En ny ransomware som heter Nemty har dykt upp på nätverket, som förmodligen är efterföljaren till GrandCrab eller Buran. Skadlig programvara distribueras huvudsakligen från den falska PayPal-webbplatsen och har ett antal intressanta funktioner. Detaljer om hur detta ransomware fungerar är under snittet.
Ny Nemty ransomware upptäckt av användaren 7 september 2019. Skadlig programvara distribuerades via en webbplats , är det också möjligt för ransomware att penetrera en dator genom RIG-exploatsatsen. Angriparna använde sociala ingenjörsmetoder för att tvinga användaren att köra filen cashback.exe, som han påstås ha fått från PayPals webbplats. Det är också märkligt att Nemty angav fel port för den lokala proxytjänsten Tor, vilket förhindrar skadlig programvara från att skicka data till servern. Därför måste användaren själv ladda upp krypterade filer till Tor-nätverket om han tänker betala lösen och vänta på dekryptering från angriparna.
Flera intressanta fakta om Nemty tyder på att det utvecklades av samma personer eller av cyberkriminella associerade med Buran och GrandCrab.
- Precis som GandCrab har Nemty ett påskägg – en länk till ett foto av Rysslands president Vladimir Putin med ett obscent skämt. Den äldre GandCrab ransomware hade en bild med samma text.
- Språkartefakterna i båda programmen pekar på samma rysktalande författare.
- Detta är den första ransomware som använder en 8092-bitars RSA-nyckel. Även om det inte är någon mening med detta: en 1024-bitars nyckel är tillräckligt för att skydda mot hacking.
- Liksom Buran är ransomware skriven i Object Pascal och kompilerad i Borland Delphi.
Statisk analys
Körning av skadlig kod sker i fyra steg. Det första steget är att köra cashback.exe, en PE32 körbar fil under MS Windows med en storlek på 1198936 byte. Dess kod skrevs i Visual C++ och kompilerades den 14 oktober 2013. Den innehåller ett arkiv som automatiskt packas upp när du kör cashback.exe. Programvaran använder Cabinet.dll-biblioteket och dess funktioner FDICreate(), FDIDestroy() och andra för att hämta filer från .cab-arkivet.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Efter uppackning av arkivet visas tre filer.
Därefter lanseras temp.exe, en PE32 körbar fil under MS Windows med en storlek på 307200 byte. Koden är skriven i Visual C++ och paketerad med MPRESS packer, en packer liknande UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Nästa steg är ironman.exe. När temp.exe väl har startat dekrypterar den inbäddade data i temp och byter namn på den till ironman.exe, en 32 byte PE544768 körbar fil. Koden är sammanställd i Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Det sista steget är att starta om ironman.exe-filen. Vid körning omvandlar den sin kod och kör sig själv från minnet. Den här versionen av ironman.exe är skadlig och ansvarar för kryptering.
Attackvektor
För närvarande distribueras Nemty ransomware via webbplatsen pp-back.info.
Hela infektionskedjan kan ses på sandlåda.
Installation
Cashback.exe - början på attacken. Som redan nämnts packar cashback.exe upp .cab-filen den innehåller. Den skapar sedan en mapp TMP4351$.TMP med formen %TEMP%IXxxx.TMP, där xxx är ett tal från 001 till 999.
Därefter installeras en registernyckel som ser ut så här:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
Den används för att radera uppackade filer. Slutligen startar cashback.exe temp.exe-processen.
Temp.exe är det andra steget i infektionskedjan
Detta är processen som startas av filen cashback.exe, det andra steget i viruskörningen. Den försöker ladda ner AutoHotKey, ett verktyg för att köra skript på Windows, och köra skriptet WindowSpy.ahk som finns i resursdelen av PE-filen.
WindowSpy.ahk-skriptet dekrypterar temp-filen i ironman.exe med hjälp av RC4-algoritmen och lösenordet IwantAcake. Nyckeln från lösenordet erhålls med MD5-hash-algoritmen.
temp.exe anropar sedan ironman.exe-processen.
