Nemty எனப்படும் புதிய ransomware நெட்வொர்க்கில் தோன்றியுள்ளது, இது GrandCrab அல்லது Buran க்கு அடுத்ததாக கருதப்படுகிறது. தீம்பொருள் முக்கியமாக போலி பேபால் வலைத்தளத்திலிருந்து விநியோகிக்கப்படுகிறது மற்றும் பல சுவாரஸ்யமான அம்சங்களைக் கொண்டுள்ளது. இந்த ransomware எவ்வாறு செயல்படுகிறது என்பது பற்றிய விவரங்கள் வெட்டப்படுகின்றன.
புதிய Nemty ransomware பயனரால் கண்டுபிடிக்கப்பட்டது செப்டம்பர் 7, 2019. தீம்பொருள் இணையதளம் மூலம் விநியோகிக்கப்பட்டது , RIG எக்ஸ்ப்ளோயிட் கிட் மூலம் ransomware கணினியில் ஊடுருவுவதும் சாத்தியமாகும். PayPal இணையதளத்தில் இருந்து அவர் பெற்றதாகக் கூறப்படும் cashback.exe கோப்பை இயக்குமாறு பயனரை கட்டாயப்படுத்த தாக்குபவர்கள் சமூகப் பொறியியல் முறைகளைப் பயன்படுத்தினர். தீம்பொருளை அனுப்புவதைத் தடுக்கும் உள்ளூர் ப்ராக்ஸி சேவையான Tor க்காக Nemty தவறான போர்ட்டைக் குறிப்பிட்டது ஆர்வமாக உள்ளது. சேவையகத்திற்கான தரவு. எனவே, பயனீட்டாளர் மீட்கும் தொகையை செலுத்த விரும்பினால், அவர் மறைகுறியாக்கப்பட்ட கோப்புகளை டோர் நெட்வொர்க்கில் பதிவேற்ற வேண்டும் மற்றும் தாக்குபவர்களிடமிருந்து மறைகுறியாக்கத்திற்காக காத்திருக்க வேண்டும்.
நெம்டியைப் பற்றிய பல சுவாரஸ்யமான உண்மைகள், அதே நபர்களால் அல்லது புரான் மற்றும் கிராண்ட்கிராப் உடன் தொடர்புடைய சைபர் கிரைமினல்களால் உருவாக்கப்பட்டது என்று கூறுகின்றன.
- GandCrab போலவே, Nemty ஒரு ஈஸ்டர் முட்டை - ஒரு ஆபாச நகைச்சுவையுடன் ரஷ்ய ஜனாதிபதி விளாடிமிர் புடினின் புகைப்படத்திற்கான இணைப்பு. மரபுவழி GandCrab ransomware அதே உரையுடன் ஒரு படத்தைக் கொண்டிருந்தது.
- இரண்டு நிரல்களின் மொழி கலைப்பொருட்கள் ஒரே ரஷ்ய மொழி பேசும் ஆசிரியர்களை சுட்டிக்காட்டுகின்றன.
- 8092-பிட் RSA விசையைப் பயன்படுத்தும் முதல் ransomware இதுவாகும். இதில் எந்த அர்த்தமும் இல்லை என்றாலும்: ஹேக்கிங்கிலிருந்து பாதுகாக்க 1024-பிட் விசை போதுமானது.
- புரானைப் போலவே, ransomware ஆப்ஜெக்ட் பாஸ்கலில் எழுதப்பட்டு போர்லாண்ட் டெல்பியில் தொகுக்கப்பட்டுள்ளது.
