O se ransomware fou ua taʻua o Nemty ua faʻaalia i luga o le upega tafaʻilagi, lea e faʻapea o le sui o GrandCrab poʻo Buran. Ole mea leaga e masani ona tufatufaina mai ile upega tafaʻilagi a PayPal ma e iai le tele o mea manaia. O faʻamatalaga e uiga i le faʻaogaina o lenei ransomware o loʻo i lalo ole tipi.
Nemty ransomware fou na maua e le tagata fa'aoga Setema 7, 2019. O le malware na tufatufaina atu i luga o se upega tafaʻilagi , e mafai foi e ransomware ona ofi i totonu o se komepiuta e ala i le RIG exploit kit. Na faʻaaogaina e le au osofaʻi auala faʻainisinia faʻaagafesootai e faʻamalosia ai le tagata faʻaoga e faʻatautaia le faila cashback.exe, lea na ia tuʻuaia na ia mauaina mai le upega tafaʻilagi a PayPal. fa'amatalaga i le 'au'aunaga. O le mea lea, e tatau i le tagata faʻaoga ona tuʻuina atu faila faʻailoga i le fesoʻotaʻiga Tor lava ia pe a manaʻo e totogi le tau ma faʻatali mo le faʻamalo mai le au osofaʻi.
Ole tele o fa'amatalaga mata'ina e uiga ia Nemty o lo'o fa'ailoa mai na fausia e tagata lava e tasi po'o tagata solitulafono i luga ole laiga e feso'ota'i ma Buran ma GrandCrab.
- E pei o GandCrab, o Nemty e iai se fuamoa o le Eseta - o se sootaga i se ata o le Peresetene Rusia o Vladimir Putin ma se tala ula mataga. O le talatuu GandCrab ransomware sa i ai se ata e tutusa lava tusitusiga.
- O fa'amatalaga gagana o polokalame uma e lua e fa'asino atu i tusitala e tasi e tautala i le gagana Rusia.
- Ole ransomware muamua lea e fa'aoga le 8092-bit RSA key. E ui lava e leai se aoga i lenei mea: o le 1024-bit ki e lava lava e puipuia mai le hacking.
- E pei o Buran, o le ransomware o loʻo tusia i le Object Pascal ma tuufaatasia i Borland Delphi.
Su'esu'ega tumau
Выполнение вредоносного кода происходит в четыре этапа. Первый шаг — запуск cashback.exe, PE32-исполняемого файла под MS Windows размером 1198936 байт. Его код написан на Visual C++ и скомпилирован 14 октября 2013 года. В нем находится архив, который автоматически распаковывается при запуске cashback.exe. ПО использует библиотеку Cabinet.dll и ее функции FDICreate(), FDIDestroy() и прочие для получения файлов из архива .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
A maeʻa ona tatala le faʻamaumauga, e tolu faila o le a aliali mai.
Далее запускается temp.exe, PE32-исполняемый файл под MS Windows размером 307200 байт. Код написан на Visual C++ и упакован MPRESS packer, упаковщиком, аналогичным UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
O le isi laasaga o le ironman.exe. O le taimi lava e fa'alauiloa ai, e fa'ate'aina e le temp.exe fa'amaumauga fa'apipi'i i le temp ma toe fa'aigoa i le ironman.exe, o le 32 byte PE544768 faila faila. O le code ua tuufaatasia i Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
O le laasaga mulimuli o le toe amata le faila ironman.exe. I le taimi o le taʻavale, e suia lana code ma alu ese mai le manatua. O lenei lomiga o ironman.exe e leaga ma e nafa ma faʻamatalaga.
Veta osofa'i
I le taimi nei, o le Nemty ransomware o loʻo tufatufa atu i luga o le upega tafaʻilagi pp-back.info.
E mafai ona va'aia le filifili atoa o fa'ama'i ile pusa oneone.
faatulagaga
Cashback.exe - o le amataga o le osofaʻiga. E pei ona ta'ua muamua, ua tatala e cashback.exe le faila .cab o lo'o iai. Ona fai ai lea o se faila TMP4351$.TMP o le pepa %TEMP%IXxxx.TMP, lea o le xxx o se numera mai le 001 i le 999.
Le isi, ua faʻapipiʻi se ki resitala, e pei o lenei:
[HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOncewextract_cleanup0]
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 «C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP»”
E faʻaaogaina e tape ai faila e leʻi faʻapipiʻiina. Mulimuli ane, cashback.exe amata le temp.exe faagasologa.
Temp.exe o le laasaga lona lua i le filifili faʻamaʻi
Это процесс, запущенный файлом cashback.exe, второй шаг исполнения вируса. Он пытается скачать AutoHotKey — инструмент для запуска скриптов под Windows — и запустить скрипт WindowSpy.ahk, расположенный в разделе ресурсов PE-файла.
O le WindowSpy.ahk script e fa'amuta le faila temp i ironman.exe e fa'aaoga ai le RC4 algorithm ma le password IwantAcake. O le ki mai le faʻaupuga e maua i le faʻaaogaina o le MD5 hashing algorithm.
temp.exe ona valaau lea o le ironman.exe process.
