ග්රෑන්ඩ් ක්රැබ් හෝ බුරාන්ගේ අනුප්රාප්තිකයා යැයි කියනු ලබන නෙම්ටි නම් නව කප්පම් මෘදුකාංගයක් ජාලයේ දර්ශනය වී ඇත. අනිෂ්ට මෘදුකාංගය ප්රධාන වශයෙන් ව්යාජ PayPal වෙබ් අඩවියෙන් බෙදා හරින අතර රසවත් විශේෂාංග ගණනාවක් ඇත. මෙම ransomware ක්රියා කරන ආකාරය පිළිබඳ විස්තර කප්පාදුව යටතේ ඇත.
නව Nemty ransomware පරිශීලකයා විසින් සොයා ගන්නා ලදී සැප්තැම්බර් 7, 2019. අනිෂ්ට මෘදුකාංගය වෙබ් අඩවියක් හරහා බෙදා හැර ඇත , RIG සූරාකෑමේ කට්ටලය හරහා ransomware පරිගණකයකට විනිවිද යාමට ද හැකිය. PayPal වෙබ් අඩවියෙන් ඔහුට ලැබුණු බව කියන cashback.exe ගොනුව ධාවනය කිරීමට පරිශීලකයාට බල කිරීමට ප්රහාරකයින් සමාජ ඉංජිනේරු ක්රම භාවිතා කළහ.එමෙන්ම අනිෂ්ට මෘදුකාංග යැවීම වළක්වන දේශීය ප්රොක්සි සේවාව වන Tor සඳහා වැරදි වරායක් Nemty සඳහන් කිරීම කුතුහලයට කරුණකි. සේවාදායකය වෙත දත්ත. එබැවින්, කප්පම් ගෙවීමට අදහස් කරන්නේ නම් සහ ප්රහාරකයින්ගෙන් විකේතනය වන තෙක් බලා සිටීමට පරිශීලකයාට සංකේතාත්මක ගොනු Tor ජාලයට උඩුගත කිරීමට සිදුවනු ඇත.
නෙම්ටි පිළිබඳ රසවත් කරුණු කිහිපයක් යෝජනා කරන්නේ එය එකම පුද්ගලයින් විසින් හෝ බුරන් සහ ග්රෑන්ඩ් ක්රැබ් සමඟ සම්බන්ධ සයිබර් අපරාධකරුවන් විසින් වර්ධනය කරන ලද්දක් බවයි.
- GandCrab මෙන්ම Nemty සතුවද පාස්කු බිත්තරයක් ඇත - රුසියානු ජනාධිපති ව්ලැඩිමීර් පුටින්ගේ අසභ්ය විහිළුවක් සහිත ඡායාරූපයකට සබැඳියක්. පැරණි GandCrab ransomware හි එකම පෙළ සහිත රූපයක් තිබුණි.
- වැඩසටහන් දෙකෙහිම භාෂා කෞතුක වස්තු එකම රුසියානු භාෂාව කතා කරන කතුවරුන් වෙත යොමු කරයි.
- මෙය 8092-bit RSA යතුරක් භාවිතා කරන පළමු ransomware වේ. මෙහි තේරුමක් නොමැති වුවද: අනවසරයෙන් ආරක්ෂා වීමට 1024-bit යතුරක් ප්රමාණවත් වේ.
- Buran වගේම, ransomware එක Object Pascal වලින් ලියා Borland Delphi වලින් සම්පාදනය කර ඇත.
ස්ථිතික විශ්ලේෂණය
අනිෂ්ට කේතය ක්රියාත්මක කිරීම අදියර හතරකින් සිදු වේ. පළමු පියවර වන්නේ බයිට් 32 ප්රමාණයෙන් MS Windows යටතේ PE1198936 ක්රියාත්මක කළ හැකි ගොනුවක් වන cashback.exe ධාවනය කිරීමයි. එහි කේතය Visual C++ වලින් ලියා 14 ඔක්තෝබර් 2013 දින සම්පාදනය කරන ලදී. ඔබ cashback.exe ධාවනය කරන විට ස්වයංක්රීයව අසුරන ලද සංරක්ෂිතයක් එහි අඩංගු වේ. මෘදුකාංගය Cabinet.dll පුස්තකාලය සහ එහි FDICreate(), FDIDestroy() සහ අනෙකුත් කාර්යයන් .cab සංරක්ෂිතයෙන් ගොනු ලබා ගැනීම සඳහා භාවිතා කරයි.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
සංරක්ෂිතය ඉවත් කිරීමෙන් පසුව, ගොනු තුනක් දිස්වනු ඇත.
