Nemty అని పిలువబడే ఒక కొత్త ransomware నెట్వర్క్లో కనిపించింది, ఇది గ్రాండ్క్రాబ్ లేదా బురాన్కు వారసునిగా భావించబడుతుంది. మాల్వేర్ ప్రధానంగా నకిలీ PayPal వెబ్సైట్ నుండి పంపిణీ చేయబడుతుంది మరియు అనేక ఆసక్తికరమైన లక్షణాలను కలిగి ఉంది. ఈ ransomware ఎలా పనిచేస్తుందనే వివరాలు కట్లో ఉన్నాయి.
కొత్త Nemty ransomware వినియోగదారు ద్వారా కనుగొనబడింది nao_sec సెప్టెంబర్ 7, 2019. మాల్వేర్ వెబ్సైట్ ద్వారా పంపిణీ చేయబడింది పేపాల్ వలె మారువేషంలో, RIG ఎక్స్ప్లోయిట్ కిట్ ద్వారా ransomware కంప్యూటర్లోకి ప్రవేశించడం కూడా సాధ్యమే. పేపాల్ వెబ్సైట్ నుండి స్వీకరించినట్లు ఆరోపించబడిన cashback.exe ఫైల్ను అమలు చేయమని వినియోగదారుని బలవంతం చేయడానికి దాడి చేసేవారు సోషల్ ఇంజనీరింగ్ పద్ధతులను ఉపయోగించారు. మాల్వేర్ పంపకుండా నిరోధించే స్థానిక ప్రాక్సీ సర్వీస్ Tor కోసం Nemty తప్పు పోర్ట్ను పేర్కొనడం కూడా ఆసక్తికరంగా ఉంది. సర్వర్కు డేటా. అందువల్ల, వినియోగదారు విమోచన చెల్లించాలని భావిస్తే మరియు దాడి చేసేవారి నుండి డిక్రిప్షన్ కోసం వేచి ఉండాలనుకుంటే టోర్ నెట్వర్క్కు ఎన్క్రిప్టెడ్ ఫైల్లను అప్లోడ్ చేయాల్సి ఉంటుంది.
Nemty గురించిన అనేక ఆసక్తికరమైన విషయాలు అదే వ్యక్తులు లేదా బురాన్ మరియు గ్రాండ్క్రాబ్లతో అనుబంధించబడిన సైబర్ నేరస్థులచే అభివృద్ధి చేయబడిందని సూచిస్తున్నాయి.
GandCrab లాగా, Nemtyలో ఈస్టర్ గుడ్డు ఉంది - రష్యా అధ్యక్షుడు వ్లాదిమిర్ పుతిన్ అసభ్యకరమైన జోక్తో ఉన్న ఫోటోకి లింక్. లెగసీ GandCrab ransomware అదే వచనంతో చిత్రాన్ని కలిగి ఉంది.
రెండు ప్రోగ్రామ్ల భాషా కళాఖండాలు ఒకే రష్యన్ మాట్లాడే రచయితలను సూచిస్తాయి.
8092-బిట్ RSA కీని ఉపయోగించిన మొదటి ransomware ఇదే. ఇందులో ఎటువంటి పాయింట్ లేనప్పటికీ: హ్యాకింగ్ నుండి రక్షించడానికి 1024-బిట్ కీ సరిపోతుంది.
బురాన్ వలె, ransomware ఆబ్జెక్ట్ పాస్కల్లో వ్రాయబడింది మరియు బోర్లాండ్ డెల్ఫీలో సంకలనం చేయబడింది.
