائڻ لاء ڪافي آهي.
- بران وانگر، ransomware Object Pascal ۾ لکيل آهي ۽ Borland Delphi ۾ مرتب ڪيو ويو آهي.
جامد تجزيو
بدسلوڪي ڪوڊ جو عمل چار مرحلن ۾ ٿئي ٿو. پهريون قدم هلائڻو آهي cashback.exe، 32 بائيٽ جي سائيز سان ايم ايس ونڊوز جي تحت هڪ PE1198936 عملدار فائل. ان جو ڪوڊ Visual C++ ۾ لکيو ويو ۽ 14 آڪٽوبر 2013 تي مرتب ڪيو ويو. اهو هڪ آرڪائيو تي مشتمل آهي جيڪو خودڪار طريقي سان ڀريل آهي جڏهن توهان هلائيندا آهيو cashback.exe. سافٽ ويئر Cabinet.dll لائبريري ۽ ان جا ڪم FDICreate(), FDIDestroy() ۽ ٻيا استعمال ڪري ٿو .cab آرڪائيو مان فائلون حاصل ڪرڻ لاءِ.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
آرڪائيو کي پيڪ ڪرڻ کان پوء، ٽي فائلون ظاهر ٿيندا.
اڳيون، temp.exe شروع ڪيو ويو آهي، 32 بائيٽ جي سائيز سان ايم ايس ونڊوز جي تحت هڪ PE307200 قابل عمل فائل. ڪوڊ Visual C++ ۾ لکيل آهي ۽ MPRESS packer سان پيڪيج ٿيل آهي، هڪ پيڪر UPX سان ملندڙ جلندڙ آهي.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
ايندڙ قدم ironman.exe آهي. هڪ دفعو شروع ڪيو ويو، temp.exe ايمبيڊ ٿيل ڊيٽا کي temp ۾ ڊيڪرپٽ ڪري ٿو ۽ ان کي تبديل ڪري ٿو ironman.exe، هڪ 32 بائيٽ PE544768 قابل عمل فائل. ڪوڊ بورلينڊ ڊيلفي ۾ مرتب ڪيو ويو آهي.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
آخري قدم ironman.exe فائل کي ٻيهر شروع ڪرڻ آهي. رن ٽائم تي، اهو پنهنجو ڪوڊ تبديل ڪري ٿو ۽ پاڻ کي ميموري مان هلائي ٿو. ironman.exe جو هي نسخو خراب آهي ۽ انڪرپشن جو ذميوار آهي.
ويڪٽر تي حملو
في الحال، Nemty ransomware ويب سائيٽ pp-back.info ذريعي ورهايو ويو آهي.
انفيڪشن جي مڪمل زنجير تي ڏسي سگهجي ٿو سينڊ باڪس.
تنصيب
Cashback.exe - حملي جي شروعات. جيئن اڳ ۾ ئي ذڪر ڪيو ويو آهي، cashback.exe .cab فائل کي ان ۾ شامل ڪري ٿو. اهو وري هڪ فولڊر ٺاهي ٿو TMP4351$.TMP فارم جو %TEMP%IXxxx.TMP، جتي xxx هڪ نمبر آهي 001 کان 999 تائين.
اڳيون، هڪ رجسٽري چيڪ نصب ڪيو ويو آهي، جيڪو هن وانگر ڏسڻ ۾ اچي ٿو:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP"
اهو unpacked فائلن کي حذف ڪرڻ لاء استعمال ڪيو ويندو آهي. آخرڪار، cashback.exe شروع ٿئي ٿو temp.exe عمل.
Temp.exe انفيڪشن زنجير ۾ ٻيو مرحلو آهي
اهو عمل آهي cashback.exe فائل پاران شروع ڪيو ويو، وائرس جي عمل جو ٻيو مرحلو. اهو AutoHotKey ڊائون لوڊ ڪرڻ جي ڪوشش ڪري ٿو، ونڊوز تي اسڪرپٽ هلائڻ لاءِ هڪ اوزار، ۽ PE فائل جي وسيلن واري حصي ۾ واقع WindowSpy.ahk اسڪرپٽ کي هلائڻ جي ڪوشش ڪري ٿو.
WindowSpy.ahk اسڪرپٽ RC4 الگورٿم ۽ پاسورڊ IwantAcake استعمال ڪندي ironman.exe ۾ عارضي فائل کي ڊيڪرپٽ ڪري ٿو. پاسورڊ مان اهم حاصل ڪئي وئي آهي MD5 hashing algorithm استعمال ڪندي.
temp.exe وري ironman.exe عمل کي سڏي ٿو.
