O se ransomware fou ua taʻua o Nemty ua faʻaalia i luga o le upega tafaʻilagi, lea e faʻapea o le sui o GrandCrab poʻo Buran. Ole mea leaga e masani ona tufatufaina mai ile upega tafaʻilagi a PayPal ma e iai le tele o mea manaia. O faʻamatalaga e uiga i le faʻaogaina o lenei ransomware o loʻo i lalo ole tipi.
Nemty ransomware fou na maua e le tagata fa'aoga Setema 7, 2019. O le malware na tufatufaina atu i luga o se upega tafaʻilagi , e mafai foi e ransomware ona ofi i totonu o se komepiuta e ala i le RIG exploit kit. Na faʻaaogaina e le au osofaʻi auala faʻainisinia faʻaagafesootai e faʻamalosia ai le tagata faʻaoga e faʻatautaia le faila cashback.exe, lea na ia tuʻuaia na ia mauaina mai le upega tafaʻilagi a PayPal. fa'amatalaga i le 'au'aunaga. O le mea lea, e tatau i le tagata faʻaoga ona tuʻuina atu faila faʻailoga i le fesoʻotaʻiga Tor lava ia pe a manaʻo e totogi le tau ma faʻatali mo le faʻamalo mai le au osofaʻi.
Ole tele o fa'amatalaga mata'ina e uiga ia Nemty o lo'o fa'ailoa mai na fausia e tagata lava e tasi po'o tagata solitulafono i luga ole laiga e feso'ota'i ma Buran ma GrandCrab.
- E pei o GandCrab, o Nemty e iai se fuamoa o le Eseta - o se sootaga i se ata o le Peresetene Rusia o Vladimir Putin ma se tala ula mataga. O le talatuu GandCrab ransomware sa i ai se ata e tutusa lava tusitusiga.
- O fa'amatalaga gagana o polokalame uma e lua e fa'asino atu i tusitala e tasi e tautala i le gagana Rusia.
- Ole ransomware muamua lea e fa'aoga le 8092-bit RSA key. E ui lava e leai se aoga i lenei mea: o le 1024-bit ki e lava lava e puipuia mai le hacking.
- E pei o Buran, o le ransomware o loʻo tusia i le Object Pascal ma tuufaatasia i Borland Delphi.
Su'esu'ega tumau
O le faʻatinoina o tulafono faʻaleagaina e tupu i vaega e fa. O le laasaga muamua o le fa'agasolo lea o le cashback.exe, o se faila faila PE32 i lalo ole MS Windows ma le tele o le 1198936 bytes. O lona code na tusia i le Visual C ++ ma tuufaatasia ia Oketopa 14, 2013. O lo'o iai se fa'amaumauga e otometi lava ona tatala pe a e ta'e cashback.exe. O lo'o fa'aogaina e le polokalame le faletusi Cabinet.dll ma ana galuega FDICreate(), FDIDestroy() ma isi e maua mai ai faila mai le .cab archive.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
A maeʻa ona tatala le faʻamaumauga, e tolu faila o le a aliali mai.
O le isi, temp.exe faʻalauiloa, o se faila faila PE32 i lalo ole MS Windows ma le tele o le 307200 bytes. O le code o loʻo tusia i le Visual C ++ ma faʻapipiʻiina i le MPRESS packer, o se packer e tutusa ma UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
O le isi laasaga o le ironman.exe. O le taimi lava e fa'alauiloa ai, e fa'ate'aina e le temp.exe fa'amaumauga fa'apipi'i i le temp ma toe fa'aigoa i le ironman.exe, o le 32 byte PE544768 faila faila. O le code ua tuufaatasia i Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
O le laasaga mulimuli o le toe amata le faila ironman.exe. I le taimi o le taʻavale, e suia lana code ma alu ese mai le manatua. O lenei lomiga o ironman.exe e leaga ma e nafa ma faʻamatalaga.