స్టాటిక్ విశ్లేషణ
హానికరమైన కోడ్ అమలు నాలుగు దశల్లో జరుగుతుంది. 32 బైట్ల పరిమాణంతో MS విండోస్ కింద PE1198936 ఎక్జిక్యూటబుల్ ఫైల్ అయిన cashback.exeని అమలు చేయడం మొదటి దశ. దీని కోడ్ విజువల్ C++లో వ్రాయబడింది మరియు అక్టోబర్ 14, 2013న సంకలనం చేయబడింది. ఇది మీరు cashback.exeని అమలు చేసినప్పుడు స్వయంచాలకంగా అన్ప్యాక్ చేయబడే ఆర్కైవ్ని కలిగి ఉంటుంది. సాఫ్ట్వేర్ Cabinet.dll లైబ్రరీని మరియు .cab ఆర్కైవ్ నుండి ఫైల్లను పొందేందుకు FDICreate(), FDIDestroy() మరియు ఇతర విధులను ఉపయోగిస్తుంది.
ఆర్కైవ్ను అన్ప్యాక్ చేసిన తర్వాత, మూడు ఫైల్లు కనిపిస్తాయి.
తర్వాత, temp.exe ప్రారంభించబడింది, 32 బైట్ల పరిమాణంతో MS Windows కింద PE307200 ఎక్జిక్యూటబుల్ ఫైల్. కోడ్ విజువల్ C++లో వ్రాయబడింది మరియు UPXకి సమానమైన ప్యాకర్ అయిన MPRESS ప్యాకర్తో ప్యాక్ చేయబడింది.
తదుపరి దశ ironman.exe. ప్రారంభించిన తర్వాత, temp.exe టెంప్లో పొందుపరిచిన డేటాను డీక్రిప్ట్ చేస్తుంది మరియు దాని పేరును 32 బైట్ PE544768 ఎక్జిక్యూటబుల్ ఫైల్గా ironman.exeగా మారుస్తుంది. కోడ్ బోర్లాండ్ డెల్ఫీలో సంకలనం చేయబడింది.
Ironman.exe ఫైల్ను పునఃప్రారంభించడం చివరి దశ. రన్టైమ్లో, ఇది దాని కోడ్ను మార్చుకుంటుంది మరియు మెమరీ నుండి రన్ అవుతుంది. Ironman.exe యొక్క ఈ సంస్కరణ హానికరమైనది మరియు ఎన్క్రిప్షన్కు బాధ్యత వహిస్తుంది.
దాడి వెక్టర్
ప్రస్తుతం, Nemty ransomware వెబ్సైట్ pp-back.info ద్వారా పంపిణీ చేయబడుతుంది.
సంక్రమణ యొక్క పూర్తి గొలుసును చూడవచ్చు app.any.run శాండ్బాక్స్.
సెట్టింగ్
Cashback.exe - దాడి ప్రారంభం. ఇప్పటికే చెప్పినట్లుగా, cashback.exe అది కలిగి ఉన్న .cab ఫైల్ను అన్ప్యాక్ చేస్తుంది. ఇది %TEMP%IXxxx.TMP ఫారమ్ యొక్క TMP4351$.TMP ఫోల్డర్ను సృష్టిస్తుంది, ఇక్కడ xxx అనేది 001 నుండి 999 వరకు ఉన్న సంఖ్య.
తరువాత, రిజిస్ట్రీ కీ ఇన్స్టాల్ చేయబడింది, ఇది ఇలా కనిపిస్తుంది:
అన్ప్యాక్ చేయబడిన ఫైల్లను తొలగించడానికి ఇది ఉపయోగించబడుతుంది. చివరగా, cashback.exe temp.exe ప్రక్రియను ప్రారంభిస్తుంది.
Temp.exe అనేది సంక్రమణ గొలుసులో రెండవ దశ
ఇది వైరస్ అమలు యొక్క రెండవ దశ అయిన cashback.exe ఫైల్ ద్వారా ప్రారంభించబడిన ప్రక్రియ. ఇది Windowsలో స్క్రిప్ట్లను అమలు చేసే సాధనం AutoHotKeyని డౌన్లోడ్ చేయడానికి ప్రయత్నిస్తుంది మరియు PE ఫైల్ యొక్క వనరుల విభాగంలో ఉన్న WindowSpy.ahk స్క్రిప్ట్ను అమలు చేస్తుంది.