Ironman.exe - ٽيون قدم
Ironman.exe iron.bmp فائل جو مواد پڙهي ٿو ۽ هڪ cryptolocker سان iron.txt فائل ٺاهي ٿو جيڪا اڳتي هلي شروع ڪئي ويندي.
ان کان پوء، وائرس iron.txt کي ميموري ۾ لوڊ ڪري ٿو ۽ ان کي ironman.exe طور ٻيهر شروع ڪري ٿو. ان کان پوء، iron.txt ختم ٿي وئي آهي.
ironman.exe NEMTY ransomware جو مکيه حصو آهي، جيڪو متاثر ٿيل ڪمپيوٽر تي فائلن کي انڪرپٽ ڪري ٿو. مالويئر هڪ ميوٽڪس ٺاهي ٿو جنهن کي نفرت سڏيو ويندو آهي.
پهرين شيء اهو ڪندو آهي ڪمپيوٽر جي جاگرافيائي مقام جو تعين ڪرڻ. Nemty برائوزر کوليو ۽ IP ڳولي ٿو آن . سائيٽ تي [IP]/countryName ملڪ جو تعين موصول ٿيل IP مان ڪيو ويندو آهي، ۽ جيڪڏهن ڪمپيوٽر هيٺ ڏنل علائقن مان ڪنهن هڪ ۾ واقع آهي، ته مالويئر ڪوڊ جو عمل روڪي ٿو:
- روس
- بيلاروس
- اکرين
- قزاقستان
- تاجڪستان
گهڻو ڪري، ڊولپرز پنهنجي رهائش جي ملڪن ۾ قانون لاڳو ڪندڙ ادارن جي ڌيان کي راغب ڪرڻ نٿا چاهين، ۽ تنهن ڪري انهن جي "گهر" جي دائري اختيار ۾ فائلن کي انڪوڊ نه ڪريو.
جيڪڏهن مقتول جو IP پتو مٿي ڏنل فهرست سان لاڳاپيل ناهي، ته پوءِ وائرس صارف جي معلومات کي انڪرپٽ ڪري ٿو.
فائل وصولي کي روڪڻ لاء، انهن جي ڇانو ڪاپيون ختم ڪيون ويون آهن:
اهو وري فائلن ۽ فولڊرن جي هڪ فهرست ٺاهي ٿو جيڪي انڪوڊ ٿيل نه هوندا، انهي سان گڏ فائل جي واڌارن جي هڪ فهرست.
- Windows
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- اين ٽي ايل آر
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- ڊيسڪ ٽاپ
- SYS CONFIG.
- BOOTSECT.BAK
- بوٽو گرام
- پروگرام ڊيٽا
- ايپيٽا
- osoft
- عام فائلون
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY ابتڙ
URLs ۽ ايمبيڊڊ ڪنفيگريشن ڊيٽا کي لڪائڻ لاءِ، Nemty استعمال ڪري ٿو base64 ۽ RC4 انڪوڊنگ الگورٿم fuckav لفظ سان.
CryptStringToBinary استعمال ڪندي ڊيڪرپشن جو عمل ھيٺ ڏنل آھي
پاسخاطري ڪرڻ
Nemty استعمال ڪري ٿو ٽي-پرت انڪرپشن:
- AES-128-CBC فائلن لاء. 128-bit AES ڪيئي بي ترتيب ٺاهي وئي آهي ۽ سڀني فائلن لاءِ ساڳيو استعمال ڪيو ويندو آهي. اهو صارف جي ڪمپيوٽر تي هڪ ترتيب واري فائيل ۾ ذخيرو ٿيل آهي. IV بي ترتيب طور تي هر فائل لاءِ ٺاهي وئي آهي ۽ انڪريپٽ ٿيل فائل ۾ ذخيرو ٿيل آهي.
- RSA-2048 فائل انڪرپشن لاءِ IV. سيشن لاء هڪ اهم جوڙو ٺاهيل آهي. سيشن لاءِ خانگي ڪنجي استعمال ڪندڙ جي ڪمپيوٽر تي ترتيب واري فائل ۾ محفوظ ٿيل آهي.
- RSA-8192. ماسٽر پبلڪ ڪيئي پروگرام ۾ ٺهيل آهي ۽ استعمال ڪيو ويندو آهي ڪنفگريشن فائل کي انڪرپٽ ڪرڻ لاءِ، جيڪو محفوظ ڪري ٿو AES ڪيئي ۽ ڳجهي ڪيئي RSA-2048 سيشن لاءِ.
