போலி PayPal தளத்தில் இருந்து Nemty ransomware ஐ சந்திக்கவும்
Nemty எனப்படும் புதிய ransomware நெட்வொர்க்கில் தோன்றியுள்ளது, இது GrandCrab அல்லது Buran க்கு அடுத்ததாக கருதப்படுகிறது. தீம்பொருள் முக்கியமாக போலி பேபால் வலைத்தளத்திலிருந்து விநியோகிக்கப்படுகிறது மற்றும் பல சுவாரஸ்யமான அம்சங்களைக் கொண்டுள்ளது. இந்த ransomware எவ்வாறு செயல்படுகிறது என்பது பற்றிய விவரங்கள் வெட்டப்படுகின்றன.
புதிய Nemty ransomware பயனரால் கண்டுபிடிக்கப்பட்டது nao_sec செப்டம்பர் 7, 2019. தீம்பொருள் இணையதளம் மூலம் விநியோகிக்கப்பட்டது பேபால் போல் மாறுவேடமிட்டு, RIG எக்ஸ்ப்ளோயிட் கிட் மூலம் ransomware கணினியில் ஊடுருவுவதும் சாத்தியமாகும். PayPal இணையதளத்தில் இருந்து அவர் பெற்றதாகக் கூறப்படும் cashback.exe கோப்பை இயக்குமாறு பயனரை கட்டாயப்படுத்த தாக்குபவர்கள் சமூகப் பொறியியல் முறைகளைப் பயன்படுத்தினர். தீம்பொருளை அனுப்புவதைத் தடுக்கும் உள்ளூர் ப்ராக்ஸி சேவையான Tor க்காக Nemty தவறான போர்ட்டைக் குறிப்பிட்டது ஆர்வமாக உள்ளது. சேவையகத்திற்கான தரவு. எனவே, பயனீட்டாளர் மீட்கும் தொகையை செலுத்த விரும்பினால், அவர் மறைகுறியாக்கப்பட்ட கோப்புகளை டோர் நெட்வொர்க்கில் பதிவேற்ற வேண்டும் மற்றும் தாக்குபவர்களிடமிருந்து மறைகுறியாக்கத்திற்காக காத்திருக்க வேண்டும்.
நெம்டியைப் பற்றிய பல சுவாரஸ்யமான உண்மைகள், அதே நபர்களால் அல்லது புரான் மற்றும் கிராண்ட்கிராப் உடன் தொடர்புடைய சைபர் கிரைமினல்களால் உருவாக்கப்பட்டது என்று கூறுகின்றன.
GandCrab போலவே, Nemty ஒரு ஈஸ்டர் முட்டை - ஒரு ஆபாச நகைச்சுவையுடன் ரஷ்ய ஜனாதிபதி விளாடிமிர் புடினின் புகைப்படத்திற்கான இணைப்பு. மரபுவழி GandCrab ransomware அதே உரையுடன் ஒரு படத்தைக் கொண்டிருந்தது.
இரண்டு நிரல்களின் மொழி கலைப்பொருட்கள் ஒரே ரஷ்ய மொழி பேசும் ஆசிரியர்களை சுட்டிக்காட்டுகின்றன.
8092-பிட் RSA விசையைப் பயன்படுத்தும் முதல் ransomware இதுவாகும். இதில் எந்த அர்த்தமும் இல்லை என்றாலும்: ஹேக்கிங்கிலிருந்து பாதுகாக்க 1024-பிட் விசை போதுமானது.
புரானைப் போலவே, ransomware ஆப்ஜெக்ட் பாஸ்கலில் எழுதப்பட்டு போர்லாண்ட் டெல்பியில் தொகுக்கப்பட்டுள்ளது.