මීළඟට, temp.exe දියත් කරනු ලැබේ, බයිට් 32 ප්රමාණයෙන් MS Windows යටතේ PE307200 ක්රියාත්මක කළ හැකි ගොනුවක්. කේතය දෘශ්ය C++ වලින් ලියා ඇති අතර UPX ට සමාන ඇසුරුමක් වන MPRESS පැකර් සමඟ ඇසුරුම් කර ඇත.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
ඊළඟ පියවර වන්නේ ironman.exe ය. දියත් කළ පසු, temp.exe temp හි කාවැද්දූ දත්ත විකේතනය කර එය 32 byte PE544768 ක්රියාත්මක කළ හැකි ගොනුවක් වන ironman.exe ලෙස නැවත නම් කරයි. කේතය Borland Delphi හි සම්පාදනය කර ඇත.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
අවසාන පියවර වන්නේ ironman.exe ගොනුව නැවත ආරම්භ කිරීමයි. ක්රියාත්මක වන විට, එය එහි කේතය පරිවර්තනය කර මතකයෙන් ක්රියා කරයි. ironman.exe හි මෙම අනුවාදය අනිෂ්ට වන අතර සංකේතනය සඳහා වගකිව යුතුය.
ප්රහාරක දෛශිකය
දැනට, Nemty ransomware බෙදා හරිනු ලබන්නේ pp-back.info වෙබ් අඩවිය හරහාය.
සම්පූර්ණ ආසාදන දාමය නැරඹිය හැකිය වැලිපිල්ල.
ස්ථාපනය
Cashback.exe - ප්රහාරයේ ආරම්භය. දැනටමත් සඳහන් කර ඇති පරිදි, cashback.exe එහි අඩංගු .cab ගොනුව ඉවත් කරයි. එය %TEMP%IXxxx.TMP පෝරමයේ TMP4351$.TMP ෆෝල්ඩරයක් සාදයි, එහිදී xxx යනු 001 සිට 999 දක්වා අංකයකි.
ඊළඟට, රෙජිස්ට්රි යතුරක් ස්ථාපනය කර ඇත, එය මේ ආකාරයෙන් පෙනේ:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
ඇසුරුම් නොකළ ගොනු මකා දැමීමට එය භාවිතා කරයි. අවසාන වශයෙන්, cashback.exe temp.exe ක්රියාවලිය ආරම්භ කරයි.
Temp.exe යනු ආසාදන දාමයේ දෙවන අදියරයි
වෛරස් ක්රියාත්මක කිරීමේ දෙවන පියවර වන cashback.exe ගොනුව විසින් දියත් කරන ලද ක්රියාවලිය මෙයයි. එය වින්ඩෝස් හි ස්ක්රිප්ට් ධාවනය කිරීමේ මෙවලමක් වන AutoHotKey බාගත කිරීමට උත්සාහ කරයි, සහ PE ගොනුවේ සම්පත් අංශයේ පිහිටා ඇති WindowSpy.ahk ස්ක්රිප්ට් ධාවනය කරන්න.
WindowSpy.ahk ස්ක්රිප්ට් එක RC4 ඇල්ගොරිතම සහ IwantAcake මුරපදය භාවිතයෙන් ironman.exe හි temp ගොනුව විකේතනය කරයි. මුරපදයේ යතුර MD5 හැෂිං ඇල්ගොරිතම භාවිතයෙන් ලබා ගනී.
temp.exe පසුව ironman.exe ක්රියාවලිය අමතයි.
Ironman.exe - තුන්වන පියවර
Ironman.exe මගින් iron.bmp ගොනුවේ අන්තර්ගතය කියවා ඊළඟට දියත් කෙරෙන cryptolocker එකක් සහිත iron.txt ගොනුවක් නිර්මාණය කරයි.
මෙයින් පසු, වෛරසය iron.txt මතකයට පටවා එය ironman.exe ලෙස නැවත ආරම්භ කරයි. මෙයින් පසු, iron.txt මකා දමනු ලැබේ.
ironman.exe යනු NEMTY ransomware හි ප්රධාන කොටස වන අතර එය බලපෑමට ලක් වූ පරිගණකයේ ගොනු සංකේතනය කරයි. අනිෂ්ට මෘදුකාංග වෛරය ලෙස හඳුන්වන mutex නිර්මාණය කරයි.