- Nemty پهريون ٺاهي ٿو 32 بائيٽ جي بي ترتيب واري ڊيٽا. پهرين 16 بائٽس AES-128-CBC ڪيئي طور استعمال ڪيا ويا آهن.
ٻيو انڪرپشن الگورٿم RSA-2048 آهي. اهم جوڙو CryptGenKey () فنڪشن پاران ٺاهيل آهي ۽ CryptImportKey () فنڪشن پاران درآمد ڪيو ويو آهي.
هڪ دفعو سيشن لاءِ اهم جوڙو ٺاهيل آهي، عوامي ڪيئي MS Cryptographic Service Provider ۾ درآمد ڪئي ويندي آهي.
سيشن لاءِ ٺاهيل عوامي ڪيئي جو مثال:
اڳيون، خانگي چاٻي کي سي ايس پي ۾ درآمد ڪيو ويندو آهي.
سيشن لاءِ ٺاهيل پرائيويٽ ڪيچ جو مثال:
۽ آخري اچي ٿو RSA-8192. مکيه عوامي ڪنجي PE فائل جي ڊيٽا سيڪشن ۾ انڪرپٽ ٿيل فارم (Base64 + RC4) ۾ ذخيرو ٿيل آهي.
RSA-8192 ڪيئي بيس 64 ڊيڪوڊنگ کان پوءِ ۽ RC4 ڊيڪرپشن سان fuckav پاسورڊ سان هن طرح نظر اچي ٿو.
نتيجي طور، سڄو انڪرپشن عمل هن طرح ڏسڻ ۾ اچي ٿو:
- هڪ 128-bit AES چيڪ ٺاهيو جيڪو سڀني فائلن کي انڪرپٽ ڪرڻ لاءِ استعمال ڪيو ويندو.
- هر فائل لاءِ IV ٺاهيو.
- RSA-2048 سيشن لاءِ هڪ اهم جوڙو ٺاهڻ.
- بيس8192 ۽ RC64 استعمال ڪندي موجوده RSA-4 ڪيچ جي ڊيڪرپشن.
- پهرين قدم کان AES-128-CBC الورورٿم استعمال ڪندي فائل جي مواد کي انڪرپٽ ڪريو.
- IV انڪرپشن استعمال ڪندي RSA-2048 عوامي ڪي ۽ base64 انڪوڊنگ.
- هر انڪريپٽ ٿيل فائل جي آخر ۾ هڪ اينڪرپٽ ٿيل IV شامل ڪرڻ.
- ترتيب ڏيڻ لاءِ AES ڪيچ ۽ RSA-2048 سيشن نجي ڪيچ شامل ڪرڻ.
- سيڪشن ۾ بيان ڪيل ترتيب واري ڊيٽا متاثر ٿيل ڪمپيوٽر بابت مکيه عوامي ڪي RSA-8192 استعمال ڪندي انڪرپٽ ٿيل آهن.
- انڪريپ ٿيل فائل هن طرح نظر اچي ٿي:
ڪوڊ ٿيل فائلن جا مثال:
متاثر ٿيل ڪمپيوٽر بابت معلومات گڏ ڪرڻ
ransomware متاثر ٿيل فائلن کي ڊيڪرپٽ ڪرڻ لاءِ ڪنجيون گڏ ڪري ٿو، انهي ڪري ته حملي آور اصل ۾ هڪ ڊريپٽر ٺاهي سگهي ٿو. ان کان علاوه، Nemty صارف ڊيٽا گڏ ڪري ٿو جهڙوڪ يوزرنيم، ڪمپيوٽر جو نالو، هارڊويئر پروفائل.
اهو ڪال ڪري ٿو GetLogicalDrives(), GetFreeSpace(), GetDriveType() افعال متاثر ٿيل ڪمپيوٽر جي ڊرائيو بابت معلومات گڏ ڪرڻ لاءِ.
گڏ ڪيل معلومات هڪ ترتيب واري فائل ۾ ذخيرو ٿيل آهي. اسٽرنگ کي ڊيڪوڊ ڪرڻ سان، اسان کي ترتيب واري فائل ۾ پيرا ميٽرن جي هڪ فهرست ملي ٿي:
متاثر ٿيل ڪمپيوٽر جي تشڪيل جو مثال:
ٺاھ جوڙ جي ٽيمپليٽ هيٺ ڏنل نمائندگي ڪري سگهجي ٿو:
{"عام": {"IP":"[IP]"، "ملڪ":"[ملڪ]"، "ڪمپيوٽر نالو":"[ComputerName]، "Username":"[Username]، "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]، "key":"[key]"، "pr_key":"[pr_key]
Nemty گڏ ڪيل ڊيٽا کي JSON فارميٽ ۾ فائل %USER%/_NEMTY_.nemty ۾ محفوظ ڪري ٿو. FileID 7 اکر ڊگھو آھي ۽ بي ترتيب ٺاھيل آھي. مثال طور: _NEMTY_tgdLYrd_.nemty. فائل آئي ڊي پڻ شامل ڪئي وئي آهي انڪوڊ ٿيل فائل جي آخر ۾.