நிலையான பகுப்பாய்வு
தீங்கிழைக்கும் குறியீட்டை செயல்படுத்துவது நான்கு நிலைகளில் நிகழ்கிறது. 32 பைட்டுகள் அளவுள்ள MS Windows இன் கீழ் PE1198936 இயங்கக்கூடிய கோப்பு, cashback.exe ஐ இயக்குவது முதல் படியாகும். அதன் குறியீடு விஷுவல் சி++ இல் எழுதப்பட்டு அக்டோபர் 14, 2013 அன்று தொகுக்கப்பட்டது. நீங்கள் cashback.exe ஐ இயக்கும்போது தானாகவே திறக்கப்படும் காப்பகம் இதில் உள்ளது. மென்பொருள் Cabinet.dll நூலகம் மற்றும் அதன் செயல்பாடுகளான FDICreate(), FDIDestroy() மற்றும் பிறவற்றை .cab காப்பகத்திலிருந்து கோப்புகளைப் பெற பயன்படுத்துகிறது.
காப்பகத்தைத் திறந்த பிறகு, மூன்று கோப்புகள் தோன்றும்.
அடுத்து, temp.exe தொடங்கப்பட்டது, 32 பைட்டுகள் அளவு கொண்ட MS Windows இன் கீழ் PE307200 இயங்கக்கூடிய கோப்பு. குறியீடானது விஷுவல் C++ இல் எழுதப்பட்டு MPRESS பேக்கருடன் தொகுக்கப்பட்டுள்ளது, இது UPX போன்ற ஒரு பேக்கராகும்.
அடுத்த கட்டம் ironman.exe ஆகும். தொடங்கப்பட்டதும், temp.exe உட்பொதிக்கப்பட்ட தரவை temp இல் மறைகுறியாக்கி, அதை ironman.exe என மறுபெயரிடுகிறது, இது 32 பைட் PE544768 இயங்கக்கூடிய கோப்பு. குறியீடு போர்லாண்ட் டெல்பியில் தொகுக்கப்பட்டுள்ளது.
கடைசி கட்டம் ironman.exe கோப்பை மறுதொடக்கம் செய்வதாகும். இயக்க நேரத்தில், அது அதன் குறியீட்டை மாற்றி நினைவகத்திலிருந்து இயங்கும். ironman.exe இன் இந்த பதிப்பு தீங்கிழைக்கும் மற்றும் குறியாக்கத்திற்கு பொறுப்பாகும்.
தாக்குதல் திசையன்
தற்போது, Nemty ransomware pp-back.info என்ற இணையதளம் மூலம் விநியோகிக்கப்படுகிறது.
தொற்று முழு சங்கிலி பார்க்க முடியும் app.any.run சாண்ட்பாக்ஸ்.
நிறுவல்
Cashback.exe - தாக்குதலின் ஆரம்பம். ஏற்கனவே குறிப்பிட்டுள்ளபடி, cashback.exe அதில் உள்ள .cab கோப்பைத் திறக்கிறது. இது %TEMP%IXxxx.TMP வடிவத்தின் TMP4351$.TMP கோப்புறையை உருவாக்குகிறது, இங்கு xxx என்பது 001 முதல் 999 வரையிலான எண்ணாகும்.
அடுத்து, ஒரு பதிவு விசை நிறுவப்பட்டுள்ளது, இது போல் தெரிகிறது:
தொகுக்கப்படாத கோப்புகளை நீக்க இது பயன்படுகிறது. இறுதியாக, cashback.exe temp.exe செயல்முறையைத் தொடங்குகிறது.
Temp.exe என்பது தொற்று சங்கிலியின் இரண்டாவது கட்டமாகும்
இது காஷ்பேக்.எக்ஸ் கோப்பு மூலம் தொடங்கப்பட்ட செயல்முறையாகும், இது வைரஸ் செயல்படுத்தலின் இரண்டாவது படியாகும். இது விண்டோஸில் ஸ்கிரிப்ட்களை இயக்குவதற்கான கருவியான AutoHotKey ஐ பதிவிறக்கம் செய்து, PE கோப்பின் ஆதாரங்கள் பிரிவில் அமைந்துள்ள WindowSpy.ahk ஸ்கிரிப்டை இயக்க முயற்சிக்கிறது.
