Nemty అని పిలువబడే ఒక కొత్త ransomware నెట్వర్క్లో కనిపించింది, ఇది గ్రాండ్క్రాబ్ లేదా బురాన్కు వారసునిగా భావించబడుతుంది. మాల్వేర్ ప్రధానంగా నకిలీ PayPal వెబ్సైట్ నుండి పంపిణీ చేయబడుతుంది మరియు అనేక ఆసక్తికరమైన లక్షణాలను కలిగి ఉంది. ఈ ransomware ఎలా పనిచేస్తుందనే వివరాలు కట్లో ఉన్నాయి.
కొత్త Nemty ransomware వినియోగదారు ద్వారా కనుగొనబడింది సెప్టెంబర్ 7, 2019. మాల్వేర్ వెబ్సైట్ ద్వారా పంపిణీ చేయబడింది , RIG ఎక్స్ప్లోయిట్ కిట్ ద్వారా ransomware కంప్యూటర్లోకి ప్రవేశించడం కూడా సాధ్యమే. పేపాల్ వెబ్సైట్ నుండి స్వీకరించినట్లు ఆరోపించబడిన cashback.exe ఫైల్ను అమలు చేయమని వినియోగదారుని బలవంతం చేయడానికి దాడి చేసేవారు సోషల్ ఇంజనీరింగ్ పద్ధతులను ఉపయోగించారు. మాల్వేర్ పంపకుండా నిరోధించే స్థానిక ప్రాక్సీ సర్వీస్ Tor కోసం Nemty తప్పు పోర్ట్ను పేర్కొనడం కూడా ఆసక్తికరంగా ఉంది. సర్వర్కు డేటా. అందువల్ల, వినియోగదారు విమోచన చెల్లించాలని భావిస్తే మరియు దాడి చేసేవారి నుండి డిక్రిప్షన్ కోసం వేచి ఉండాలనుకుంటే టోర్ నెట్వర్క్కు ఎన్క్రిప్టెడ్ ఫైల్లను అప్లోడ్ చేయాల్సి ఉంటుంది.
Nemty గురించిన అనేక ఆసక్తికరమైన విషయాలు అదే వ్యక్తులు లేదా బురాన్ మరియు గ్రాండ్క్రాబ్లతో అనుబంధించబడిన సైబర్ నేరస్థులచే అభివృద్ధి చేయబడిందని సూచిస్తున్నాయి.
- GandCrab లాగా, Nemtyలో ఈస్టర్ గుడ్డు ఉంది - రష్యా అధ్యక్షుడు వ్లాదిమిర్ పుతిన్ అసభ్యకరమైన జోక్తో ఉన్న ఫోటోకి లింక్. లెగసీ GandCrab ransomware అదే వచనంతో చిత్రాన్ని కలిగి ఉంది.
- రెండు ప్రోగ్రామ్ల భాషా కళాఖండాలు ఒకే రష్యన్ మాట్లాడే రచయితలను సూచిస్తాయి.
- 8092-బిట్ RSA కీని ఉపయోగించిన మొదటి ransomware ఇదే. ఇందులో ఎటువంటి పాయింట్ లేనప్పటికీ: హ్యాకింగ్ నుండి రక్షించడానికి 1024-బిట్ కీ సరిపోతుంది.
- బురాన్ వలె, ransomware ఆబ్జెక్ట్ పాస్కల్లో వ్రాయబడింది మరియు బోర్లాండ్ డెల్ఫీలో సంకలనం చేయబడింది.
స్టాటిక్ విశ్లేషణ
హానికరమైన కోడ్ అమలు నాలుగు దశల్లో జరుగుతుంది. 32 బైట్ల పరిమాణంతో MS విండోస్ కింద PE1198936 ఎక్జిక్యూటబుల్ ఫైల్ అయిన cashback.exeని అమలు చేయడం మొదటి దశ. దీని కోడ్ విజువల్ C++లో వ్రాయబడింది మరియు అక్టోబర్ 14, 2013న సంకలనం చేయబడింది. ఇది మీరు cashback.exeని అమలు చేసినప్పుడు స్వయంచాలకంగా అన్ప్యాక్ చేయబడే ఆర్కైవ్ని కలిగి ఉంటుంది. సాఫ్ట్వేర్ Cabinet.dll లైబ్రరీని మరియు .cab ఆర్కైవ్ నుండి ఫైల్లను పొందేందుకు FDICreate(), FDIDestroy() మరియు ఇతర విధులను ఉపయోగిస్తుంది.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
ఆర్కైవ్ను అన్ప్యాక్ చేసిన తర్వాత, మూడు ఫైల్లు కనిపిస్తాయి.