WindowSpy.ahk స్క్రిప్ట్ RC4 అల్గోరిథం మరియు పాస్వర్డ్ IwantAcake ఉపయోగించి ironman.exeలో టెంప్ ఫైల్ను డీక్రిప్ట్ చేస్తుంది. MD5 హ్యాషింగ్ అల్గోరిథం ఉపయోగించి పాస్వర్డ్ నుండి కీ పొందబడుతుంది.
temp.exe అప్పుడు ironman.exe ప్రక్రియను పిలుస్తుంది.
Ironman.exe - మూడవ దశ
Ironman.exe, iron.bmp ఫైల్లోని కంటెంట్లను రీడ్ చేస్తుంది మరియు తర్వాత ప్రారంభించబడే క్రిప్టోలాకర్తో ఒక iron.txt ఫైల్ను సృష్టిస్తుంది.
దీని తరువాత, వైరస్ iron.txtని మెమరీలోకి లోడ్ చేస్తుంది మరియు దానిని ironman.exeగా పునఃప్రారంభిస్తుంది. దీని తర్వాత, iron.txt తొలగించబడుతుంది.
ironman.exe అనేది NEMTY ransomware యొక్క ప్రధాన భాగం, ఇది ప్రభావిత కంప్యూటర్లోని ఫైల్లను గుప్తీకరిస్తుంది. మాల్వేర్ ద్వేషం అనే మ్యూటెక్స్ను సృష్టిస్తుంది.
ఇది చేసే మొదటి విషయం కంప్యూటర్ యొక్క భౌగోళిక స్థానాన్ని నిర్ణయించడం. Nemty బ్రౌజర్ని తెరిచి, IP ఆన్లో ఉందని తెలుసుకుంటాడు http://api.ipify.org. సైట్లో api.db-ip.com/v2/free[IP]/countryName దేశం స్వీకరించిన IP నుండి నిర్ణయించబడుతుంది మరియు కంప్యూటర్ దిగువ జాబితా చేయబడిన ప్రాంతాలలో ఒకదానిలో ఉన్నట్లయితే, మాల్వేర్ కోడ్ అమలు ఆగిపోతుంది:
రష్యా
Byelorussia
ఉక్రెయిన్
కజాఖ్స్తాన్
తజికిస్తాన్
చాలా మటుకు, డెవలపర్లు తమ నివాస దేశాల్లోని చట్ట అమలు సంస్థల దృష్టిని ఆకర్షించడానికి ఇష్టపడరు మరియు అందువల్ల వారి "ఇంటి" అధికార పరిధిలోని ఫైల్లను గుప్తీకరించవద్దు.
బాధితుడి IP చిరునామా ఎగువ జాబితాకు చెందకపోతే, వైరస్ వినియోగదారు సమాచారాన్ని గుప్తీకరిస్తుంది.
ఫైల్ రికవరీని నిరోధించడానికి, వాటి నీడ కాపీలు తొలగించబడతాయి:
ఇది ఎన్క్రిప్ట్ చేయబడని ఫైల్లు మరియు ఫోల్డర్ల జాబితాను అలాగే ఫైల్ ఎక్స్టెన్షన్ల జాబితాను సృష్టిస్తుంది.
విండోస్
$RECYCLE.BIN
ఆర్సా
NTDETECT.COM
NTLDR
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
SYS కాన్ఫిగరేషన్.
BOOTSECT.BAK
bootmgr
ప్రోగ్రామ్డేటా
అనువర్తనం డేటా
ఓసాఫ్ట్
సాధారణ ఫైళ్లు
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
అస్పష్టత
URLలు మరియు పొందుపరిచిన కాన్ఫిగరేషన్ డేటాను దాచడానికి, Nemty fuckav కీవర్డ్తో బేస్64 మరియు RC4 ఎన్కోడింగ్ అల్గారిథమ్ను ఉపయోగిస్తుంది.