நிலையான பகுப்பாய்வு
தீங்கிழைக்கும் குறியீட்டை செயல்படுத்துவது நான்கு நிலைகளில் நிகழ்கிறது. 32 பைட்டுகள் அளவுள்ள MS Windows இன் கீழ் PE1198936 இயங்கக்கூடிய கோப்பு, cashback.exe ஐ இயக்குவது முதல் படியாகும். அதன் குறியீடு விஷுவல் சி++ இல் எழுதப்பட்டு அக்டோபர் 14, 2013 அன்று தொகுக்கப்பட்டது. நீங்கள் cashback.exe ஐ இயக்கும்போது தானாகவே திறக்கப்படும் காப்பகம் இதில் உள்ளது. மென்பொருள் Cabinet.dll நூலகம் மற்றும் அதன் செயல்பாடுகளான FDICreate(), FDIDestroy() மற்றும் பிறவற்றை .cab காப்பகத்திலிருந்து கோப்புகளைப் பெற பயன்படுத்துகிறது.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
காப்பகத்தைத் திறந்த பிறகு, மூன்று கோப்புகள் தோன்றும்.
அடுத்து, temp.exe தொடங்கப்பட்டது, 32 பைட்டுகள் அளவு கொண்ட MS Windows இன் கீழ் PE307200 இயங்கக்கூடிய கோப்பு. குறியீடானது விஷுவல் C++ இல் எழுதப்பட்டு MPRESS பேக்கருடன் தொகுக்கப்பட்டுள்ளது, இது UPX போன்ற ஒரு பேக்கராகும்.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
அடுத்த கட்டம் ironman.exe ஆகும். தொடங்கப்பட்டதும், temp.exe உட்பொதிக்கப்பட்ட தரவை temp இல் மறைகுறியாக்கி, அதை ironman.exe என மறுபெயரிடுகிறது, இது 32 பைட் PE544768 இயங்கக்கூடிய கோப்பு. குறியீடு போர்லாண்ட் டெல்பியில் தொகுக்கப்பட்டுள்ளது.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
கடைசி கட்டம் ironman.exe கோப்பை மறுதொடக்கம் செய்வதாகும். இயக்க நேரத்தில், அது அதன் குறியீட்டை மாற்றி நினைவகத்திலிருந்து இயங்கும். ironman.exe இன் இந்த பதிப்பு தீங்கிழைக்கும் மற்றும் குறியாக்கத்திற்கு பொறுப்பாகும்.
தாக்குதல் திசையன்
தற்போது, Nemty ransomware pp-back.info என்ற இணையதளம் மூலம் விநியோகிக்கப்படுகிறது.
தொற்று முழு சங்கிலி பார்க்க முடியும் சாண்ட்பாக்ஸ்.
நிறுவல்
Cashback.exe - தாக்குதலின் ஆரம்பம். ஏற்கனவே குறிப்பிட்டுள்ளபடி, cashback.exe அதில் உள்ள .cab கோப்பைத் திறக்கிறது. இது %TEMP%IXxxx.TMP வடிவத்தின் TMP4351$.TMP கோப்புறையை உருவாக்குகிறது, இங்கு xxx என்பது 001 முதல் 999 வரையிலான எண்ணாகும்.
அடுத்து, ஒரு பதிவு விசை நிறுவப்பட்டுள்ளது, இது போல் தெரிகிறது:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
தொகுக்கப்படாத கோப்புகளை நீக்க இது பயன்படுகிறது. இறுதியாக, cashback.exe temp.exe செயல்முறையைத் தொடங்குகிறது.
Temp.exe என்பது தொற்று சங்கிலியின் இரண்டாவது கட்டமாகும்
இது காஷ்பேக்.எக்ஸ் கோப்பு மூலம் தொடங்கப்பட்ட செயல்முறையாகும், இது வைரஸ் செயல்படுத்தலின் இரண்டாவது படியாகும். இது விண்டோஸில் ஸ்கிரிப்ட்களை இயக்குவதற்கான கருவியான AutoHotKey ஐ பதிவிறக்கம் செய்து, PE கோப்பின் ஆதாரங்கள் பிரிவில் அமைந்துள்ள WindowSpy.ahk ஸ்கிரிப்டை இயக்க முயற்சிக்கிறது.