Ironman.exe - tredje steget
Ironman.exe läser innehållet i iron.bmp-filen och skapar en iron.txt-fil med en kryptolåsare som kommer att startas härnäst.
Efter detta laddar viruset iron.txt i minnet och startar om det som ironman.exe. Efter detta raderas iron.txt.
ironman.exe är huvuddelen av NEMTY ransomware, som krypterar filer på den drabbade datorn. Skadlig programvara skapar ett mutex som kallas hat.
Det första den gör är att bestämma den geografiska platsen för datorn. Nemty öppnar webbläsaren och tar reda på IP-adressen på . På plats [IP]/countryName Landet bestäms utifrån den mottagna IP-adressen, och om datorn är belägen i någon av regionerna nedan stoppas körningen av skadlig kod:
- Ryssland
- Vitryssland
- Ukraina
- Kazakstan
- Tadzjikistan
Med största sannolikhet vill utvecklare inte locka uppmärksamheten från brottsbekämpande myndigheter i sina hemländer och krypterar därför inte filer i sina "hem" jurisdiktioner.
Om offrets IP-adress inte tillhör listan ovan, krypterar viruset användarens information.
För att förhindra filåterställning raderas deras skuggkopior:
Den skapar sedan en lista över filer och mappar som inte kommer att krypteras, samt en lista över filtillägg.
- fönster
- $ RECYCLE.BIN
- rsa
- NTDETECT.COM
- ntldr
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- Desktop.ini
- CONFIG.SYS
- BOOTSECT.BAK
- Bootmgr
- programdata
- appdata
- osoft
- Vanliga filer
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Obfuskation
För att dölja webbadresser och inbäddade konfigurationsdata använder Nemty en base64- och RC4-kodningsalgoritm med nyckelordet fuckav.
Dekrypteringsprocessen med CryptStringToBinary är som följer
Шифрование
Nemty använder trelagers kryptering:
- AES-128-CBC för filer. 128-bitars AES-nyckeln genereras slumpmässigt och används på samma sätt för alla filer. Den lagras i en konfigurationsfil på användarens dator. IV genereras slumpmässigt för varje fil och lagras i en krypterad fil.
- RSA-2048 för filkryptering IV. Ett nyckelpar för sessionen genereras. Den privata nyckeln för sessionen lagras i en konfigurationsfil på användarens dator.
- RSA-8192. Huvudnyckeln är inbyggd i programmet och används för att kryptera konfigurationsfilen, som lagrar AES-nyckeln och den hemliga nyckeln för RSA-2048-sessionen.
- Nemty genererar först 32 byte med slumpmässig data. De första 16 byten används som AES-128-CBC-nyckeln.
Den andra krypteringsalgoritmen är RSA-2048. Nyckelparet genereras av CryptGenKey()-funktionen och importeras av CryptImportKey()-funktionen.
När nyckelparet för sessionen har genererats, importeras den publika nyckeln till MS Cryptographic Service Provider.
Ett exempel på en genererad publik nyckel för en session:
Därefter importeras den privata nyckeln till CSP:n.
Ett exempel på en genererad privat nyckel för en session:
Och sist kommer RSA-8192. Huvudnyckeln lagras i krypterad form (Base64 + RC4) i .data-delen av PE-filen.
RSA-8192-nyckeln efter base64-avkodning och RC4-dekryptering med fuckav-lösenordet ser ut så här.
Som ett resultat ser hela krypteringsprocessen ut så här:
- Generera en 128-bitars AES-nyckel som kommer att användas för att kryptera alla filer.
- Skapa en IV för varje fil.
- Skapa ett nyckelpar för en RSA-2048-session.
- Dekryptering av en befintlig RSA-8192-nyckel med base64 och RC4.
- Kryptera filinnehållet med AES-128-CBC-algoritmen från första steget.
- IV-kryptering med RSA-2048 offentlig nyckel och base64-kodning.
