Ransomware mpya inayoitwa Nemty imeonekana kwenye mtandao huo, ambao unadaiwa kuwa mrithi wa GrandCrab au Buran. Programu hasidi inasambazwa zaidi kutoka kwa wavuti bandia ya PayPal na ina idadi ya vipengele vya kupendeza. Maelezo kuhusu jinsi programu hii ya uokoaji inavyofanya kazi yamepunguzwa.
Nemty ransomware mpya iliyogunduliwa na mtumiaji Septemba 7, 2019. Programu hasidi ilisambazwa kupitia tovuti , inawezekana pia kwa ransomware kupenya kompyuta kupitia vifaa vya unyonyaji vya RIG. Wavamizi hao walitumia mbinu za uhandisi wa kijamii ili kulazimisha mtumiaji kuendesha faili ya cashback.exe, ambayo inadaiwa alipokea kutoka kwa tovuti ya PayPal. Pia inashangaza kwamba Nemty alitaja bandari isiyo sahihi kwa huduma ya seva mbadala ya Tor, ambayo huzuia programu hasidi kutuma. data kwa seva. Kwa hivyo, mtumiaji atalazimika kupakia faili zilizosimbwa kwa mtandao wa Tor mwenyewe ikiwa anakusudia kulipa fidia na kungojea kufutwa kutoka kwa washambuliaji.
Mambo kadhaa ya kuvutia kuhusu Nemty yanapendekeza kuwa ilitengenezwa na watu sawa au na wahalifu wa mtandaoni wanaohusishwa na Buran na GrandCrab.
- Kama GandCrab, Nemty ana yai la Pasaka - kiungo cha picha ya Rais wa Urusi Vladimir Putin na mzaha chafu. Ransomware ya zamani ya GandCrab ilikuwa na picha yenye maandishi sawa.
- Mabaki ya lugha ya programu zote mbili yanaelekeza kwa waandishi sawa wanaozungumza Kirusi.
- Hii ni programu ya kwanza ya ukombozi kutumia ufunguo wa RSA wa 8092-bit. Ingawa hakuna maana katika hili: ufunguo wa 1024-bit unatosha kulinda dhidi ya udukuzi.
- Kama Buran, ransomware imeandikwa katika Object Pascal na kukusanywa katika Borland Delphi.
Uchambuzi tuli
Utekelezaji wa msimbo hasidi hutokea katika hatua nne. Hatua ya kwanza ni kuendesha cashback.exe, faili inayoweza kutekelezwa ya PE32 chini ya MS Windows yenye ukubwa wa baiti 1198936. Nambari yake iliandikwa katika Visual C++ na kukusanywa mnamo Oktoba 14, 2013. Ina kumbukumbu ambayo hupakuliwa kiotomatiki unapoendesha cashback.exe. Programu hutumia maktaba ya Cabinet.dll na utendakazi wake FDICreate(), FDIDestroy() na zingine kupata faili kutoka kwa kumbukumbu ya .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Baada ya kufungua kumbukumbu, faili tatu zitaonekana.
Ifuatayo, temp.exe inazinduliwa, faili inayoweza kutekelezwa ya PE32 chini ya MS Windows yenye ukubwa wa ka 307200. Nambari hiyo imeandikwa kwa Visual C++ na kuunganishwa na kifungashio cha MPRESS, kifungashio sawa na UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Hatua inayofuata ni ironman.exe. Mara tu inapozinduliwa, temp.exe inasimbua data iliyopachikwa katika temp na kuibadilisha kuwa ironman.exe, faili ya 32 byte PE544768 inayoweza kutekelezwa. Nambari hiyo imeundwa huko Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Hatua ya mwisho ni kuanzisha upya faili ya ironman.exe. Wakati wa kukimbia, inabadilisha nambari yake na kujiendesha kutoka kwa kumbukumbu. Toleo hili la ironman.exe ni hasidi na linawajibika kwa usimbaji fiche.