WindowSpy.ahk ஸ்கிரிப்ட் RC4 அல்காரிதம் மற்றும் IwantAcake கடவுச்சொல்லைப் பயன்படுத்தி ironman.exe இல் உள்ள தற்காலிக கோப்பை மறைகுறியாக்குகிறது. கடவுச்சொல்லிலிருந்து விசை MD5 ஹாஷிங் அல்காரிதத்தைப் பயன்படுத்தி பெறப்படுகிறது.
temp.exe பின்னர் ironman.exe செயல்முறையை அழைக்கிறது.
Ironman.exe - மூன்றாவது படி
Ironman.exe, iron.bmp கோப்பின் உள்ளடக்கங்களைப் படித்து, அடுத்து தொடங்கப்படும் கிரிப்டோலாக்கருடன் ஒரு iron.txt கோப்பை உருவாக்குகிறது.
இதற்குப் பிறகு, வைரஸ் iron.txt ஐ நினைவகத்தில் ஏற்றுகிறது மற்றும் அதை ironman.exe என மறுதொடக்கம் செய்கிறது. இதற்குப் பிறகு, iron.txt நீக்கப்படும்.
ironman.exe என்பது NEMTY ransomware இன் முக்கிய பகுதியாகும், இது பாதிக்கப்பட்ட கணினியில் உள்ள கோப்புகளை குறியாக்கம் செய்கிறது. தீம்பொருள் வெறுப்பு எனப்படும் மியூடெக்ஸை உருவாக்குகிறது.
முதலில் செய்ய வேண்டியது கணினியின் புவியியல் இருப்பிடத்தை தீர்மானிப்பதாகும். Nemty உலாவியைத் திறந்து, IP ஐக் கண்டறிகிறான் . தளத்தில் [IP]/countryName பெறப்பட்ட IP மூலம் நாடு தீர்மானிக்கப்படுகிறது, மேலும் கீழே பட்டியலிடப்பட்டுள்ள பகுதிகளில் கணினி இருந்தால், தீம்பொருள் குறியீட்டின் செயலாக்கம் நிறுத்தப்படும்:
- ரஷ்யா
- பைலோருஸ்யா
- உக்ரைன்
- கஜகஸ்தான்
- தஜிகிஸ்தான்
பெரும்பாலும், டெவலப்பர்கள் அவர்கள் வசிக்கும் நாடுகளில் சட்ட அமலாக்க முகமைகளின் கவனத்தை ஈர்க்க விரும்பவில்லை, எனவே அவர்களின் "வீடு" அதிகார வரம்புகளில் கோப்புகளை குறியாக்கம் செய்ய வேண்டாம்.
பாதிக்கப்பட்டவரின் ஐபி முகவரி மேலே உள்ள பட்டியலில் இல்லை என்றால், வைரஸ் பயனரின் தகவலை குறியாக்குகிறது.
கோப்பு மீட்டெடுப்பைத் தடுக்க, அவற்றின் நிழல் பிரதிகள் நீக்கப்படும்:
இது குறியாக்கம் செய்யப்படாத கோப்புகள் மற்றும் கோப்புறைகளின் பட்டியலையும், கோப்பு நீட்டிப்புகளின் பட்டியலையும் உருவாக்குகிறது.
- விண்டோஸ்
- $RECYCLE.BIN
- ஆர்எஸ்ஏ
- NTDETECT.COM
- என்டிஎல்டிஆர்
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- config.SYS
- BOOTSECT.BAK
- bootmgr
- திட்டம் தரவு
- பயன்பாட்டு தரவு
- osoft
- பொதுவான கோப்புகள்
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY தெளிவின்மை
URLகள் மற்றும் உட்பொதிக்கப்பட்ட உள்ளமைவுத் தரவை மறைக்க, Fuckav முக்கிய சொல்லுடன் ஒரு base64 மற்றும் RC4 குறியாக்க அல்காரிதத்தை Nemty பயன்படுத்துகிறது.
