Njihuni me ransomware-in Nemty nga faqja e rreme PayPal
Një ransomware i ri i quajtur Nemty është shfaqur në rrjet, i cili supozohet se është pasardhësi i GrandCrab ose Buran. Malware shpërndahet kryesisht nga faqja e rreme e PayPal dhe ka një sërë veçorish interesante. Detajet rreth mënyrës se si funksionon ky ransomware janë nën prerje.
Shpërblim i ri Nemty u zbulua nga përdoruesi nao_sek 7 shtator 2019. Malware u shpërnda përmes një faqe interneti i maskuar si PayPal, është gjithashtu e mundur që ransomware të depërtojë në një kompjuter përmes kompletit të shfrytëzimit RIG. Sulmuesit përdorën metoda të inxhinierisë sociale për të detyruar përdoruesin të ekzekutonte skedarin cashback.exe, të cilin ai dyshohet se e mori nga faqja e internetit PayPal. Është gjithashtu kurioz që Nemty specifikoi portin e gabuar për shërbimin lokal të proxy Tor, i cili parandalon dërgimin e malware të dhënat në server. Prandaj, përdoruesi do të duhet të ngarkojë vetë skedarë të koduar në rrjetin Tor nëse synon të paguajë shpërblimin dhe të presë deshifrimin nga sulmuesit.
Disa fakte interesante rreth Nemty-t sugjerojnë se ai është zhvilluar nga të njëjtët njerëz ose nga kriminelët kibernetikë të lidhur me Buran dhe GrandCrab.
Ashtu si GandCrab, Nemty ka një vezë të Pashkëve - një lidhje me një foto të presidentit rus Vladimir Putin me një shaka të turpshme. Ransomware-i i trashëguar GandCrab kishte një imazh me të njëjtin tekst.
Artifaktet gjuhësore të të dy programeve tregojnë për të njëjtët autorë që flasin rusisht.
Ky është ransomware i parë që përdor një çelës RSA 8092-bit. Edhe pse nuk ka asnjë pikë në këtë: një çelës 1024-bit është mjaft i mjaftueshëm për t'u mbrojtur nga hakerimi.
Ashtu si Buran, ransomware është shkruar në Object Pascal dhe përpiluar në Borland Delphi.
Analiza statike
Ekzekutimi i kodit me qëllim të keq ndodh në katër faza. Hapi i parë është të ekzekutoni cashback.exe, një skedar i ekzekutueshëm PE32 nën MS Windows me një madhësi prej 1198936 bajt. Kodi i tij u shkrua në Visual C++ dhe u përpilua më 14 tetor 2013. Ai përmban një arkiv që shpaketohet automatikisht kur ekzekutoni cashback.exe. Softueri përdor bibliotekën Cabinet.dll dhe funksionet e saj FDICreate(), FDIDestroy() dhe të tjera për të marrë skedarë nga arkivi .cab.
Pas shpaketimit të arkivit, do të shfaqen tre skedarë.
Më pas, lëshohet temp.exe, një skedar i ekzekutueshëm PE32 nën MS Windows me një madhësi prej 307200 bajt. Kodi është i shkruar në Visual C++ dhe i paketuar me paketuesin MPRESS, një paketues i ngjashëm me UPX.
Hapi tjetër është ironman.exe. Pasi të lansohet, temp.exe deshifron të dhënat e ngulitura në temp dhe i riemërton në ironman.exe, një skedar i ekzekutueshëm PE32 544768 bajt. Kodi është përpiluar në Borland Delphi.
Hapi i fundit është rinisja e skedarit ironman.exe. Në kohën e ekzekutimit, ai transformon kodin e tij dhe funksionon vetë nga memoria. Ky version i ironman.exe është me qëllim të keq dhe është përgjegjës për kriptimin.
Vektori i sulmit
Aktualisht, ransomware Nemty shpërndahet përmes faqes së internetit pp-back.info.
Zinxhiri i plotë i infeksionit mund të shihet në app.any.run kuti rëre.
Instalim
Cashback.exe - fillimi i sulmit. Siç është përmendur tashmë, cashback.exe shpaketon skedarin .cab që përmban. Më pas krijon një dosje TMP4351$.TMP të formës %TEMP%IXxxx.TMP, ku xxx është një numër nga 001 në 999.
Më pas, është instaluar një çelës regjistri, i cili duket si ky:
Përdoret për të fshirë skedarët e papaketuar. Më në fund, cashback.exe fillon procesin temp.exe.
Temp.exe është faza e dytë në zinxhirin e infeksionit
Ky është procesi i nisur nga skedari cashback.exe, hapi i dytë i ekzekutimit të virusit. Ai përpiqet të shkarkojë AutoHotKey, një mjet për ekzekutimin e skripteve në Windows dhe të ekzekutojë skriptin WindowSpy.ahk që ndodhet në seksionin e burimeve të skedarit PE.