Vekta ya kushambulia
Kwa sasa, Nemty ransomware inasambazwa kupitia tovuti pp-back.info.
Mlolongo kamili wa maambukizi unaweza kutazamwa sanduku la mchanga.
Ufungaji
Cashback.exe - mwanzo wa shambulio hilo. Kama ilivyotajwa tayari, cashback.exe hupakua faili ya .cab iliyomo. Kisha hutengeneza folda TMP4351$.TMP ya fomu %TEMP%IXxxx.TMP, ambapo xxx ni nambari kutoka 001 hadi 999.
Ifuatayo, ufunguo wa usajili umewekwa, ambayo inaonekana kama hii:
βrundll32.exeβ βC:Windowssystem32advpack.dll,DelNodeRunDLL32 βC:UsersMALWAR~1AppDataLocalTempIXPxxx.TMPββ
Inatumika kufuta faili ambazo hazijapakiwa. Hatimaye, cashback.exe huanza mchakato wa temp.exe.
Temp.exe ni hatua ya pili katika mlolongo wa maambukizi
Huu ni mchakato uliozinduliwa na faili ya cashback.exe, hatua ya pili ya utekelezaji wa virusi. Inajaribu kupakua AutoHotKey, chombo cha kuendesha hati kwenye Windows, na kuendesha hati ya WindowSpy.ahk iliyo katika sehemu ya rasilimali ya faili ya PE.
Hati ya WindowSpy.ahk inasimbua faili ya temp katika ironman.exe kwa kutumia algoriti ya RC4 na nenosiri la IwantAcake. Ufunguo kutoka kwa nenosiri unapatikana kwa kutumia algorithm ya hashing ya MD5.
temp.exe kisha huita mchakato wa ironman.exe.
Ironman.exe - hatua ya tatu
Ironman.exe husoma yaliyomo kwenye faili ya iron.bmp na kuunda faili ya iron.txt kwa kutumia cryptolocker ambayo itazinduliwa baadaye.
Baada ya hayo, virusi hupakia iron.txt kwenye kumbukumbu na kuiwasha upya kama ironman.exe. Baada ya hayo, iron.txt inafutwa.
ironman.exe ni sehemu kuu ya NEMTY ransomware, ambayo husimba faili kwenye kompyuta iliyoathiriwa. Programu hasidi huunda bubu inayoitwa chuki.
Jambo la kwanza hufanya ni kuamua eneo la kijiografia la kompyuta. Nemty hufungua kivinjari na kujua IP imewashwa . Kwenye tovuti [IP]/countryName Nchi imebainishwa kutoka kwa IP iliyopokelewa, na ikiwa kompyuta iko katika mojawapo ya maeneo yaliyoorodheshwa hapa chini, utekelezaji wa msimbo wa programu hasidi utakoma:
- Urusi
- Byelorussia
- Ukraine
- Kazakhstan
- Tajikistan
Uwezekano mkubwa zaidi, watengenezaji hawataki kuvutia usikivu wa mashirika ya kutekeleza sheria katika nchi wanamoishi, na kwa hivyo hawasimba faili katika eneo lao la "nyumbani".
Ikiwa anwani ya IP ya mwathirika sio ya orodha iliyo hapo juu, basi virusi husimba maelezo ya mtumiaji.
Ili kuzuia urejeshaji wa faili, nakala zao za kivuli zinafutwa:
Kisha huunda orodha ya faili na folda ambazo hazitasimbwa, pamoja na orodha ya upanuzi wa faili.
- madirisha
- $RECYCLE.BIN
- rsa
- NTDETECT.COM
- na kadhalika
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- CONFIG.SYS
- BOOTSECT.BAK
- bootmgr
- data ya programu
- data ya programu
- osoft
- Faili za Kawaida
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Obfuscation
Ili kuficha URL na data ya usanidi iliyopachikwa, Nemty hutumia algoriti ya usimbaji ya base64 na RC4 yenye neno kuu la fuckav.