CryptStringToBinaryயைப் பயன்படுத்தி மறைகுறியாக்க செயல்முறை பின்வருமாறு
குறியாக்க
Nemty மூன்று அடுக்கு குறியாக்கத்தைப் பயன்படுத்துகிறது:
- கோப்புகளுக்கான AES-128-CBC. 128-பிட் AES விசை தோராயமாக உருவாக்கப்பட்டு எல்லா கோப்புகளுக்கும் ஒரே மாதிரியாகப் பயன்படுத்தப்படுகிறது. இது பயனரின் கணினியில் உள்ளமைவு கோப்பில் சேமிக்கப்படுகிறது. ஒவ்வொரு கோப்பிற்கும் IV தோராயமாக உருவாக்கப்பட்டு மறைகுறியாக்கப்பட்ட கோப்பில் சேமிக்கப்படுகிறது.
- கோப்பு குறியாக்கத்திற்கான RSA-2048 IV. அமர்வுக்கான முக்கிய ஜோடி உருவாக்கப்படுகிறது. அமர்வுக்கான தனிப்பட்ட விசை பயனரின் கணினியில் உள்ளமைவு கோப்பில் சேமிக்கப்படுகிறது.
- RSA-8192. முதன்மை பொது விசை நிரலில் கட்டமைக்கப்பட்டுள்ளது மற்றும் RSA-2048 அமர்வுக்கான AES விசை மற்றும் ரகசிய விசையை சேமிக்கும் உள்ளமைவு கோப்பை குறியாக்கம் செய்ய பயன்படுகிறது.
- Nemty முதலில் 32 பைட்டுகள் சீரற்ற தரவை உருவாக்குகிறது. முதல் 16 பைட்டுகள் AES-128-CBC விசையாகப் பயன்படுத்தப்படுகின்றன.
இரண்டாவது குறியாக்க அல்காரிதம் RSA-2048 ஆகும். முக்கிய ஜோடி CryptGenKey() செயல்பாட்டால் உருவாக்கப்படுகிறது மற்றும் CryptImportKey() செயல்பாட்டால் இறக்குமதி செய்யப்படுகிறது.
அமர்வுக்கான முக்கிய ஜோடி உருவாக்கப்பட்டவுடன், பொது விசை MS கிரிப்டோகிராஃபிக் சேவை வழங்குநருக்கு இறக்குமதி செய்யப்படுகிறது.
ஒரு அமர்விற்காக உருவாக்கப்பட்ட பொது விசையின் எடுத்துக்காட்டு:
அடுத்து, தனிப்பட்ட விசை CSP இல் இறக்குமதி செய்யப்படுகிறது.
ஒரு அமர்வுக்கு உருவாக்கப்பட்ட தனிப்பட்ட விசையின் எடுத்துக்காட்டு:
கடைசியாக RSA-8192 வருகிறது. முக்கிய பொது விசை PE கோப்பின் .data பிரிவில் மறைகுறியாக்கப்பட்ட வடிவத்தில் (Base64 + RC4) சேமிக்கப்படுகிறது.
பேஸ்8192 டிகோடிங் மற்றும் RC64 டிக்ரிப்ஷனுக்குப் பிறகு Fuckav கடவுச்சொல்லுடன் RSA-4 விசை இதுபோல் தெரிகிறது.
இதன் விளைவாக, முழு குறியாக்க செயல்முறையும் இதுபோல் தெரிகிறது:
- அனைத்து கோப்புகளையும் குறியாக்கப் பயன்படுத்தப்படும் 128-பிட் AES விசையை உருவாக்கவும்.
- ஒவ்வொரு கோப்பிற்கும் ஒரு IV ஐ உருவாக்கவும்.
- RSA-2048 அமர்வுக்கான முக்கிய ஜோடியை உருவாக்குதல்.
- அடிப்படை8192 மற்றும் RC64 ஐப் பயன்படுத்தி ஏற்கனவே உள்ள RSA-4 விசையின் மறைகுறியாக்கம்.