CryptStringToBinaryని ఉపయోగించి డిక్రిప్షన్ ప్రక్రియ క్రింది విధంగా ఉంటుంది
ఎన్క్రిప్షన్
Nemty మూడు-పొరల గుప్తీకరణను ఉపయోగిస్తుంది:
ఫైల్ల కోసం AES-128-CBC. 128-బిట్ AES కీ యాదృచ్ఛికంగా రూపొందించబడింది మరియు అన్ని ఫైల్లకు ఒకే విధంగా ఉపయోగించబడుతుంది. ఇది వినియోగదారు కంప్యూటర్లోని కాన్ఫిగరేషన్ ఫైల్లో నిల్వ చేయబడుతుంది. ప్రతి ఫైల్ కోసం IV యాదృచ్ఛికంగా ఉత్పత్తి చేయబడుతుంది మరియు గుప్తీకరించిన ఫైల్లో నిల్వ చేయబడుతుంది.
ఫైల్ ఎన్క్రిప్షన్ IV కోసం RSA-2048. సెషన్ కోసం ఒక కీ జత రూపొందించబడింది. సెషన్ కోసం ప్రైవేట్ కీ వినియోగదారు కంప్యూటర్లోని కాన్ఫిగరేషన్ ఫైల్లో నిల్వ చేయబడుతుంది.
RSA-8192. మాస్టర్ పబ్లిక్ కీ ప్రోగ్రామ్లో నిర్మించబడింది మరియు కాన్ఫిగరేషన్ ఫైల్ను గుప్తీకరించడానికి ఉపయోగించబడుతుంది, ఇది RSA-2048 సెషన్ కోసం AES కీ మరియు రహస్య కీని నిల్వ చేస్తుంది.
Nemty ముందుగా 32 బైట్ల యాదృచ్ఛిక డేటాను ఉత్పత్తి చేస్తుంది. మొదటి 16 బైట్లు AES-128-CBC కీగా ఉపయోగించబడతాయి.
రెండవ ఎన్క్రిప్షన్ అల్గోరిథం RSA-2048. కీ జత CryptGenKey() ఫంక్షన్ ద్వారా ఉత్పత్తి చేయబడుతుంది మరియు CryptImportKey() ఫంక్షన్ ద్వారా దిగుమతి చేయబడుతుంది.
సెషన్ కోసం కీ జత రూపొందించబడిన తర్వాత, పబ్లిక్ కీ MS క్రిప్టోగ్రాఫిక్ సర్వీస్ ప్రొవైడర్లోకి దిగుమతి చేయబడుతుంది.
సెషన్ కోసం రూపొందించిన పబ్లిక్ కీకి ఉదాహరణ:
తరువాత, ప్రైవేట్ కీ CSPలోకి దిగుమతి చేయబడుతుంది.
సెషన్ కోసం రూపొందించబడిన ప్రైవేట్ కీకి ఉదాహరణ:
మరియు చివరిగా RSA-8192 వస్తుంది. ప్రధాన పబ్లిక్ కీ PE ఫైల్ యొక్క .data విభాగంలో గుప్తీకరించిన రూపంలో (Base64 + RC4) నిల్వ చేయబడుతుంది.
Fuckav పాస్వర్డ్తో Base8192 డీకోడింగ్ మరియు RC64 డిక్రిప్షన్ తర్వాత RSA-4 కీ ఇలా కనిపిస్తుంది.
ఫలితంగా, మొత్తం గుప్తీకరణ ప్రక్రియ ఇలా కనిపిస్తుంది:
అన్ని ఫైల్లను గుప్తీకరించడానికి ఉపయోగించే 128-బిట్ AES కీని రూపొందించండి.
ప్రతి ఫైల్ కోసం IVని సృష్టించండి.
RSA-2048 సెషన్ కోసం కీ జతని సృష్టిస్తోంది.