WindowSpy.ahk ஸ்கிரிப்ட் RC4 அல்காரிதம் மற்றும் IwantAcake கடவுச்சொல்லைப் பயன்படுத்தி ironman.exe இல் உள்ள தற்காலிக கோப்பை மறைகுறியாக்குகிறது. கடவுச்சொல்லிலிருந்து விசை MD5 ஹாஷிங் அல்காரிதத்தைப் பயன்படுத்தி பெறப்படுகிறது.
temp.exe பின்னர் ironman.exe செயல்முறையை அழைக்கிறது.
Ironman.exe - மூன்றாவது படி
Ironman.exe, iron.bmp கோப்பின் உள்ளடக்கங்களைப் படித்து, அடுத்து தொடங்கப்படும் கிரிப்டோலாக்கருடன் ஒரு iron.txt கோப்பை உருவாக்குகிறது.
இதற்குப் பிறகு, வைரஸ் iron.txt ஐ நினைவகத்தில் ஏற்றுகிறது மற்றும் அதை ironman.exe என மறுதொடக்கம் செய்கிறது. இதற்குப் பிறகு, iron.txt நீக்கப்படும்.
ironman.exe என்பது NEMTY ransomware இன் முக்கிய பகுதியாகும், இது பாதிக்கப்பட்ட கணினியில் உள்ள கோப்புகளை குறியாக்கம் செய்கிறது. தீம்பொருள் வெறுப்பு எனப்படும் மியூடெக்ஸை உருவாக்குகிறது.
முதலில் செய்ய வேண்டியது கணினியின் புவியியல் இருப்பிடத்தை தீர்மானிப்பதாகும். Nemty உலாவியைத் திறந்து, IP ஐக் கண்டறிகிறான் http://api.ipify.org. தளத்தில் api.db-ip.com/v2/free[IP]/countryName பெறப்பட்ட IP மூலம் நாடு தீர்மானிக்கப்படுகிறது, மேலும் கீழே பட்டியலிடப்பட்டுள்ள பகுதிகளில் கணினி இருந்தால், தீம்பொருள் குறியீட்டின் செயலாக்கம் நிறுத்தப்படும்:
ரஷ்யா
பைலோருஸ்யா
உக்ரைன்
கஜகஸ்தான்
தஜிகிஸ்தான்
பெரும்பாலும், டெவலப்பர்கள் அவர்கள் வசிக்கும் நாடுகளில் சட்ட அமலாக்க முகமைகளின் கவனத்தை ஈர்க்க விரும்பவில்லை, எனவே அவர்களின் "வீடு" அதிகார வரம்புகளில் கோப்புகளை குறியாக்கம் செய்ய வேண்டாம்.
பாதிக்கப்பட்டவரின் ஐபி முகவரி மேலே உள்ள பட்டியலில் இல்லை என்றால், வைரஸ் பயனரின் தகவலை குறியாக்குகிறது.
கோப்பு மீட்டெடுப்பைத் தடுக்க, அவற்றின் நிழல் பிரதிகள் நீக்கப்படும்:
இது குறியாக்கம் செய்யப்படாத கோப்புகள் மற்றும் கோப்புறைகளின் பட்டியலையும், கோப்பு நீட்டிப்புகளின் பட்டியலையும் உருவாக்குகிறது.
விண்டோஸ்
$RECYCLE.BIN
ஆர்எஸ்ஏ
NTDETECT.COM
என்டிஎல்டிஆர்
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
config.SYS
BOOTSECT.BAK
bootmgr
திட்டம் தரவு
பயன்பாட்டு தரவு
osoft
பொதுவான கோப்புகள்
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
தெளிவின்மை
URLகள் மற்றும் உட்பொதிக்கப்பட்ட உள்ளமைவுத் தரவை மறைக்க, Fuckav முக்கிய சொல்லுடன் ஒரு base64 மற்றும் RC4 குறியாக்க அல்காரிதத்தை Nemty பயன்படுத்துகிறது.