- முதல் படியில் இருந்து AES-128-CBC அல்காரிதத்தைப் பயன்படுத்தி கோப்பு உள்ளடக்கங்களை என்க்ரிப்ட் செய்யவும்.
- RSA-2048 பொது விசை மற்றும் அடிப்படை64 குறியாக்கத்தைப் பயன்படுத்தி IV குறியாக்கம்.
- ஒவ்வொரு என்க்ரிப்ட் செய்யப்பட்ட கோப்பின் முடிவிலும் என்க்ரிப்ட் செய்யப்பட்ட IVஐச் சேர்த்தல்.
- கட்டமைப்பில் AES விசை மற்றும் RSA-2048 அமர்வு தனிப்பட்ட விசையைச் சேர்த்தல்.
- பிரிவில் விவரிக்கப்பட்டுள்ள கட்டமைப்பு தரவு பாதிக்கப்பட்ட கணினி பற்றி முக்கிய பொது விசை RSA-8192 ஐப் பயன்படுத்தி குறியாக்கம் செய்யப்படுகிறது.
- மறைகுறியாக்கப்பட்ட கோப்பு இதுபோல் தெரிகிறது:
மறைகுறியாக்கப்பட்ட கோப்புகளின் எடுத்துக்காட்டு:
பாதிக்கப்பட்ட கணினி பற்றிய தகவல்களைச் சேகரித்தல்
பாதிக்கப்பட்ட கோப்புகளை மறைகுறியாக்க ransomware விசைகளை சேகரிக்கிறது, எனவே தாக்குபவர் உண்மையில் ஒரு டிக்ரிப்டரை உருவாக்க முடியும். கூடுதலாக, Nemty பயனர் பெயர், கணினி பெயர், வன்பொருள் சுயவிவரம் போன்ற பயனர் தரவுகளை சேகரிக்கிறது.
பாதிக்கப்பட்ட கணினியின் டிரைவ்களைப் பற்றிய தகவல்களைச் சேகரிக்க இது GetLogicalDrives(), GetFreeSpace(), GetDriveType() செயல்பாடுகளை அழைக்கிறது.
சேகரிக்கப்பட்ட தகவல்கள் உள்ளமைவு கோப்பில் சேமிக்கப்படும். சரத்தை டிகோட் செய்த பிறகு, உள்ளமைவு கோப்பில் அளவுருக்களின் பட்டியலைப் பெறுகிறோம்:
பாதிக்கப்பட்ட கணினியின் உள்ளமைவின் எடுத்துக்காட்டு:
கட்டமைப்பு வார்ப்புருவை பின்வருமாறு குறிப்பிடலாம்:
{"பொது": {"IP":"[IP]", "நாடு":"[நாடு]", "ComputerName":"[ComputerName]", "பயனர் பெயர்":"[பயனர் பெயர்]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty சேகரிக்கப்பட்ட தரவை JSON வடிவத்தில் %USER%/_NEMTY_.nemty கோப்பில் சேமிக்கிறது. FileID ஆனது 7 எழுத்துகள் நீளமானது மற்றும் தோராயமாக உருவாக்கப்படுகிறது. எடுத்துக்காட்டாக: _NEMTY_tgdLYrd_.nemty. மறைகுறியாக்கப்பட்ட கோப்பின் முடிவில் FileID சேர்க்கப்பட்டுள்ளது.
மீட்கும் செய்தி
கோப்புகளை என்க்ரிப்ட் செய்த பிறகு, பின்வரும் உள்ளடக்கத்துடன் டெஸ்க்டாப்பில் _NEMTY_[FileID]-DECRYPT.txt கோப்பு தோன்றும்:
கோப்பின் முடிவில் பாதிக்கப்பட்ட கணினி பற்றிய மறைகுறியாக்கப்பட்ட தகவல் உள்ளது.
நெட்வொர்க் தொடர்பு
Ironman.exe செயல்முறையானது டோர் உலாவி விநியோகத்தை முகவரியிலிருந்து பதிவிறக்குகிறது மற்றும் அதை நிறுவ முயற்சிக்கிறது.
