A ransomware anyar disebut Nemty geus mucunghul dina jaringan, nu konon panerusna GrandCrab atanapi Buran. Malware ieu utamana disebarkeun ti ramatloka PayPal palsu sarta ngabogaan sajumlah fitur metot. Rincian ngeunaan kumaha ransomware ieu jalanna aya dina potongan.
ransomware Nemty anyar kapanggih ku pamaké 7 Séptémber 2019. Malware ieu disebarkeun ngaliwatan ramatloka a , eta oge mungkin keur ransomware nembus komputer ngaliwatan RIG mangpaatkeun kit. Para panyerang ngagunakeun metode rékayasa sosial pikeun maksa pangguna pikeun ngajalankeun file cashback.exe, anu disangka ditampi tina situs wéb PayPal. data ka server. Ku sabab éta, pangguna kedah unggah file énkripsi kana jaringan Tor nyalira upami anjeunna badé mayar tebusan sareng ngantosan dekripsi ti panyerang.
Sababaraha fakta metot ngeunaan Nemty nunjukkeun yén éta dimekarkeun ku jalma anu sarua atawa ku cybercriminals pakait sareng Buran na GrandCrab.
- Sapertos GandCrab, Nemty gaduh endog Paskah - tautan kana poto Présidén Rusia Vladimir Putin kalayan lulucon anu teu sopan. Warisan GandCrab ransomware ngagaduhan gambar sareng téks anu sami.
- Artefak basa duanana program nunjuk ka pangarang Rusia-diomongkeun sami.
- Ieu mangrupikeun ransomware munggaran anu ngagunakeun konci RSA 8092-bit. Sanaos henteu aya gunana: konci 1024-bit cukup pikeun ngajagaan tina peretasan.
- Sapertos Buran, ransomware ditulis dina Object Pascal sareng disusun dina Borland Delphi.
Analisis statik
Palaksanaan kode jahat lumangsung dina opat tahap. Léngkah munggaran nyaéta ngajalankeun cashback.exe, file executable PE32 dina MS Windows kalayan ukuran 1198936 bait. Kodena ditulis dina Visual C ++ sareng disusun dina 14 Oktober 2013. Ieu ngandung hiji arsip anu otomatis unpacked mun anjeun ngajalankeun cashback.exe. software ngagunakeun perpustakaan Cabinet.dll sarta fungsi na FDICreate (), FDIDestroy () jeung nu lianna pikeun ménta file ti arsip .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Saatos unpacking arsip, tilu file bakal muncul.
Teras, temp.exe diluncurkeun, file anu tiasa dieksekusi PE32 dina MS Windows kalayan ukuran 307200 bait. Kode ieu ditulis dina Visual C ++ sarta rangkep jeung MPRESS packer, a packer sarupa UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Lengkah saterusna nyaeta ironman.exe. Sakali diluncurkeun, temp.exe ngadekrip data anu dipasang dina temp sareng ngagentos nami janten ironman.exe, file executable 32 byte PE544768. Kodeu disusun dina Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Léngkah terakhir nyaéta ngabalikan deui file ironman.exe. Dina runtime, éta transforms kode sarta ngajalankeun sorangan tina memori. Vérsi ieu ironman.exe jahat jeung tanggung jawab enkripsi.
Vektor serangan
Ayeuna, Nemty ransomware disebarkeun ngaliwatan website pp-back.info.
Ranté lengkep inféksi tiasa ditingali di kotak pasir.
setting
Cashback.exe - awal serangan. Sakumaha geus disebutkeun, cashback.exe unpacks file .cab eta ngandung. Teras nyiptakeun folder TMP4351$.TMP tina bentuk %TEMP%IXxxx.TMP, dimana xxx mangrupikeun angka ti 001 dugi ka 999.
Salajengna, konci pendaptaran dipasang, sapertos kieu:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
Hal ieu dipaké pikeun mupus file unpacked. Tungtungna, cashback.exe ngamimitian prosés temp.exe.
Temp.exe mangrupikeun tahap kadua dina ranté inféksi
Ieu mangrupikeun prosés anu diluncurkeun ku file cashback.exe, léngkah kadua palaksanaan virus. Ieu nyoba ngundeur AutoHotKey, alat pikeun ngajalankeun Aksara dina Windows, tur ngajalankeun skrip WindowSpy.ahk lokasina di bagian sumberdaya file pe.