Mchakato wa usimbuaji kwa kutumia CryptStringToBinary ni kama ifuatavyo
Usimbuaji fiche
Nemty hutumia usimbaji fiche wa safu tatu:
- AES-128-CBC kwa faili. Kitufe cha 128-bit AES kinatolewa kwa nasibu na kinatumika sawa kwa faili zote. Imehifadhiwa katika faili ya usanidi kwenye kompyuta ya mtumiaji. IV inatolewa kwa nasibu kwa kila faili na kuhifadhiwa katika faili iliyosimbwa.
- RSA-2048 kwa usimbaji fiche wa faili IV. Jozi muhimu kwa kikao hutolewa. Ufunguo wa faragha wa kipindi huhifadhiwa katika faili ya usanidi kwenye kompyuta ya mtumiaji.
- RSA-8192. Ufunguo mkuu wa umma umejengwa kwenye programu na hutumiwa kusimba faili ya usanidi, ambayo huhifadhi ufunguo wa AES na ufunguo wa siri kwa kikao cha RSA-2048.
- Nemty kwanza hutoa baiti 32 za data nasibu. Baiti 16 za kwanza zinatumika kama kitufe cha AES-128-CBC.
Algorithm ya pili ya usimbuaji ni RSA-2048. Jozi muhimu huzalishwa na chaguo la kukokotoa la CryptGenKey() na kuletwa na chaguo la kukokotoa la CryptImportKey().
Mara tu jozi muhimu za kipindi zinapotolewa, ufunguo wa umma huletwa kwenye Mtoa Huduma wa MS Cryptographic.
Mfano wa ufunguo wa umma uliotolewa kwa kipindi:
Ifuatayo, ufunguo wa kibinafsi huletwa kwenye CSP.
Mfano wa ufunguo wa kibinafsi uliotengenezwa kwa kipindi:
Na mwisho inakuja RSA-8192. Ufunguo mkuu wa umma umehifadhiwa katika fomu iliyosimbwa (Base64 + RC4) katika sehemu ya .data ya faili ya PE.
Kitufe cha RSA-8192 baada ya kusimbua base64 na usimbuaji wa RC4 kwa nenosiri la fuckav inaonekana hivi.
Kama matokeo, mchakato mzima wa usimbuaji unaonekana kama hii:
- Tengeneza kitufe cha AES cha 128-bit ambacho kitatumika kusimba faili zote kwa njia fiche.
- Unda IV kwa kila faili.
- Kuunda jozi muhimu kwa kikao cha RSA-2048.
- Usimbuaji wa ufunguo uliopo wa RSA-8192 kwa kutumia base64 na RC4.
- Simba yaliyomo kwenye faili kwa njia fiche kwa kutumia algoriti ya AES-128-CBC kutoka hatua ya kwanza.
- Usimbaji fiche wa IV kwa kutumia ufunguo wa umma wa RSA-2048 na usimbaji wa base64.
- Inaongeza IV iliyosimbwa hadi mwisho wa kila faili iliyosimbwa.
- Kuongeza kitufe cha AES na ufunguo wa faragha wa kikao cha RSA-2048 kwenye usanidi.
- Data ya usanidi iliyoelezwa katika sehemu kuhusu kompyuta iliyoambukizwa imesimbwa kwa kutumia ufunguo kuu wa umma RSA-8192.
- Faili iliyosimbwa inaonekana kama hii:
Mfano wa faili zilizosimbwa:
Kukusanya taarifa kuhusu kompyuta iliyoambukizwa
Ransomware hukusanya funguo za kusimbua faili zilizoambukizwa, ili mvamizi aweze kuunda decryptor. Kwa kuongeza, Nemty hukusanya data ya mtumiaji kama vile jina la mtumiaji, jina la kompyuta, wasifu wa maunzi.
Inaita kazi za GetLogicalDrives(), GetFreeSpace(), GetDriveType() kukusanya taarifa kuhusu viendeshi vya kompyuta iliyoambukizwa.