Skripti WindowSpy.ahk deshifron skedarin temp në ironman.exe duke përdorur algoritmin RC4 dhe fjalëkalimin IwantAcake. Çelësi nga fjalëkalimi merret duke përdorur algoritmin hashing MD5.
temp.exe më pas thërret procesin ironman.exe.
Ironman.exe - hapi i tretë
Ironman.exe lexon përmbajtjen e skedarit iron.bmp dhe krijon një skedar iron.txt me një kriptolocker që do të hapet më pas.
Pas kësaj, virusi ngarkon iron.txt në memorie dhe e rifillon atë si ironman.exe. Pas kësaj, iron.txt fshihet.
ironman.exe është pjesa kryesore e ransomware NEMTY, i cili kodon skedarët në kompjuterin e prekur. Malware krijon një mutex të quajtur urrejtje.
Gjëja e parë që bën është përcaktimi i vendndodhjes gjeografike të kompjuterit. Nemty hap shfletuesin dhe zbulon IP-në http://api.ipify.org. Online api.db-ip.com/v2/free[IP]/countryName Shteti përcaktohet nga IP-ja e marrë dhe nëse kompjuteri ndodhet në një nga rajonet e listuara më poshtë, ekzekutimi i kodit të malware ndalon:
Rusi
Bjellorusia
Ukrainë
Казахстан
Таджикистан
Me shumë mundësi, zhvilluesit nuk duan të tërheqin vëmendjen e agjencive të zbatimit të ligjit në vendet e tyre të banimit, dhe për këtë arsye nuk i kodojnë skedarët në juridiksionet e tyre "shtëpia".
Nëse adresa IP e viktimës nuk i përket listës së mësipërme, atëherë virusi kodon informacionin e përdoruesit.
Për të parandaluar rikuperimin e skedarëve, kopjet e tyre hije fshihen:
Më pas krijon një listë skedarësh dhe dosjesh që nuk do të kodohen, si dhe një listë të shtesave të skedarëve.
dritaret
$RICYCLE.BIN
rsa
NTDETECT.COM
etj
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
KONFIGIMI I SYS.
BOOTSECT.BAK
bootmgr
të dhënat e programit
të dhenat e programit
osoft
Skedarët e zakonshëm
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Errësim
Për të fshehur URL-të dhe të dhënat e integruara të konfigurimit, Nemty përdor një algoritëm kodimi base64 dhe RC4 me fjalën kyçe fuckav.
Procesi i deshifrimit duke përdorur CryptStringToBinary është si më poshtë
encryption
Nemty përdor kriptim me tre shtresa:
AES-128-CBC për skedarët. Çelësi 128-bit AES gjenerohet rastësisht dhe përdoret i njëjtë për të gjithë skedarët. Ai ruhet në një skedar konfigurimi në kompjuterin e përdoruesit. IV gjenerohet rastësisht për çdo skedar dhe ruhet në një skedar të koduar.
RSA-2048 për enkriptimin e skedarëve IV. Krijohet një çift çelësash për seancën. Çelësi privat për sesionin ruhet në një skedar konfigurimi në kompjuterin e përdoruesit.
RSA-8192. Çelësi publik kryesor është i integruar në program dhe përdoret për të enkriptuar skedarin e konfigurimit, i cili ruan çelësin AES dhe çelësin sekret për seancën RSA-2048.
Nemty së pari gjeneron 32 bajt të dhëna të rastësishme. 16 bajtët e parë përdoren si çelësi AES-128-CBC.
Algoritmi i dytë i enkriptimit është RSA-2048. Çifti i çelësave gjenerohet nga funksioni CryptGenKey() dhe importohet nga funksioni CryptImportKey().
Pasi të krijohet çifti i çelësave për seancën, çelësi publik importohet në Ofruesin e Shërbimit Kriptografik MS.
Një shembull i një çelësi publik të krijuar për një seancë:
Më pas, çelësi privat importohet në CSP.
Një shembull i një çelësi privat të krijuar për një seancë:
Dhe e fundit vjen RSA-8192. Çelësi kryesor publik ruhet në formë të koduar (Base64 + RC4) në seksionin .data të skedarit PE.
Çelësi RSA-8192 pas dekodimit të bazës64 dhe deshifrimit RC4 me fjalëkalimin fuckav duket kështu.
Si rezultat, i gjithë procesi i kriptimit duket si ky:
Gjeneroni një çelës AES 128-bit që do të përdoret për të enkriptuar të gjithë skedarët.
Krijo një IV për çdo skedar.
Krijimi i një çifti çelësash për një seancë RSA-2048.
Deshifrimi i një çelësi ekzistues RSA-8192 duke përdorur base64 dhe RC4.
Enkriptoni përmbajtjen e skedarit duke përdorur algoritmin AES-128-CBC që në hapin e parë.