Skrip WindowSpy.ahk ngadekrip file temp dina ironman.exe nganggo algoritma RC4 sareng sandi IwantAcake. Konci tina kecap akses dicandak nganggo algoritma hashing MD5.
temp.exe teras nyauran prosés ironman.exe.
Ironman.exe - hambalan katilu
Ironman.exe maca eusi file iron.bmp sarta nyieun hiji file iron.txt kalawan cryptolocker nu bakal dibuka salajengna.
Saatos ieu, virus ngamuat iron.txt kana mémori sareng dibalikan deui salaku ironman.exe. Saatos ieu, iron.txt dihapus.
ironman.exe mangrupikeun bagian utama tina ransomware NEMTY, anu énkripsi file dina komputer anu kapangaruhan. Malware nyiptakeun mutex anu disebut hate.
Hal kahiji anu dilakukeun nyaéta nangtukeun lokasi geografis komputer. Nemty muka browser tur manggihan IP on . Dina situs [IP]/countryName Nagara ditangtukeun tina IP anu ditampi, sareng upami komputerna aya di salah sahiji daérah anu didaptarkeun di handap ieu, palaksanaan kode malware eureun:
- Rusia
- Byelorussia
- Ukraine
- Kazakhstan
- Tajikistan
Paling dipikaresep, pamekar teu hayang narik perhatian agénsi penegak hukum di nagara maranéhanana tinggal, sarta ku kituna ulah encrypt file dina "imah" yurisdiksi maranéhanana.
Upami alamat IP korban henteu kalebet dina daptar di luhur, virus éta énkripsi inpormasi pangguna.
Pikeun nyegah pamulihan file, salinan bayanganna dihapus:
Éta teras nyiptakeun daptar file sareng polder anu moal énkripsi, ogé daptar ekstensi file.
- jandela
- $RECYCLE.BIN
- persÃ
- NTDETECT.COM
- jsb
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- data program
- data aplikasi
- osoft
- File umum
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Kabingung
Pikeun nyumputkeun URL sareng data konfigurasi anu dipasang, Nemty nganggo algoritma encoding base64 sareng RC4 kalayan kecap konci fuckav.
Prosés dekripsi ngagunakeun CryptStringToBinary nyaéta kieu
Énkripsi
Nemty nganggo énkripsi tilu lapis:
- AES-128-CBC pikeun file. Konci AES 128-bit dihasilkeun sacara acak sareng dianggo sami pikeun sadaya file. Ieu disimpen dina file konfigurasi dina komputer pamaké. IV dihasilkeun sacara acak pikeun tiap file sareng disimpen dina file énkripsi.
- RSA-2048 pikeun énkripsi file IV. Hiji pasangan konci pikeun sési dihasilkeun. Konci swasta pikeun sési disimpen dina file konfigurasi dina komputer pamaké.
- RSA-8192. Konci umum master diwangun kana program sareng dianggo pikeun énkripsi file konfigurasi, anu nyimpen konci AES sareng konci rahasia pikeun sési RSA-2048.
- Nemty mimiti ngahasilkeun 32 bait data acak. 16 bait munggaran dipaké salaku konci AES-128-CBC.
Algoritma enkripsi kadua nyaéta RSA-2048. Pasangan konci dihasilkeun ku fungsi CryptGenKey () sarta diimpor ku fungsi CryptImportKey ().
Sakali pasangan konci pikeun sési dihasilkeun, konci publik diimpor kana MS Cryptographic Service Provider.
Conto konci umum anu dihasilkeun pikeun sési:
Salajengna, konci swasta diimpor kana CSP.
Conto konci pribadi anu dihasilkeun pikeun sési:
Jeung panungtungan asalna RSA-8192. Konci publik utama disimpen dina formulir énkripsi (Base64 + RC4) dina bagian .data file pe.
Konci RSA-8192 saatos decoding base64 sareng dekripsi RC4 nganggo sandi fuckav sapertos kieu.
Hasilna, sakabéh prosés enkripsi kasampak kawas kieu:
- Ngahasilkeun konci AES 128-bit anu bakal dianggo pikeun énkripsi sadaya file.
- Jieun IV pikeun tiap file.
- Nyiptakeun pasangan konci pikeun sési RSA-2048.
- Dekripsi konci RSA-8192 anu aya nganggo base64 sareng RC4.
- Énkripsi eusi file nganggo algoritma AES-128-CBC tina léngkah munggaran.