Taarifa zilizokusanywa zimehifadhiwa katika faili ya usanidi. Baada ya kuamua kamba, tunapata orodha ya vigezo kwenye faili ya usanidi:
Mfano wa usanidi wa kompyuta iliyoambukizwa:
Kiolezo cha usanidi kinaweza kuwakilishwa kama ifuatavyo:
{"Jumla": {"IP":"[IP]", "Nchi":"[Nchi]", "ComputerName":"[ComputerName]", "Jina la mtumiaji":"[Jina la mtumiaji]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty huhifadhi data iliyokusanywa katika umbizo la JSON katika faili %USER%/_NEMTY_.nemty. FileID ina urefu wa herufi 7 na imetolewa bila mpangilio. Kwa mfano: _NEMTY_tgdLYrd_.nemty. Kitambulisho cha Faili pia kimeambatishwa hadi mwisho wa faili iliyosimbwa.
Ujumbe wa fidia
Baada ya kusimba faili, faili _NEMTY_[FileID]-DECRYPT.txt inaonekana kwenye eneo-kazi ikiwa na maudhui yafuatayo:
Mwishoni mwa faili kuna habari iliyosimbwa kuhusu kompyuta iliyoambukizwa.
Mawasiliano ya mtandao
Mchakato wa ironman.exe unapakua usambazaji wa kivinjari cha Tor kutoka kwa anwani na kujaribu kusakinisha.
Nemty kisha hujaribu kutuma data ya usanidi kwa 127.0.0.1:9050, ambapo inatarajia kupata seva mbadala ya Tor inayofanya kazi. Hata hivyo, kwa chaguo-msingi proksi ya Tor husikiliza kwenye port 9150, na port 9050 inatumiwa na Tor daemon kwenye Linux au Expert Bundle kwenye Windows. Kwa hivyo, hakuna data inayotumwa kwa seva ya mshambulizi. Badala yake, mtumiaji anaweza kupakua faili ya usanidi mwenyewe kwa kutembelea huduma ya usimbuaji wa Tor kupitia kiungo kilichotolewa katika ujumbe wa fidia.
Inaunganisha kwa proksi ya Tor:
HTTP GET huunda ombi kwa 127.0.0.1:9050/public/gate?data=
Hapa unaweza kuona bandari za TCP zilizo wazi ambazo hutumiwa na proksi ya TORlocal:
Huduma ya usimbuaji wa Nemty kwenye mtandao wa Tor:
Unaweza kupakia picha iliyosimbwa kwa njia fiche (jpg, png, bmp) ili kujaribu huduma ya usimbuaji.
Baada ya hayo, mshambuliaji anauliza kulipa fidia. Katika kesi ya kutolipa bei inaongezeka mara mbili.
Hitimisho
Kwa sasa, haiwezekani kusimbua faili zilizosimbwa kwa njia fiche na Nemty bila kulipa fidia. Toleo hili la ransomware lina vipengele vya kawaida vya Buran ransomware na GandCrab iliyopitwa na wakati: mkusanyo huko Borland Delphi na picha zilizo na maandishi sawa. Kwa kuongeza, hii ni encryptor ya kwanza ambayo inatumia ufunguo wa 8092-bit RSA, ambayo, tena, haina maana yoyote, kwani ufunguo wa 1024-bit ni wa kutosha kwa ulinzi. Hatimaye, na cha kufurahisha, inajaribu kutumia bandari isiyo sahihi kwa huduma ya wakala wa Tor.
Walakini, suluhisho ΠΈ kuzuia Nemty ransomware kufikia Kompyuta na data za watumiaji, na watoa huduma wanaweza kuwalinda wateja wao kwa kutumia ... Imejaa hutoa si tu chelezo, lakini pia ulinzi kwa kutumia , teknolojia maalum kulingana na akili bandia na utabiri wa tabia ambayo hukuruhusu kudhibiti programu hasidi ambayo bado haijulikani.
Chanzo: mapenzi.com