CryptStringToBinaryயைப் பயன்படுத்தி மறைகுறியாக்க செயல்முறை பின்வருமாறு
குறியாக்க
Nemty மூன்று அடுக்கு குறியாக்கத்தைப் பயன்படுத்துகிறது:
கோப்புகளுக்கான AES-128-CBC. 128-பிட் AES விசை தோராயமாக உருவாக்கப்பட்டு எல்லா கோப்புகளுக்கும் ஒரே மாதிரியாகப் பயன்படுத்தப்படுகிறது. இது பயனரின் கணினியில் உள்ளமைவு கோப்பில் சேமிக்கப்படுகிறது. ஒவ்வொரு கோப்பிற்கும் IV தோராயமாக உருவாக்கப்பட்டு மறைகுறியாக்கப்பட்ட கோப்பில் சேமிக்கப்படுகிறது.
கோப்பு குறியாக்கத்திற்கான RSA-2048 IV. அமர்வுக்கான முக்கிய ஜோடி உருவாக்கப்படுகிறது. அமர்வுக்கான தனிப்பட்ட விசை பயனரின் கணினியில் உள்ளமைவு கோப்பில் சேமிக்கப்படுகிறது.
RSA-8192. முதன்மை பொது விசை நிரலில் கட்டமைக்கப்பட்டுள்ளது மற்றும் RSA-2048 அமர்வுக்கான AES விசை மற்றும் ரகசிய விசையை சேமிக்கும் உள்ளமைவு கோப்பை குறியாக்கம் செய்ய பயன்படுகிறது.
Nemty முதலில் 32 பைட்டுகள் சீரற்ற தரவை உருவாக்குகிறது. முதல் 16 பைட்டுகள் AES-128-CBC விசையாகப் பயன்படுத்தப்படுகின்றன.
இரண்டாவது குறியாக்க அல்காரிதம் RSA-2048 ஆகும். முக்கிய ஜோடி CryptGenKey() செயல்பாட்டால் உருவாக்கப்படுகிறது மற்றும் CryptImportKey() செயல்பாட்டால் இறக்குமதி செய்யப்படுகிறது.
அமர்வுக்கான முக்கிய ஜோடி உருவாக்கப்பட்டவுடன், பொது விசை MS கிரிப்டோகிராஃபிக் சேவை வழங்குநருக்கு இறக்குமதி செய்யப்படுகிறது.
ஒரு அமர்விற்காக உருவாக்கப்பட்ட பொது விசையின் எடுத்துக்காட்டு:
அடுத்து, தனிப்பட்ட விசை CSP இல் இறக்குமதி செய்யப்படுகிறது.
ஒரு அமர்வுக்கு உருவாக்கப்பட்ட தனிப்பட்ட விசையின் எடுத்துக்காட்டு:
கடைசியாக RSA-8192 வருகிறது. முக்கிய பொது விசை PE கோப்பின் .data பிரிவில் மறைகுறியாக்கப்பட்ட வடிவத்தில் (Base64 + RC4) சேமிக்கப்படுகிறது.
பேஸ்8192 டிகோடிங் மற்றும் RC64 டிக்ரிப்ஷனுக்குப் பிறகு Fuckav கடவுச்சொல்லுடன் RSA-4 விசை இதுபோல் தெரிகிறது.
இதன் விளைவாக, முழு குறியாக்க செயல்முறையும் இதுபோல் தெரிகிறது:
அனைத்து கோப்புகளையும் குறியாக்கப் பயன்படுத்தப்படும் 128-பிட் AES விசையை உருவாக்கவும்.
ஒவ்வொரு கோப்பிற்கும் ஒரு IV ஐ உருவாக்கவும்.
RSA-2048 அமர்வுக்கான முக்கிய ஜோடியை உருவாக்குதல்.
அடிப்படை8192 மற்றும் RC64 ஐப் பயன்படுத்தி ஏற்கனவே உள்ள RSA-4 விசையின் மறைகுறியாக்கம்.