Nemty பின்னர் உள்ளமைவுத் தரவை 127.0.0.1:9050 க்கு அனுப்ப முயற்சிக்கிறது, அங்கு அது வேலை செய்யும் Tor உலாவி ப்ராக்ஸியைக் கண்டறியும் என்று எதிர்பார்க்கிறது. இருப்பினும், இயல்பாக, Tor ப்ராக்ஸி போர்ட் 9150 இல் கேட்கிறது, மேலும் போர்ட் 9050 ஆனது Linux இல் உள்ள Tor demon அல்லது Windows இல் நிபுணர் குழுவால் பயன்படுத்தப்படுகிறது. இதனால், தாக்குபவர்களின் சேவையகத்திற்கு தரவு எதுவும் அனுப்பப்படாது. அதற்குப் பதிலாக, மீட்புச் செய்தியில் வழங்கப்பட்ட இணைப்பின் மூலம் டோர் மறைகுறியாக்க சேவையைப் பார்வையிடுவதன் மூலம் பயனர் உள்ளமைவு கோப்பை கைமுறையாகப் பதிவிறக்கலாம்.
Tor ப்ராக்ஸியுடன் இணைக்கிறது:
HTTP GET 127.0.0.1:9050/public/gate?data= க்கு ஒரு கோரிக்கையை உருவாக்குகிறது
TORlocal ப்ராக்ஸியால் பயன்படுத்தப்படும் திறந்த TCP போர்ட்களை இங்கே காணலாம்:
Tor நெட்வொர்க்கில் Nemty மறைகுறியாக்க சேவை:
மறைகுறியாக்க சேவையை சோதிக்க, மறைகுறியாக்கப்பட்ட புகைப்படத்தை (jpg, png, bmp) பதிவேற்றலாம்.
இதற்குப் பிறகு, தாக்குபவர் மீட்கும் தொகையைக் கேட்கிறார். பணம் செலுத்தாத பட்சத்தில் விலை இரட்டிப்பாகும்.
முடிவுக்கு
இந்த நேரத்தில், மீட்கும் தொகையை செலுத்தாமல் Nemty மூலம் என்க்ரிப்ட் செய்யப்பட்ட கோப்புகளை டிக்ரிப்ட் செய்ய முடியாது. ransomware இன் இந்தப் பதிப்பு Buran ransomware மற்றும் காலாவதியான GandCrab ஆகியவற்றுடன் பொதுவான அம்சங்களைக் கொண்டுள்ளது: Borland Delphi இல் தொகுப்பு மற்றும் அதே உரையுடன் படங்கள். கூடுதலாக, 8092-பிட் RSA விசையைப் பயன்படுத்தும் முதல் குறியாக்கி இதுவாகும், இது மீண்டும் எந்த அர்த்தமும் இல்லை, ஏனெனில் பாதுகாப்பிற்கு 1024-பிட் விசை போதுமானது. இறுதியாக, சுவாரஸ்யமாக, இது உள்ளூர் Tor ப்ராக்ஸி சேவைக்கு தவறான போர்ட்டைப் பயன்படுத்த முயற்சிக்கிறது.
இருப்பினும், தீர்வுகள் и Nemty ransomware பயனர் பிசிக்கள் மற்றும் டேட்டாவை அடைவதைத் தடுக்கிறது, மேலும் வழங்குநர்கள் தங்கள் வாடிக்கையாளர்களைப் பாதுகாக்க முடியும் . முழு காப்புப்பிரதியை மட்டுமல்ல, பாதுகாப்பையும் வழங்குகிறது , செயற்கை நுண்ணறிவு மற்றும் நடத்தை ஹியூரிஸ்டிக்ஸ் அடிப்படையிலான ஒரு சிறப்பு தொழில்நுட்பம், இது இன்னும் அறியப்படாத தீம்பொருளையும் நடுநிலையாக்க உங்களை அனுமதிக்கிறது.
ஆதாரம்: www.habr.com