Veta osofa'i
I le taimi nei, o le Nemty ransomware o loʻo tufatufa atu i luga o le upega tafaʻilagi pp-back.info.
E mafai ona va'aia le filifili atoa o fa'ama'i ile pusa oneone.
faatulagaga
Cashback.exe - o le amataga o le osofaʻiga. E pei ona ta'ua muamua, ua tatala e cashback.exe le faila .cab o lo'o iai. Ona fai ai lea o se faila TMP4351$.TMP o le pepa %TEMP%IXxxx.TMP, lea o le xxx o se numera mai le 001 i le 999.
Le isi, ua faʻapipiʻi se ki resitala, e pei o lenei:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
E faʻaaogaina e tape ai faila e leʻi faʻapipiʻiina. Mulimuli ane, cashback.exe amata le temp.exe faagasologa.
Temp.exe o le laasaga lona lua i le filifili faʻamaʻi
O le faʻagasologa lea na faʻalauiloaina e le faila cashback.exe, o le laasaga lona lua o le faʻamaʻiina o siama. E taumafai e sii mai le AutoHotKey, o se meafaigaluega mo le faʻaogaina o tusitusiga i luga o Windows, ma faʻatautaia le WindowSpy.ahk script o loʻo i totonu o le vaega o punaoa o le faila PE.
O le WindowSpy.ahk script e fa'amuta le faila temp i ironman.exe e fa'aaoga ai le RC4 algorithm ma le password IwantAcake. O le ki mai le faʻaupuga e maua i le faʻaaogaina o le MD5 hashing algorithm.
temp.exe ona valaau lea o le ironman.exe process.
Ironman.exe - laasaga lona tolu
E faitau e Ironman.exe mea o loʻo i totonu o le faila iron.bmp ma fatuina se faila iron.txt ma se cryptolocker o le a faʻalauiloa mulimuli ane.
A mae'a lea, e utaina e le siama le iron.txt i le manatua ma toe amata i le ironman.exe. A maeʻa lenei mea, ua tape le iron.txt.
ironman.exe o le vaega autu o le NEMTY ransomware, lea e faʻailoga faila i luga o le komepiuta ua afaina. Malware faia se mutex e taʻua o le inoino.
O le mea muamua e fai o le fuafuaina o le nofoaga fa'afanua o le komepiuta. E tatala e Nemty le su'esu'ega ma su'e le IP i luga . I luga o le saite [IP]/countryName O le atunuu e fuafua mai le IP na maua, ma afai o le komepiuta o loʻo i totonu o se tasi o itulagi o loʻo lisiina i lalo, o le faʻaogaina o le malware code e taofi:
- Rusia
- Belarus
- Ukraine
- Kazakhstan
- Tajikistan
E foliga mai, e le manaʻo le au atinaʻe e tosina atu le mafaufau o ofisa faʻamalosia tulafono i totonu o latou atunuu o loʻo nonofo ai, ma o lea e le faʻapipiʻiina ai faila i totonu o latou pulega "fale".
Afai o le tuatusi IP a le tagata manua e le o iai i le lisi o loʻo i luga, ona faʻailogaina lea e le siama faʻamatalaga a le tagata faʻaoga.
Ina ia taofia le toe faʻaleleia o faila, e tape a latou kopi ata:
Ona faia lea o se lisi o faila ma faila o le a le faʻailogaina, faʻapea foʻi ma se lisi o faʻaopoopoga faila.
- faamalama
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- ma isi
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- polokalame data
- fa'amatalaga app
- osoft
- Faila masani
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Fa'alavelave
Ina ia natia URL ma faʻapipiʻi faʻamaumauga faʻapipiʻi, e faʻaogaina e Nemty le base64 ma le RC4 encoding algorithm ma le fuckav keyword.