முதல் படியில் இருந்து AES-128-CBC அல்காரிதத்தைப் பயன்படுத்தி கோப்பு உள்ளடக்கங்களை என்க்ரிப்ட் செய்யவும்.
RSA-2048 பொது விசை மற்றும் அடிப்படை64 குறியாக்கத்தைப் பயன்படுத்தி IV குறியாக்கம்.
ஒவ்வொரு என்க்ரிப்ட் செய்யப்பட்ட கோப்பின் முடிவிலும் என்க்ரிப்ட் செய்யப்பட்ட IVஐச் சேர்த்தல்.
கட்டமைப்பில் AES விசை மற்றும் RSA-2048 அமர்வு தனிப்பட்ட விசையைச் சேர்த்தல்.
பிரிவில் விவரிக்கப்பட்டுள்ள கட்டமைப்பு தரவு தகவல் சேகரிப்பு பாதிக்கப்பட்ட கணினி பற்றி முக்கிய பொது விசை RSA-8192 ஐப் பயன்படுத்தி குறியாக்கம் செய்யப்படுகிறது.
மறைகுறியாக்கப்பட்ட கோப்பு இதுபோல் தெரிகிறது:
மறைகுறியாக்கப்பட்ட கோப்புகளின் எடுத்துக்காட்டு:
பாதிக்கப்பட்ட கணினி பற்றிய தகவல்களைச் சேகரித்தல்
பாதிக்கப்பட்ட கோப்புகளை மறைகுறியாக்க ransomware விசைகளை சேகரிக்கிறது, எனவே தாக்குபவர் உண்மையில் ஒரு டிக்ரிப்டரை உருவாக்க முடியும். கூடுதலாக, Nemty பயனர் பெயர், கணினி பெயர், வன்பொருள் சுயவிவரம் போன்ற பயனர் தரவுகளை சேகரிக்கிறது.
பாதிக்கப்பட்ட கணினியின் டிரைவ்களைப் பற்றிய தகவல்களைச் சேகரிக்க இது GetLogicalDrives(), GetFreeSpace(), GetDriveType() செயல்பாடுகளை அழைக்கிறது.
சேகரிக்கப்பட்ட தகவல்கள் உள்ளமைவு கோப்பில் சேமிக்கப்படும். சரத்தை டிகோட் செய்த பிறகு, உள்ளமைவு கோப்பில் அளவுருக்களின் பட்டியலைப் பெறுகிறோம்:
பாதிக்கப்பட்ட கணினியின் உள்ளமைவின் எடுத்துக்காட்டு:
கட்டமைப்பு வார்ப்புருவை பின்வருமாறு குறிப்பிடலாம்:
Nemty சேகரிக்கப்பட்ட தரவை JSON வடிவத்தில் %USER%/_NEMTY_.nemty கோப்பில் சேமிக்கிறது. FileID ஆனது 7 எழுத்துகள் நீளமானது மற்றும் தோராயமாக உருவாக்கப்படுகிறது. எடுத்துக்காட்டாக: _NEMTY_tgdLYrd_.nemty. மறைகுறியாக்கப்பட்ட கோப்பின் முடிவில் FileID சேர்க்கப்பட்டுள்ளது.
மீட்கும் செய்தி
கோப்புகளை என்க்ரிப்ட் செய்த பிறகு, பின்வரும் உள்ளடக்கத்துடன் டெஸ்க்டாப்பில் _NEMTY_[FileID]-DECRYPT.txt கோப்பு தோன்றும்:
கோப்பின் முடிவில் பாதிக்கப்பட்ட கணினி பற்றிய மறைகுறியாக்கப்பட்ட தகவல் உள்ளது.