బేస్8192 మరియు RC64 ఉపయోగించి ఇప్పటికే ఉన్న RSA-4 కీ యొక్క డిక్రిప్షన్.
మొదటి దశ నుండి AES-128-CBC అల్గోరిథం ఉపయోగించి ఫైల్ కంటెంట్లను గుప్తీకరించండి.
RSA-2048 పబ్లిక్ కీ మరియు బేస్64 ఎన్కోడింగ్ని ఉపయోగించి IV ఎన్క్రిప్షన్.
ప్రతి గుప్తీకరించిన ఫైల్ చివర ఎన్క్రిప్టెడ్ IVని జోడించడం.
కాన్ఫిగరేషన్కు AES కీ మరియు RSA-2048 సెషన్ ప్రైవేట్ కీని జోడిస్తోంది.
విభాగంలో వివరించిన కాన్ఫిగరేషన్ డేటా సమాచార సేకరణ సోకిన కంప్యూటర్ గురించి ప్రధాన పబ్లిక్ కీ RSA-8192 ఉపయోగించి గుప్తీకరించబడింది.
గుప్తీకరించిన ఫైల్ ఇలా కనిపిస్తుంది:
గుప్తీకరించిన ఫైల్ల ఉదాహరణ:
సోకిన కంప్యూటర్ గురించి సమాచారాన్ని సేకరిస్తోంది
ransomware సోకిన ఫైల్లను డీక్రిప్ట్ చేయడానికి కీలను సేకరిస్తుంది, తద్వారా దాడి చేసే వ్యక్తి వాస్తవానికి డీక్రిప్టర్ను సృష్టించగలడు. అదనంగా, నెమ్టీ వినియోగదారు పేరు, కంప్యూటర్ పేరు, హార్డ్వేర్ ప్రొఫైల్ వంటి వినియోగదారు డేటాను సేకరిస్తుంది.
ఇది సోకిన కంప్యూటర్ యొక్క డ్రైవ్ల గురించి సమాచారాన్ని సేకరించడానికి GetLogicalDrives(), GetFreeSpace(), GetDriveType() ఫంక్షన్లను పిలుస్తుంది.
సేకరించిన సమాచారం కాన్ఫిగరేషన్ ఫైల్లో నిల్వ చేయబడుతుంది. స్ట్రింగ్ను డీకోడ్ చేసిన తర్వాత, మేము కాన్ఫిగరేషన్ ఫైల్లోని పారామితుల జాబితాను పొందుతాము:
సోకిన కంప్యూటర్ యొక్క ఉదాహరణ కాన్ఫిగరేషన్:
కాన్ఫిగరేషన్ టెంప్లేట్ ఈ క్రింది విధంగా సూచించబడుతుంది:
Nemty సేకరించిన డేటాను JSON ఫార్మాట్లో %USER%/_NEMTY_.nemty ఫైల్లో నిల్వ చేస్తుంది. FileID 7 అక్షరాల పొడవు మరియు యాదృచ్ఛికంగా రూపొందించబడింది. ఉదాహరణకు: _NEMTY_tgdLYrd_.nemty. ఫైల్ఐడి ఎన్క్రిప్టెడ్ ఫైల్ చివరకి కూడా జోడించబడింది.
విమోచన సందేశం
ఫైల్లను గుప్తీకరించిన తర్వాత, _NEMTY_[FileID]-DECRYPT.txt ఫైల్ క్రింది కంటెంట్తో డెస్క్టాప్పై కనిపిస్తుంది:
ఫైల్ చివరిలో సోకిన కంప్యూటర్ గురించి గుప్తీకరించిన సమాచారం ఉంది.