O le faʻaogaina o le faʻaogaina o le CryptStringToBinary e faʻapea
Faʻailoga
E fa'aoga e Nemty le fa'ailoga e tolu-vaega:
- AES-128-CBC mo faila. Ole ki ole 128-bit AES e fa'atupu fa'afuase'i ma fa'aoga tutusa mo faila uma. O lo'o teuina i totonu o se faila fa'atulagaina i le komepiuta a le tagata fa'aoga. O le IV e faʻatupu faʻafuaseʻi mo faila taʻitasi ma teuina i totonu o se faila faʻailoga.
- RSA-2048 mo faila fa'ailoga IV. E fa'atupuina se paga autu mo le sauniga. O le ki patino mo le sauniga o loʻo teuina i se faila faʻatulagaina i luga o le komepiuta a le tagata faʻaoga.
- RSA-8192. O le matua autu lautele o loʻo fausia i totonu o le polokalame ma faʻaaogaina e faʻapipiʻi ai le faila faʻatulagaina, lea e teu ai le ki AES ma le ki faalilolilo mo le sauniga RSA-2048.
- Nemty muamua fa'atupuina 32 bytes o fa'amaumauga fa'afuase'i. O le 16 paita muamua o loʻo faʻaaogaina e fai ma ki AES-128-CBC.
O le fa'ailoga lona lua algorithm o le RSA-2048. O le pa'aga autu e gaosia e le CryptGenKey() galuega ma fa'aulufale mai e le CryptImportKey() galuega.
O le taimi lava e fa'atupu ai le pa'aga autu mo le sauniga, e fa'aulufale mai le ki lautele i totonu ole MS Cryptographic Service Provider.
O se fa'ata'ita'iga o se ki fa'alaua'itele fa'atupuina mo se sauniga:
O le isi, o le ki tumaoti e faaulufale mai i totonu o le CSP.
O se faʻataʻitaʻiga o se ki faʻapitoa na gaosia mo se sauniga:
Ma mulimuli ane o le RSA-8192. O le autu autu lautele o loʻo teuina i le faʻailoga faʻailoga (Base64 + RC4) i le vaega .data o le faila PE.
O le RSA-8192 ki ina ua uma le base64 decoding ma RC4 decryption ma le fuckav upu faataga e pei o lenei.
O le iʻuga, o le faʻasologa atoa o faʻailoga e foliga faʻapea:
- Fausia se ki 128-bit AES o le a faʻaogaina e faʻailoga uma faila.
- Fausia se IV mo faila taʻitasi.
- Fausia se paga autu mo se RSA-2048 vasega.
- Decryption o le RSA-8192 ki o loʻo iai e faʻaaoga ai le base64 ma le RC4.
- Fa'ailoga faila faila e fa'aaoga ai le AES-128-CBC algorithm mai le laasaga muamua.
- Fa'ailoga IV e fa'aaoga ai le RSA-2048 lautele ma le base64 encoding.
- Fa'aopoopoina se fa'ailoga IV i le pito o faila fa'ailoga ta'itasi.
- Fa'aopoopoina le ki AES ma le RSA-2048 session private key i le config.
- Fa'amatalaga fa'atulagaina o lo'o fa'amatalaina ile vaega e uiga i le komepiuta pisia ua fa'ailogaina i le fa'aogaina o le autu autu lautele RSA-8192.
- O le faila fa'ailoga e pei o lenei:
Fa'ata'ita'iga o faila fa'ailoga:
Aoina mai o faamatalaga e uiga i le komepiuta ua aafia
E aoina e le ransomware ki e faʻamalo ai faila faʻamaʻi, o lea e mafai ai e le tagata osofaʻi ona fatuina se decryptor. E le gata i lea, e aoina e Nemty faʻamatalaga tagata e pei ole igoa ole igoa, igoa komepiuta, faʻamatalaga meafaigaluega.
E ta'ua ai le GetLogicalDrives(), GetFreeSpace(), GetDriveType() galuega e aoina ai fa'amatalaga e uiga i ta'avale a le komepiuta ua pisia.