تاوان جو نوٽيس
فائلن کي انڪرپٽ ڪرڻ کان پوءِ، فائل _NEMTY_[FileID]-DECRYPT.txt ڊيسڪ ٽاپ تي هيٺين مواد سان ظاهر ٿيندي:
فائل جي آخر ۾ متاثر ٿيل ڪمپيوٽر بابت انڪوڊ ٿيل معلومات آهي.
نيٽ ورڪ رابطي
ironman.exe عمل ايڊريس تان Tor برائوزر جي تقسيم کي ڊائون لوڊ ڪري ٿو ۽ ان کي انسٽال ڪرڻ جي ڪوشش ڪري ٿو.
Nemty وري 127.0.0.1:9050 تي ترتيب ڏيڻ واري ڊيٽا موڪلڻ جي ڪوشش ڪري ٿو، جتي اهو ڪم ڪندڙ Tor برائوزر پراکسي ڳولڻ جي اميد رکي ٿو. بهرحال، ڊفالٽ طور تي Tor proxy ٻڌندو آهي پورٽ 9150 تي، ۽ پورٽ 9050 استعمال ڪيو ويندو آهي Tor daemon تي Linux يا Expert Bundle on Windows. اهڙيء طرح، ڪا به ڊيٽا حملي ڪندڙ جي سرور ڏانهن نه موڪلي وئي آهي. ان جي بدران، صارف دستي طور تي ڊائون لوڊ ڪري سگھي ٿو ترتيب واري فائل کي ٽور ڊيڪرپشن سروس جو دورو ڪندي رنڊم پيغام ۾ مهيا ڪيل لنڪ ذريعي.
Tor proxy سان ڳنڍڻ:
HTTP GET 127.0.0.1:9050/public/gate?data= ڏانهن هڪ درخواست ٺاهي ٿو
هتي توهان ڏسي سگهو ٿا کليل TCP بندرگاهن جيڪي استعمال ڪيا ويا آهن TORlocal proxy:
Tor نيٽ ورڪ تي Nemty ڊسڪشن سروس:
توھان اپلوڊ ڪري سگھوٿا ھڪ انڪريپٽ ٿيل فوٽو (jpg, png, bmp) decryption سروس کي جانچڻ لاءِ.
ان کان پوء، حملي آور هڪ تاوان ادا ڪرڻ لاء پڇي ٿو. ادائگي نه ڪرڻ جي صورت ۾ قيمت ٻيڻي ڪئي ويندي.
ٿڪل
هن وقت، اهو ممڪن ناهي ته Nemty طرفان انڪوڊ ٿيل فائلن کي ڊريڪٽ ڪرڻ کان سواءِ تاوان ادا ڪرڻ کان سواءِ. ransomware جي هن نسخي ۾ عام خاصيتون آهن بران ransomware ۽ پراڻي GandCrab سان گڏ: بورلينڊ ڊيلفي ۾ تاليف ۽ ساڳئي متن سان تصويرون. ان کان علاوه، هي پهريون انڪرپٽر آهي جيڪو استعمال ڪري ٿو 8092-bit RSA ڪي، جيڪو ٻيهر، ڪو به احساس نٿو رکي، ڇو ته 1024-bit ڪيئي تحفظ لاءِ ڪافي آهي. آخرڪار، ۽ دلچسپ طور تي، اهو مقامي Tor proxy سروس لاء غلط بندرگاهن کي استعمال ڪرڻ جي ڪوشش ڪري ٿو.
بهرحال، حل и Nemty ransomware کي صارف جي پي سيز ۽ ڊيٽا تائين پهچڻ کان روڪيو، ۽ مهيا ڪندڙ پنهنجن گراهڪن جي حفاظت ڪري سگھن ٿا ... پورو نه صرف بيڪ اپ مهيا ڪري ٿو، پر پڻ استعمال ڪندي تحفظ ، هڪ خاص ٽيڪنالاجي مصنوعي ذهانت ۽ رويي جي هوريسٽس تي ٻڌل آهي جيڪا توهان کي اڃا تائين اڻڄاتل مالويئر کي غير جانبدار ڪرڻ جي اجازت ڏئي ٿي.
جو ذريعو: www.habr.com