Nemty ఆ తర్వాత కాన్ఫిగరేషన్ డేటాను 127.0.0.1:9050కి పంపడానికి ప్రయత్నిస్తుంది, అక్కడ అది పని చేసే టోర్ బ్రౌజర్ ప్రాక్సీని కనుగొనాలని భావిస్తుంది. అయితే, డిఫాల్ట్గా టోర్ ప్రాక్సీ పోర్ట్ 9150లో వింటుంది మరియు పోర్ట్ 9050ని లైనక్స్లోని టోర్ డెమోన్ లేదా విండోస్లోని ఎక్స్పర్ట్ బండిల్ ఉపయోగిస్తుంది. అందువలన, దాడి చేసేవారి సర్వర్కు డేటా ఏదీ పంపబడదు. బదులుగా, వినియోగదారు విమోచన సందేశంలో అందించిన లింక్ ద్వారా టోర్ డిక్రిప్షన్ సేవను సందర్శించడం ద్వారా కాన్ఫిగరేషన్ ఫైల్ను మాన్యువల్గా డౌన్లోడ్ చేసుకోవచ్చు.
టోర్ ప్రాక్సీకి కనెక్ట్ చేస్తోంది:
HTTP GET 127.0.0.1:9050/public/gate?data=కి అభ్యర్థనను సృష్టిస్తుంది
ఇక్కడ మీరు TORlocal ప్రాక్సీ ద్వారా ఉపయోగించే ఓపెన్ TCP పోర్ట్లను చూడవచ్చు:
టోర్ నెట్వర్క్లో నెమ్టీ డిక్రిప్షన్ సేవ:
మీరు డిక్రిప్షన్ సేవను పరీక్షించడానికి గుప్తీకరించిన ఫోటోను (jpg, png, bmp) అప్లోడ్ చేయవచ్చు.
దీని తర్వాత, దాడి చేసిన వ్యక్తి విమోచన క్రయధనం చెల్లించమని అడుగుతాడు. చెల్లించని పక్షంలో ధర రెట్టింపు అవుతుంది.
తీర్మానం
ప్రస్తుతానికి, విమోచన చెల్లింపు లేకుండా Nemty ద్వారా ఎన్క్రిప్ట్ చేయబడిన ఫైల్లను డీక్రిప్ట్ చేయడం సాధ్యం కాదు. ransomware యొక్క ఈ సంస్కరణ Buran ransomware మరియు పాత GandCrabతో సాధారణ లక్షణాలను కలిగి ఉంది: బోర్లాండ్ డెల్ఫీలో సంకలనం మరియు అదే వచనంతో చిత్రాలు. అదనంగా, ఇది 8092-బిట్ RSA కీని ఉపయోగించే మొదటి ఎన్క్రిప్టర్, రక్షణ కోసం 1024-బిట్ కీ సరిపోతుంది కాబట్టి, ఇది మళ్లీ ఎలాంటి అర్ధవంతం కాదు. చివరగా, మరియు ఆసక్తికరంగా, ఇది స్థానిక టోర్ ప్రాక్సీ సేవ కోసం తప్పు పోర్ట్ను ఉపయోగించడానికి ప్రయత్నిస్తుంది.
అయితే, పరిష్కారాలు అక్రోనిస్ బ్యాకప్ и అక్రోనిస్ ట్రూ ఇమేజ్ Nemty ransomware వినియోగదారు PCలు మరియు డేటాను చేరకుండా నిరోధించండి మరియు ప్రొవైడర్లు తమ క్లయింట్లను రక్షించగలరు అక్రోనిస్ బ్యాకప్ క్లౌడ్. పూర్తి సైబర్ రక్షణ బ్యాకప్ మాత్రమే కాకుండా, ఉపయోగించి రక్షణను కూడా అందిస్తుంది అక్రోనిస్ యాక్టివ్ ప్రొటెక్షన్, ఆర్టిఫిషియల్ ఇంటెలిజెన్స్ మరియు బిహేవియరల్ హ్యూరిస్టిక్స్ ఆధారంగా ఒక ప్రత్యేక సాంకేతికత, ఇది ఇంకా తెలియని మాల్వేర్ను కూడా తటస్థీకరించడానికి మిమ్మల్ని అనుమతిస్తుంది.