O faʻamatalaga aoina o loʻo teuina i totonu o se faila faʻatulagaina. I le faʻavasegaina o le manoa, matou te maua se lisi o faʻamaufaʻailoga i le faila faila:
Fa'ata'ita'iga fa'atonuga o se komepiuta ua a'afia:
E mafai ona fa'atusaina le mamanu fa'atulagaina e pei ona ta'ua i lalo:
{"General": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":sese, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "ki":"[ki]", "pr_key":"[pr_key]
E teu e Nemty fa'amaumauga ua aoina i le JSON fa'atulagaina i le faila %USER%/_NEMTY_.nemty. FileID e 7 mataitusi le umi ma fa'atupu fa'afuase'i. Mo se fa'ata'ita'iga: _NEMTY_tgdLYrd_.nemty. O le FileID o loʻo faʻapipiʻiina foi i le pito o le faila faʻailoga.
Fe'au togiola
A uma ona fa'ailoga faila, o le faila _NEMTY_[FileID]-DECRYPT.txt o loʻo faʻaalia i luga o le komepiuta ma mea nei:
I le pito o le faila o loʻo i ai faʻamatalaga faʻailoga e uiga i le komepiuta ua pisia.
Fesootaiga feso'ota'iga
O le ironman.exe faʻagasologa e sii maia le Tor browser tufatufaina mai le tuatusi ma taumafai e faʻapipiʻi.
Ona taumafai lea o Nemty e auina atu faʻamatalaga faʻatulagaina i le 127.0.0.1:9050, lea e faʻamoemoe e maua ai se sui suʻesuʻe Tor. Ae ui i lea, ona o le le mafai ona faʻalogo le sui o le Tor i luga o le port 9150, ma o le port 9050 e faʻaaogaina e le Tor daemon i luga o Linux poʻo le Expert Bundle i Windows. O le mea lea, e leai se faʻamatalaga e lafoina i le 'auʻaunaga a le tagata osofaʻi. Nai lo lena, e mafai e le tagata faʻaoga ona sii mai le faila faila ma le lima e ala i le asiasi i le Tor decryption service e ala i le fesoʻotaʻiga o loʻo tuʻuina atu i le feʻau tau.
Feso'ota'i ile sui ole Tor:
HTTP GET faia se talosaga i le 127.0.0.1:9050/public/gate?data=
O iinei e mafai ai ona e vaʻai i pusa TCP tatala o loʻo faʻaogaina e le sui TORlocal:
Nemty decrypted auaunaga i luga o le fesoʻotaʻiga Tor:
E mafai ona e tuʻuina atu se ata faʻailoga (jpg, png, bmp) e faʻataʻitaʻi ai le auaunaga faʻamalo.
A maeʻa lenei mea, e talosaga le tagata osofaʻi e totogi se tau. I le tulaga o le le totogiina o le tau e faaluaina.
iʻuga
I le taimi nei, e le mafai ona faʻamaonia faila na faʻailogaina e Nemty e aunoa ma le totogiina o se tau. O lenei faʻasologa o le ransomware e iai uiga masani ma le Buran ransomware ma le GandCrab tuai: faʻapipiʻi i Borland Delphi ma ata faʻatasi ai ma tusitusiga tutusa. E le gata i lea, o le faʻailoga muamua lea e faʻaaogaina ai le 8092-bit RSA key, lea, toe, e leai se uiga, talu ai o le 1024-bit key e lava mo le puipuiga. Ma le mea mulimuli, ma le manaia, e taumafai e faʻaaoga le taulaga sese mo le auaunaga sui sui a Tor.
Peitai, fofo и puipuia le Nemty ransomware mai le oʻo atu i PC faʻaoga ma faʻamaumauga, ma e mafai e le au tuʻuina atu ona puipuia a latou tagata faʻatau . tumu e le gata ina fa'apolopolo, ae fa'apea fo'i le fa'aogaina o le puipuiga , o se tekinolosi faʻapitoa e faʻavae i luga o le atamai faʻapitoa ma le amio faʻamaʻi e mafai ai ona e faʻaumatia mea leaga e le o iloa.
puna: www.habr.com