Kriptimi IV duke përdorur çelësin publik RSA-2048 dhe kodimin bazë64.
Shtimi i një IV të koduar në fund të çdo skedari të koduar.
Shtimi i një çelësi AES dhe çelësi privat i sesionit RSA-2048 në konfigurim.
Të dhënat e konfigurimit të përshkruara në seksion Mbledhja e informacionit në lidhje me kompjuterin e infektuar janë të koduara duke përdorur çelësin kryesor publik RSA-8192.
Skedari i koduar duket si ky:
Shembull i skedarëve të koduar:
Mbledhja e informacionit për kompjuterin e infektuar
ransomware mbledh çelësat për të deshifruar skedarët e infektuar, kështu që sulmuesi mund të krijojë një dekriptues. Përveç kësaj, Nemty mbledh të dhëna të përdoruesit si emri i përdoruesit, emri i kompjuterit, profilin e harduerit.
Ai thërret funksionet GetLogicalDrives(), GetFreeSpace(), GetDriveType() për të mbledhur informacione rreth disqeve të kompjuterit të infektuar.
Informacioni i mbledhur ruhet në një skedar konfigurimi. Pasi të kemi deshifruar vargun, marrim një listë të parametrave në skedarin e konfigurimit:
Shembull i konfigurimit të një kompjuteri të infektuar:
Modeli i konfigurimit mund të përfaqësohet si më poshtë:
{"Të përgjithshme": {"IP":"[IP]", "Shteti":"[Shteti]", "Emri i kompjuterit":"[Emri i kompjuterit]", "Emri i përdoruesit":"[Emri i përdoruesit]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ ID e përdoruesit]", "kyç":"[kyç]", "pr_key":"[pr_key]
Nemty ruan të dhënat e mbledhura në formatin JSON në skedarin %USER%/_NEMTY_.nemty. FileID është 7 karaktere i gjatë dhe i krijuar rastësisht. Për shembull: _NEMTY_tgdLYrd_.nemty. FileID-i është gjithashtu i bashkangjitur në fund të skedarit të koduar.
Mesazh shpërblesë
Pas enkriptimit të skedarëve, skedari _NEMTY_[FileID]-DECRYPT.txt shfaqet në desktop me përmbajtjen e mëposhtme:
Në fund të skedarit ka informacion të koduar për kompjuterin e infektuar.
Nemty më pas përpiqet të dërgojë të dhënat e konfigurimit në 127.0.0.1:9050, ku pret të gjejë një përfaqësues të shfletuesit Tor që funksionon. Sidoqoftë, si parazgjedhje, përfaqësuesi Tor dëgjon në portin 9150 dhe porti 9050 përdoret nga daemon Tor në Linux ose Expert Bundle në Windows. Kështu, asnjë e dhënë nuk dërgohet në serverin e sulmuesit. Në vend të kësaj, përdoruesi mund të shkarkojë skedarin e konfigurimit manualisht duke vizituar shërbimin e deshifrimit Tor nëpërmjet lidhjes së dhënë në mesazhin e shpërblesës.
Lidhja me përfaqësuesin Tor:
HTTP GET krijon një kërkesë për 127.0.0.1:9050/public/gate?data=
Këtu mund të shihni portat e hapura TCP që përdoren nga përfaqësuesi TORlocal:
Shërbimi i deshifrimit Nemty në rrjetin Tor:
Mund të ngarkoni një foto të koduar (jpg, png, bmp) për të testuar shërbimin e deshifrimit.
Pas kësaj, sulmuesi kërkon të paguajë një shpërblim. Në rast mospagese çmimi dyfishohet.
Përfundim
Për momentin, nuk është e mundur të deshifrohen skedarët e koduar nga Nemty pa paguar një shpërblim. Ky version i ransomware ka veçori të përbashkëta me ransomware Buran dhe GandCrab të vjetëruar: përmbledhje në Borland Delphi dhe imazhe me të njëjtin tekst. Për më tepër, ky është kriptori i parë që përdor një çelës RSA 8092-bit, i cili, përsëri, nuk ka kuptim, pasi një çelës 1024-bit është i mjaftueshëm për mbrojtje. Më në fund, dhe interesant, ai përpiqet të përdorë portin e gabuar për shërbimin lokal të përfaqësuesit Tor.
Megjithatë, zgjidhjet Rezervimi i Acronis и Acronis True Image parandaloni që ransomware Nemty të arrijë në kompjuterët dhe të dhënat e përdoruesve, dhe ofruesit mund t'i mbrojnë klientët e tyre me Acronis Backup Cloud. Plot Mbrojtja kibernetike siguron jo vetëm kopje rezervë, por edhe mbrojtje duke përdorur Mbrojtja aktive Acronis, një teknologji e veçantë e bazuar në inteligjencën artificiale dhe heuristikat e sjelljes që ju lejon të neutralizoni malware edhe të panjohur.