- Enkripsi IV nganggo konci umum RSA-2048 sareng encoding base64.
- Nambahkeun hiji IV énkripsi ka tungtung unggal file énkripsi.
- Nambahkeun konci AES sareng konci pribadi sési RSA-2048 kana konfigurasi.
- Data konfigurasi dijelaskeun dina bagian ngeunaan komputer anu kainféksi énkripsi nganggo konci umum utama RSA-8192.
- Berkas énkripsi sapertos kieu:
Conto file énkripsi:
Ngumpulkeun inpormasi ngeunaan komputer anu kainféksi
Ransomware ngumpulkeun konci pikeun ngadekrip file anu katépaan, ku kituna panyerang tiasa leres-leres nyiptakeun dekripsi. Salaku tambahan, Nemty ngumpulkeun data pangguna sapertos nami pangguna, nami komputer, profil hardware.
Nyauran GetLogicalDrives (), GetFreeSpace (), GetDriveType () fungsi pikeun ngumpulkeun informasi ngeunaan drive tina komputer kainféksi.
Inpormasi anu dikumpulkeun disimpen dina file konfigurasi. Saatos decoded string, urang meunang daptar parameter dina file konfigurasi:
Conto konfigurasi komputer anu kainféksi:
Citakan konfigurasi bisa digambarkeun saperti kieu:
{"Umum": {"IP":"[IP]", "Country":"[Country]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":palsu, "versi":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty nyimpen data anu dikumpulkeun dina format JSON dina file %USER%/_NEMTY_.nemty. FileID panjangna 7 karakter sareng dihasilkeun sacara acak. Contona: _NEMTY_tgdLYrd_.nemty. FileID ogé ditambah kana tungtung file énkripsi.
Pesen tebusan
Saatos énkripsi file, file _NEMTY_[FileID]-DECRYPT.txt muncul dina desktop kalayan eusi ieu:
Dina tungtung file aya inpormasi énkripsi ngeunaan komputer anu kainféksi.
Komunikasi jaringan
Prosés ironman.exe ngundeur distribusi browser Tor tina alamatna sareng nyobian masangna.
Nemty lajeng ngusahakeun ngirim data konfigurasi ka 127.0.0.1:9050, dimana eta nyangka manggihan hiji Tor browser proxy jalan. Nanging, sacara standar proxy Tor ngadangukeun port 9150, sareng port 9050 dianggo ku daemon Tor dina Linux atanapi Expert Bundle dina Windows. Ku kituna, teu aya data anu dikirim ka server panyerang. Sabalikna, pangguna tiasa ngaunduh file konfigurasi sacara manual ku ngadatangan jasa dekripsi Tor ngalangkungan tautan anu disayogikeun dina pesen tebusan.
Nyambungkeun kana proxy Tor:
HTTP GET nyiptakeun pamundut ka 127.0.0.1:9050/public/gate?data=
Di dieu anjeun tiasa ningali palabuhan TCP kabuka anu dianggo ku proxy TORlocal:
Ladenan dekripsi Nemty dina jaringan Tor:
Anjeun tiasa unggah poto énkripsi (jpg, png, bmp) pikeun nguji jasa dekripsi.
Saatos ieu, panyerang naroskeun mayar tebusan. Dina hal non-mayar hargana dua kali.
kacindekan
Ayeuna, teu mungkin pikeun ngadekrip file énkripsi ku Nemty tanpa mayar tebusan. Vérsi ransomware ieu gaduh fitur umum sareng ransomware Buran sareng GandCrab anu luntur: kompilasi di Borland Delphi sareng gambar sareng téks anu sami. Salaku tambahan, ieu mangrupikeun énkripsi munggaran anu nganggo konci RSA 8092-bit, anu, sakali deui, henteu aya akal, sabab konci 1024-bit cekap pikeun panyalindungan. Tungtungna, sareng anu pikaresepeun, éta nyobian nganggo port anu salah pikeun jasa proxy Tor lokal.
Sanajan kitu, solusi и nyegah Nemty ransomware ngahontal PC pamaké sarta data, sarta panyadia bisa ngajaga klien maranéhanana jeung ... Pinuh nyadiakeun teu ngan cadangan, tapi ogé panyalindungan ngagunakeun , téhnologi husus dumasar kana kecerdasan jieunan sarta heuristik behavioral nu ngidinan Anjeun pikeun neutralize malware malah can kanyahoan.
sumber: www.habr.com