Ironman.exe - laasaga lona tolu
E faitau e Ironman.exe mea o loʻo i totonu o le faila iron.bmp ma fatuina se faila iron.txt ma se cryptolocker o le a faʻalauiloa mulimuli ane.
A mae'a lea, e utaina e le siama le iron.txt i le manatua ma toe amata i le ironman.exe. A maeʻa lenei mea, ua tape le iron.txt.
ironman.exe o le vaega autu o le NEMTY ransomware, lea e faʻailoga faila i luga o le komepiuta ua afaina. Malware faia se mutex e taʻua o le inoino.
O le mea muamua e fai o le fuafuaina o le nofoaga fa'afanua o le komepiuta. E tatala e Nemty le su'esu'ega ma su'e le IP i luga . I luga o le saite [IP]/countryName O le atunuu e fuafua mai le IP na maua, ma afai o le komepiuta o loʻo i totonu o se tasi o itulagi o loʻo lisiina i lalo, o le faʻaogaina o le malware code e taofi:
- Rusia
- Belarus
- Ukraine
- Kazakhstan
- Tajikistan
E foliga mai, e le manaʻo le au atinaʻe e tosina atu le mafaufau o ofisa faʻamalosia tulafono i totonu o latou atunuu o loʻo nonofo ai, ma o lea e le faʻapipiʻiina ai faila i totonu o latou pulega "fale".
Afai o le tuatusi IP a le tagata manua e le o iai i le lisi o loʻo i luga, ona faʻailogaina lea e le siama faʻamatalaga a le tagata faʻaoga.
Ina ia taofia le toe faʻaleleia o faila, e tape a latou kopi ata:
Ona faia lea o se lisi o faila ma faila o le a le faʻailogaina, faʻapea foʻi ma se lisi o faʻaopoopoga faila.
- faamalama
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- ma isi
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- polokalame data
- fa'amatalaga app
- osoft
- Faila masani
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Fa'alavelave
Ina ia natia URL ma faʻapipiʻi faʻamaumauga faʻapipiʻi, e faʻaogaina e Nemty le base64 ma le RC4 encoding algorithm ma le fuckav keyword.
O le faʻaogaina o le faʻaogaina o le CryptStringToBinary e faʻapea
Faʻailoga
E fa'aoga e Nemty le fa'ailoga e tolu-vaega:
- AES-128-CBC mo faila. Ole ki ole 128-bit AES e fa'atupu fa'afuase'i ma fa'aoga tutusa mo faila uma. O lo'o teuina i totonu o se faila fa'atulagaina i le komepiuta a le tagata fa'aoga. O le IV e faʻatupu faʻafuaseʻi mo faila taʻitasi ma teuina i totonu o se faila faʻailoga.
- RSA-2048 mo faila fa'ailoga IV. E fa'atupuina se paga autu mo le sauniga. O le ki patino mo le sauniga o loʻo teuina i se faila faʻatulagaina i luga o le komepiuta a le tagata faʻaoga.
- RSA-8192. O le matua autu lautele o loʻo fausia i totonu o le polokalame ma faʻaaogaina e faʻapipiʻi ai le faila faʻatulagaina, lea e teu ai le ki AES ma le ki faalilolilo mo le sauniga RSA-2048.
- Nemty muamua fa'atupuina 32 bytes o fa'amaumauga fa'afuase'i. O le 16 paita muamua o loʻo faʻaaogaina e fai ma ki AES-128-CBC.
O le fa'ailoga lona lua algorithm o le RSA-2048. O le pa'aga autu e gaosia e le CryptGenKey() galuega ma fa'aulufale mai e le CryptImportKey() galuega.
O le taimi lava e fa'atupu ai le pa'aga autu mo le sauniga, e fa'aulufale mai le ki lautele i totonu ole MS Cryptographic Service Provider.
O se fa'ata'ita'iga o se ki fa'alaua'itele fa'atupuina mo se sauniga:
O le isi, o le ki tumaoti e faaulufale mai i totonu o le CSP.
O se faʻataʻitaʻiga o se ki faʻapitoa na gaosia mo se sauniga:
Ma mulimuli ane o le RSA-8192. O le autu autu lautele o loʻo teuina i le faʻailoga faʻailoga (Base64 + RC4) i le vaega .data o le faila PE.
O le RSA-8192 ki ina ua uma le base64 decoding ma RC4 decryption ma le fuckav upu faataga e pei o lenei.
O le iʻuga, o le faʻasologa atoa o faʻailoga e foliga faʻapea:
- Fausia se ki 128-bit AES o le a faʻaogaina e faʻailoga uma faila.
- Fausia se IV mo faila taʻitasi.
- Fausia se paga autu mo se RSA-2048 vasega.
- Decryption o le RSA-8192 ki o loʻo iai e faʻaaoga ai le base64 ma le RC4.
- Fa'ailoga faila faila e fa'aaoga ai le AES-128-CBC algorithm mai le laasaga muamua.