- Lägga till en krypterad IV i slutet av varje krypterad fil.
- Lägga till en AES-nyckel och RSA-2048-session privat nyckel till konfigurationen.
- Konfigurationsdata beskrivs i avsnitt om den infekterade datorn krypteras med den allmänna huvudnyckeln RSA-8192.
- Den krypterade filen ser ut så här:
Exempel på krypterade filer:
Samla in information om den infekterade datorn
Ransomwaren samlar in nycklar för att dekryptera infekterade filer, så att angriparen faktiskt kan skapa en dekryptering. Dessutom samlar Nemty in användardata som användarnamn, datornamn, hårdvaruprofil.
Den anropar funktionerna GetLogicalDrives(), GetFreeSpace(), GetDriveType() för att samla in information om enheterna på den infekterade datorn.
Den insamlade informationen lagras i en konfigurationsfil. Efter att ha avkodat strängen får vi en lista med parametrar i konfigurationsfilen:
Exempel på konfiguration av en infekterad dator:
Konfigurationsmallen kan representeras enligt följande:
{"General": {"IP":"[IP]", "Country":"[Land]", "Datornamn":"[Datornamn]", "Användarnamn":"[Användarnamn]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FilID":"_NEMTY_[FilID]_", "Användar-ID":"[ UserID]", "key":"[nyckel]", "pr_key":"[pr_key]
Nemty lagrar insamlad data i JSON-format i filen %USER%/_NEMTY_.nemty. Fil-ID är 7 tecken långt och genereras slumpmässigt. Till exempel: _NEMTY_tgdLYrd_.nemty. Fil-ID:t läggs också till i slutet av den krypterade filen.
Lösenbelopp meddelande
Efter kryptering av filerna visas filen _NEMTY_[FilID]-DECRYPT.txt på skrivbordet med följande innehåll:
I slutet av filen finns krypterad information om den infekterade datorn.
Nätverkskommunikation
ironman.exe-processen laddar ner Tor-webbläsardistributionen från adressen och försöker installera den.
Nemty försöker sedan skicka konfigurationsdata till 127.0.0.1:9050, där den förväntar sig att hitta en fungerande Tor-webbläsarproxy. Som standard lyssnar dock Tor-proxyn på port 9150, och port 9050 används av Tor-demonen på Linux eller Expert Bundle på Windows. Således skickas ingen data till angriparens server. Istället kan användaren ladda ner konfigurationsfilen manuellt genom att besöka Tor-dekrypteringstjänsten via länken i lösenmeddelandet.
Ansluter till Tor proxy:
HTTP GET skapar en begäran till 127.0.0.1:9050/public/gate?data=
Här kan du se de öppna TCP-portarna som används av TORlocal proxy:
Nemty-dekrypteringstjänst på Tor-nätverket:
Du kan ladda upp ett krypterat foto (jpg, png, bmp) för att testa dekrypteringstjänsten.
Efter detta ber angriparen att få betala en lösensumma. Vid utebliven betalning fördubblas priset.
Slutsats
För tillfället är det inte möjligt att dekryptera filer krypterade av Nemty utan att betala en lösensumma. Denna version av ransomware har gemensamma funktioner med Buran ransomware och den föråldrade GandCrab: sammanställning i Borland Delphi och bilder med samma text. Dessutom är detta den första krypteringen som använder en 8092-bitars RSA-nyckel, vilket återigen inte är meningsfullt, eftersom en 1024-bitars nyckel är tillräcklig för skydd. Slutligen, och intressant nog, försöker den använda fel port för den lokala Tor-proxytjänsten.
Dock lösningar и förhindra Nemty ransomware från att nå användardatorer och data, och leverantörer kan skydda sina kunder med . Full ger inte bara säkerhetskopiering, utan också skydd med hjälp av , en speciell teknologi baserad på artificiell intelligens och beteendeheuristik som låter dig neutralisera även ännu okänd skadlig programvara.
Källa: will.com