Nemty பின்னர் உள்ளமைவுத் தரவை 127.0.0.1:9050 க்கு அனுப்ப முயற்சிக்கிறது, அங்கு அது வேலை செய்யும் Tor உலாவி ப்ராக்ஸியைக் கண்டறியும் என்று எதிர்பார்க்கிறது. இருப்பினும், இயல்பாக, Tor ப்ராக்ஸி போர்ட் 9150 இல் கேட்கிறது, மேலும் போர்ட் 9050 ஆனது Linux இல் உள்ள Tor demon அல்லது Windows இல் நிபுணர் குழுவால் பயன்படுத்தப்படுகிறது. இதனால், தாக்குபவர்களின் சேவையகத்திற்கு தரவு எதுவும் அனுப்பப்படாது. அதற்குப் பதிலாக, மீட்புச் செய்தியில் வழங்கப்பட்ட இணைப்பின் மூலம் டோர் மறைகுறியாக்க சேவையைப் பார்வையிடுவதன் மூலம் பயனர் உள்ளமைவு கோப்பை கைமுறையாகப் பதிவிறக்கலாம்.
Tor ப்ராக்ஸியுடன் இணைக்கிறது:
HTTP GET 127.0.0.1:9050/public/gate?data= க்கு ஒரு கோரிக்கையை உருவாக்குகிறது
TORlocal ப்ராக்ஸியால் பயன்படுத்தப்படும் திறந்த TCP போர்ட்களை இங்கே காணலாம்:
Tor நெட்வொர்க்கில் Nemty மறைகுறியாக்க சேவை:
மறைகுறியாக்க சேவையை சோதிக்க, மறைகுறியாக்கப்பட்ட புகைப்படத்தை (jpg, png, bmp) பதிவேற்றலாம்.
இதற்குப் பிறகு, தாக்குபவர் மீட்கும் தொகையைக் கேட்கிறார். பணம் செலுத்தாத பட்சத்தில் விலை இரட்டிப்பாகும்.
முடிவுக்கு
இந்த நேரத்தில், மீட்கும் தொகையை செலுத்தாமல் Nemty மூலம் என்க்ரிப்ட் செய்யப்பட்ட கோப்புகளை டிக்ரிப்ட் செய்ய முடியாது. ransomware இன் இந்தப் பதிப்பு Buran ransomware மற்றும் காலாவதியான GandCrab ஆகியவற்றுடன் பொதுவான அம்சங்களைக் கொண்டுள்ளது: Borland Delphi இல் தொகுப்பு மற்றும் அதே உரையுடன் படங்கள். கூடுதலாக, 8092-பிட் RSA விசையைப் பயன்படுத்தும் முதல் குறியாக்கி இதுவாகும், இது மீண்டும் எந்த அர்த்தமும் இல்லை, ஏனெனில் பாதுகாப்பிற்கு 1024-பிட் விசை போதுமானது. இறுதியாக, சுவாரஸ்யமாக, இது உள்ளூர் Tor ப்ராக்ஸி சேவைக்கு தவறான போர்ட்டைப் பயன்படுத்த முயற்சிக்கிறது.
இருப்பினும், தீர்வுகள் அக்ரோனிஸ் காப்பு и அக்ரோனிஸ் ட்ரூ இமேஜ் Nemty ransomware பயனர் பிசிக்கள் மற்றும் டேட்டாவை அடைவதைத் தடுக்கிறது, மேலும் வழங்குநர்கள் தங்கள் வாடிக்கையாளர்களைப் பாதுகாக்க முடியும் அக்ரோனிஸ் காப்பு கிளவுட். முழு சைபர் பாதுகாப்பு காப்புப்பிரதியை மட்டுமல்ல, பாதுகாப்பையும் வழங்குகிறது அக்ரோனிஸ் செயலில் பாதுகாப்பு, செயற்கை நுண்ணறிவு மற்றும் நடத்தை ஹியூரிஸ்டிக்ஸ் அடிப்படையிலான ஒரு சிறப்பு தொழில்நுட்பம், இது இன்னும் அறியப்படாத தீம்பொருளையும் நடுநிலையாக்க உங்களை அனுமதிக்கிறது.