- Fa'ailoga IV e fa'aaoga ai le RSA-2048 lautele ma le base64 encoding.
- Fa'aopoopoina se fa'ailoga IV i le pito o faila fa'ailoga ta'itasi.
- Fa'aopoopoina le ki AES ma le RSA-2048 session private key i le config.
- Fa'amatalaga fa'atulagaina o lo'o fa'amatalaina ile vaega e uiga i le komepiuta pisia ua fa'ailogaina i le fa'aogaina o le autu autu lautele RSA-8192.
- O le faila fa'ailoga e pei o lenei:
Fa'ata'ita'iga o faila fa'ailoga:
Aoina mai o faamatalaga e uiga i le komepiuta ua aafia
E aoina e le ransomware ki e faʻamalo ai faila faʻamaʻi, o lea e mafai ai e le tagata osofaʻi ona fatuina se decryptor. E le gata i lea, e aoina e Nemty faʻamatalaga tagata e pei ole igoa ole igoa, igoa komepiuta, faʻamatalaga meafaigaluega.
E ta'ua ai le GetLogicalDrives(), GetFreeSpace(), GetDriveType() galuega e aoina ai fa'amatalaga e uiga i ta'avale a le komepiuta ua pisia.
O faʻamatalaga aoina o loʻo teuina i totonu o se faila faʻatulagaina. I le faʻavasegaina o le manoa, matou te maua se lisi o faʻamaufaʻailoga i le faila faila:
Fa'ata'ita'iga fa'atonuga o se komepiuta ua a'afia:
E mafai ona fa'atusaina le mamanu fa'atulagaina e pei ona ta'ua i lalo:
{"General": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":sese, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "ki":"[ki]", "pr_key":"[pr_key]
E teu e Nemty fa'amaumauga ua aoina i le JSON fa'atulagaina i le faila %USER%/_NEMTY_.nemty. FileID e 7 mataitusi le umi ma fa'atupu fa'afuase'i. Mo se fa'ata'ita'iga: _NEMTY_tgdLYrd_.nemty. O le FileID o loʻo faʻapipiʻiina foi i le pito o le faila faʻailoga.
Fe'au togiola
A uma ona fa'ailoga faila, o le faila _NEMTY_[FileID]-DECRYPT.txt o loʻo faʻaalia i luga o le komepiuta ma mea nei:
I le pito o le faila o loʻo i ai faʻamatalaga faʻailoga e uiga i le komepiuta ua pisia.
Fesootaiga feso'ota'iga
O le ironman.exe faʻagasologa e sii maia le Tor browser tufatufaina mai le tuatusi ma taumafai e faʻapipiʻi.
Затем Nemty пытается отправить конфигурационные данные на адрес 127.0.0.1:9050, где ожидает найти работающий прокси-сервер браузера Tor. Однако по умолчанию прокси-сервер Tor прослушивает порт 9150, а порт 9050 использует демон Tor в Linux или Expert Bundle на Windows. Таким образом, данные на сервер злоумышленника не отправляются. Вместо этого пользователь может загрузить конфигурационный файл вручную, посетив службу расшифровки Tor по ссылке, указанной сообщении о выкупе.
Feso'ota'i ile sui ole Tor:
HTTP GET faia se talosaga i le 127.0.0.1:9050/public/gate?data=
O iinei e mafai ai ona e vaʻai i pusa TCP tatala o loʻo faʻaogaina e le sui TORlocal:
Nemty decrypted auaunaga i luga o le fesoʻotaʻiga Tor:
E mafai ona e tuʻuina atu se ata faʻailoga (jpg, png, bmp) e faʻataʻitaʻi ai le auaunaga faʻamalo.
A maeʻa lenei mea, e talosaga le tagata osofaʻi e totogi se tau. I le tulaga o le le totogiina o le tau e faaluaina.
iʻuga
I le taimi nei, e le mafai ona faʻamaonia faila na faʻailogaina e Nemty e aunoa ma le totogiina o se tau. O lenei faʻasologa o le ransomware e iai uiga masani ma le Buran ransomware ma le GandCrab tuai: faʻapipiʻi i Borland Delphi ma ata faʻatasi ai ma tusitusiga tutusa. E le gata i lea, o le faʻailoga muamua lea e faʻaaogaina ai le 8092-bit RSA key, lea, toe, e leai se uiga, talu ai o le 1024-bit key e lava mo le puipuiga. Ma le mea mulimuli, ma le manaia, e taumafai e faʻaaoga le taulaga sese mo le auaunaga sui sui a Tor.
Peitai, fofo и puipuia le Nemty ransomware mai le oʻo atu i PC faʻaoga ma faʻamaumauga, ma e mafai e le au tuʻuina atu ona puipuia a latou tagata faʻatau . tumu e le gata ina fa'apolopolo, ae fa'apea fo'i le fa'aogaina o le puipuiga , o se tekinolosi faʻapitoa e faʻavae i luga o le atamai faʻapitoa ma le amio faʻamaʻi e mafai ai ona e faʻaumatia mea leaga e le o iloa.
puna: www.habr.com