එය කරන පළමු දෙය වන්නේ පරිගණකයේ භූගෝලීය පිහිටීම තීරණය කිරීමයි. Nemty බ්රව්සරය විවෘත කර IP එක සොයා ගනී . අඩවියේ [IP]/countryName රට තීරණය කරනු ලබන්නේ ලැබුණු IP වලින් වන අතර, පරිගණකය පහත ලැයිස්තුගත කර ඇති එක් කලාපයක පිහිටා තිබේ නම්, අනිෂ්ට මෘදුකාංග කේතය ක්රියාත්මක කිරීම නතර වේ:
- රුසියාව
- බෙලරුසියාව
- යුක්රේනය
- කසකස්තානය
- ටජිකිස්තානය
බොහෝ දුරට ඉඩ ඇති පරිදි, සංවර්ධකයින්ට ඔවුන්ගේ පදිංචි රටවල නීතිය බලාත්මක කිරීමේ ආයතනවල අවධානය ආකර්ෂණය කර ගැනීමට අවශ්ය නැත, එබැවින් ඔවුන්ගේ "නිවසේ" අධිකරණ බලය තුළ ගොනු සංකේතනය නොකරන්න.
වින්දිතයාගේ IP ලිපිනය ඉහත ලැයිස්තුවට අයත් නොවේ නම්, වෛරසය පරිශීලකයාගේ තොරතුරු සංකේතනය කරයි.
ගොනු ප්රතිසාධනය වැලැක්වීම සඳහා, ඒවායේ සෙවනැලි පිටපත් මකා දමනු ලැබේ:
ඉන්පසු එය සංකේතනය නොකරන ගොනු සහ ෆෝල්ඩර ලැයිස්තුවක් මෙන්ම ගොනු දිගු ලැයිස්තුවක් නිර්මාණය කරයි.
- කවුළු
- $RECYCLE.BIN
- ආර්සා
- NTDETECT.COM
- ආදිය
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- config.SYS
- BOOTSECT.BAK
- bootmgr
- වැඩසටහන් දත්ත
- යෙදුම් දත්ත
- osoft
- පොදු ගොනු
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY අපැහැදිලි වීම
URL සහ කාවැද්දූ වින්යාස දත්ත සැඟවීමට, Nemty fuckav මූල පදය සමඟ base64 සහ RC4 කේතීකරණ ඇල්ගොරිතමයක් භාවිතා කරයි.
CryptStringToBinary භාවිතා කරන විකේතන ක්රියාවලිය පහත පරිදි වේ
ගුප්ත කේතනය
Nemty තට්ටු තුනේ සංකේතනය භාවිතා කරයි:
- ගොනු සඳහා AES-128-CBC. 128-bit AES යතුර අහඹු ලෙස ජනනය වන අතර සියලුම ගොනු සඳහා එකම ලෙස භාවිතා වේ. එය පරිශීලකයාගේ පරිගණකයේ වින්යාස ගොනුවක ගබඩා කර ඇත. එක් එක් ගොනුව සඳහා අහඹු ලෙස IV ජනනය වන අතර සංකේතාත්මක ගොනුවක ගබඩා කර ඇත.
- ගොනු සංකේතනය IV සඳහා RSA-2048. සැසිය සඳහා යතුරු යුගලයක් ජනනය වේ. සැසිය සඳහා පුද්ගලික යතුර පරිශීලකයාගේ පරිගණකයේ වින්යාස ගොනුවක ගබඩා කර ඇත.
- RSA-8192. ප්රධාන පොදු යතුර වැඩසටහන තුළ ගොඩනගා ඇති අතර RSA-2048 සැසිය සඳහා AES යතුර සහ රහස් යතුර ගබඩා කරන වින්යාස ගොනුව සංකේතනය කිරීමට භාවිතා කරයි.
- Nemty මුලින්ම අහඹු දත්ත බයිට් 32ක් ජනනය කරයි. පළමු බයිට් 16 AES-128-CBC යතුර ලෙස භාවිතා කරයි.
දෙවන සංකේතාංකන ඇල්ගොරිතම RSA-2048 වේ. යතුරු යුගලය CryptGenKey() ශ්රිතය මගින් ජනනය වන අතර CryptImportKey() ශ්රිතය මගින් ආයාත කෙරේ.
සැසිය සඳහා යතුරු යුගලය උත්පාදනය කළ පසු, පොදු යතුර MS ගුප්ත ලේඛන සේවා සපයන්නා වෙත ආයාත කරනු ලැබේ.
සැසියක් සඳහා ජනනය කරන ලද පොදු යතුරක උදාහරණයක්:
ඊළඟට, පුද්ගලික යතුර CSP වෙත ආනයනය කරනු ලැබේ.
සැසියක් සඳහා ජනනය කරන ලද පුද්ගලික යතුරක උදාහරණයක්:
අන්තිමට එන්නේ RSA-8192. ප්රධාන පොදු යතුර PE ගොනුවේ .data කොටසේ සංකේතාත්මක ආකාරයෙන් (Base64 + RC4) ගබඩා කර ඇත.
Fuckav මුරපදය සමඟ base8192 විකේතනය සහ RC64 විකේතනය කිරීමෙන් පසු RSA-4 යතුර මේ ආකාරයෙන් පෙනේ.
ප්රතිඵලයක් වශයෙන්, සම්පූර්ණ සංකේතාංකන ක්රියාවලිය මේ ආකාරයෙන් පෙනේ:
- සියලුම ගොනු සංකේතනය කිරීමට භාවිතා කරන 128-bit AES යතුරක් ජනනය කරන්න.
- එක් එක් ගොනුව සඳහා IV එකක් සාදන්න.
- RSA-2048 සැසියක් සඳහා යතුරු යුගලයක් නිර්මාණය කිරීම.
- Base8192 සහ RC64 භාවිතා කරමින් පවතින RSA-4 යතුරක් විකේතනය කිරීම.
- පළමු පියවරේ සිට AES-128-CBC ඇල්ගොරිතම භාවිතයෙන් ගොනු අන්තර්ගතය සංකේතනය කරන්න.
- RSA-2048 පොදු යතුර සහ base64 කේතනය භාවිතයෙන් IV සංකේතනය.
- එක් එක් සංකේතනය කළ ගොනුවේ අවසානයට සංකේතනය කළ IV එකතු කිරීම.
- වින්යාසයට AES යතුරක් සහ RSA-2048 සැසි පුද්ගලික යතුරක් එක් කිරීම.
- කොටසේ විස්තර කර ඇති වින්යාස දත්ත ආසාදිත පරිගණකය ගැන ප්රධාන පොදු යතුර RSA-8192 භාවිතයෙන් සංකේතනය කර ඇත.
- සංකේතනය කළ ගොනුව මේ වගේ ය:
සංකේතාත්මක ගොනු සඳහා උදාහරණය:
ආසාදිත පරිගණකය පිළිබඳ තොරතුරු රැස් කිරීම
ransomware ආසාදිත ගොනු විකේතනය කිරීමට යතුරු එකතු කරයි, එබැවින් ප්රහාරකයාට ඇත්ත වශයෙන්ම විකේතනයක් නිර්මාණය කළ හැකිය. මීට අමතරව, Nemty පරිශීලක නාමය, පරිගණක නාමය, දෘඪාංග පැතිකඩ වැනි පරිශීලක දත්ත රැස් කරයි.
ආසාදිත පරිගණකයේ ධාවක පිළිබඳ තොරතුරු රැස් කිරීම සඳහා එය GetLogicalDrives(), GetFreeSpace(), GetDriveType() ශ්රිතයන් ලෙස හඳුන්වයි.
එකතු කරන ලද තොරතුරු වින්යාස ගොනුවක ගබඩා කර ඇත. තන්තුව විකේතනය කිරීමෙන් පසු, අපට වින්යාස ගොනුවේ පරාමිති ලැයිස්තුවක් ලැබේ:
ආසාදිත පරිගණකයක උදාහරණ වින්යාසය:
වින්යාස අච්චුව පහත පරිදි නිරූපණය කළ හැකිය:
{"සාමාන්ය": {"IP":"[IP]", "රට":"[රට]", "ComputerName":"[ComputerName]", "පරිශීලක නාමය":"[පරිශීලක නාමය]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "යතුර":"[යතුර]", "pr_key":"[pr_key]
Nemty එකතු කරන ලද දත්ත JSON ආකෘතියෙන් %USER%/_NEMTY_.nemty ගොනුවේ ගබඩා කරයි. FileID අක්ෂර 7ක් දිග සහ අහඹු ලෙස ජනනය වේ. උදාහරණයක් ලෙස: _NEMTY_tgdLYrd_.nemty. සංකේතාත්මක ගොනුවේ අවසානයට FileID ද අමුණා ඇත.
කප්පම් පණිවිඩය
ගොනු සංකේතනය කිරීමෙන් පසුව, _NEMTY_[FileID]-DECRYPT.txt ගොනුව පහත අන්තර්ගතය සමඟ ඩෙස්ක්ටොප් එකේ දිස්වේ:
ගොනුවේ අවසානයේ ආසාදිත පරිගණකය පිළිබඳ සංකේතාත්මක තොරතුරු ඇත.
ජාල සන්නිවේදනය
Ironman.exe ක්රියාවලිය ලිපිනයෙන් Tor බ්රවුසර බෙදා හැරීම බාගත කරයි සහ එය ස්ථාපනය කිරීමට උත්සාහ කරයි.
Nemty පසුව වින්යාස දත්ත 127.0.0.1:9050 වෙත යැවීමට උත්සාහ කරයි, එහිදී එය ක්රියාකාරී Tor බ්රවුසර ප්රොක්සියක් සොයා ගැනීමට අපේක්ෂා කරයි. කෙසේ වෙතත්, පෙරනිමියෙන් ටෝර් ප්රොක්සිය 9150 වරායට සවන් දෙයි, සහ 9050 වරාය ලිනක්ස් හි ටෝර් ඩීමන් හෝ වින්ඩෝස් හි ප්රවීණ බණ්ඩලය විසින් භාවිතා කරයි. මේ අනුව, ප්රහාරකයාගේ සේවාදායකයට දත්ත යවන්නේ නැත. ඒ වෙනුවට, කප්පම් පණිවිඩයේ සපයා ඇති සබැඳිය හරහා Tor විකේතන සේවාව වෙත පිවිසීමෙන් පරිශීලකයාට වින්යාස ගොනුව අතින් බාගත කළ හැක.
Tor ප්රොක්සි වෙත සම්බන්ධ කිරීම:
HTTP GET 127.0.0.1:9050/public/gate?data= වෙත ඉල්ලීමක් සාදයි
මෙහිදී ඔබට TORlocal ප්රොක්සි මගින් භාවිතා කරන විවෘත TCP ports දැකිය හැක:
Tor ජාලයේ Nemty විකේතන සේවාව:
විකේතන සේවාව පරීක්ෂා කිරීමට ඔබට සංකේතාත්මක ඡායාරූපයක් (jpg, png, bmp) උඩුගත කළ හැක.
මෙයින් පසු, ප්රහාරකයා කප්පම් මුදලක් ගෙවන ලෙස ඉල්ලා සිටී. නොගෙවන්නේ නම් මිල දෙගුණ වේ.
නිගමනය
මේ මොහොතේ, කප්පම් ගෙවීමකින් තොරව Nemty විසින් සංකේතනය කරන ලද ගොනු විකේතනය කළ නොහැක. මෙම ransomware අනුවාදය Buran ransomware සහ යල් පැන ගිය GandCrab සමඟ පොදු ලක්ෂණ ඇත: Borland Delphi හි සම්පාදනය සහ එම පෙළ සහිත පින්තූර. මීට අමතරව, මෙය 8092-bit RSA යතුරක් භාවිතා කරන පළමු සංකේතාකකය වන අතර, ආරක්ෂාව සඳහා 1024-bit යතුරක් ප්රමාණවත් බැවින්, නැවතත්, කිසිදු තේරුමක් නැත. අවසාන වශයෙන්, සහ සිත්ගන්නා කරුණ නම්, එය දේශීය ටෝර් ප්රොක්සි සේවාව සඳහා වැරදි වරායක් භාවිතා කිරීමට උත්සාහ කරයි.
කෙසේ වෙතත්, විසඳුම් и Nemty ransomware පරිශීලක පරිගණක සහ දත්ත වෙත ළඟා වීම වළක්වයි, සහ සපයන්නන්ට ඔවුන්ගේ සේවාදායකයින් ආරක්ෂා කළ හැකිය . පූර්ණ උපස්ථ පමණක් නොව, භාවිතා කිරීමෙන් ආරක්ෂාව සපයයි , තවමත් නොදන්නා අනිෂ්ට මෘදුකාංග පවා උදාසීන කිරීමට ඔබට ඉඩ සලසන කෘතිම බුද්ධිය සහ චර්යාත්මක හූරිස්ටික්ස් මත පදනම් වූ විශේෂ තාක්ෂණයකි.
මූලාශ්රය: www.habr.com