తర్వాత, temp.exe ప్రారంభించబడింది, 32 బైట్ల పరిమాణంతో MS Windows కింద PE307200 ఎక్జిక్యూటబుల్ ఫైల్. కోడ్ విజువల్ C++లో వ్రాయబడింది మరియు UPXకి సమానమైన ప్యాకర్ అయిన MPRESS ప్యాకర్తో ప్యాక్ చేయబడింది.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
తదుపరి దశ ironman.exe. ప్రారంభించిన తర్వాత, temp.exe టెంప్లో పొందుపరిచిన డేటాను డీక్రిప్ట్ చేస్తుంది మరియు దాని పేరును 32 బైట్ PE544768 ఎక్జిక్యూటబుల్ ఫైల్గా ironman.exeగా మారుస్తుంది. కోడ్ బోర్లాండ్ డెల్ఫీలో సంకలనం చేయబడింది.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Ironman.exe ఫైల్ను పునఃప్రారంభించడం చివరి దశ. రన్టైమ్లో, ఇది దాని కోడ్ను మార్చుకుంటుంది మరియు మెమరీ నుండి రన్ అవుతుంది. Ironman.exe యొక్క ఈ సంస్కరణ హానికరమైనది మరియు ఎన్క్రిప్షన్కు బాధ్యత వహిస్తుంది.
దాడి వెక్టర్
ప్రస్తుతం, Nemty ransomware వెబ్సైట్ pp-back.info ద్వారా పంపిణీ చేయబడుతుంది.
సంక్రమణ యొక్క పూర్తి గొలుసును చూడవచ్చు శాండ్బాక్స్.
సెట్టింగ్
Cashback.exe - దాడి ప్రారంభం. ఇప్పటికే చెప్పినట్లుగా, cashback.exe అది కలిగి ఉన్న .cab ఫైల్ను అన్ప్యాక్ చేస్తుంది. ఇది %TEMP%IXxxx.TMP ఫారమ్ యొక్క TMP4351$.TMP ఫోల్డర్ను సృష్టిస్తుంది, ఇక్కడ xxx అనేది 001 నుండి 999 వరకు ఉన్న సంఖ్య.
తరువాత, రిజిస్ట్రీ కీ ఇన్స్టాల్ చేయబడింది, ఇది ఇలా కనిపిస్తుంది:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
అన్ప్యాక్ చేయబడిన ఫైల్లను తొలగించడానికి ఇది ఉపయోగించబడుతుంది. చివరగా, cashback.exe temp.exe ప్రక్రియను ప్రారంభిస్తుంది.
Temp.exe అనేది సంక్రమణ గొలుసులో రెండవ దశ
ఇది వైరస్ అమలు యొక్క రెండవ దశ అయిన cashback.exe ఫైల్ ద్వారా ప్రారంభించబడిన ప్రక్రియ. ఇది Windowsలో స్క్రిప్ట్లను అమలు చేసే సాధనం AutoHotKeyని డౌన్లోడ్ చేయడానికి ప్రయత్నిస్తుంది మరియు PE ఫైల్ యొక్క వనరుల విభాగంలో ఉన్న WindowSpy.ahk స్క్రిప్ట్ను అమలు చేస్తుంది.
WindowSpy.ahk స్క్రిప్ట్ RC4 అల్గోరిథం మరియు పాస్వర్డ్ IwantAcake ఉపయోగించి ironman.exeలో టెంప్ ఫైల్ను డీక్రిప్ట్ చేస్తుంది. MD5 హ్యాషింగ్ అల్గోరిథం ఉపయోగించి పాస్వర్డ్ నుండి కీ పొందబడుతుంది.
temp.exe అప్పుడు ironman.exe ప్రక్రియను పిలుస్తుంది.
Ironman.exe - మూడవ దశ
Ironman.exe, iron.bmp ఫైల్లోని కంటెంట్లను రీడ్ చేస్తుంది మరియు తర్వాత ప్రారంభించబడే క్రిప్టోలాకర్తో ఒక iron.txt ఫైల్ను సృష్టిస్తుంది.
దీని తరువాత, వైరస్ iron.txtని మెమరీలోకి లోడ్ చేస్తుంది మరియు దానిని ironman.exeగా పునఃప్రారంభిస్తుంది. దీని తర్వాత, iron.txt తొలగించబడుతుంది.
ironman.exe అనేది NEMTY ransomware యొక్క ప్రధాన భాగం, ఇది ప్రభావిత కంప్యూటర్లోని ఫైల్లను గుప్తీకరిస్తుంది. మాల్వేర్ ద్వేషం అనే మ్యూటెక్స్ను సృష్టిస్తుంది.
ఇది చేసే మొదటి విషయం కంప్యూటర్ యొక్క భౌగోళిక స్థానాన్ని నిర్ణయించడం. Nemty బ్రౌజర్ని తెరిచి, IP ఆన్లో ఉందని తెలుసుకుంటాడు . సైట్లో [IP]/countryName దేశం స్వీకరించిన IP నుండి నిర్ణయించబడుతుంది మరియు కంప్యూటర్ దిగువ జాబితా చేయబడిన ప్రాంతాలలో ఒకదానిలో ఉన్నట్లయితే, మాల్వేర్ కోడ్ అమలు ఆగిపోతుంది:
- రష్యా
- Byelorussia
- ఉక్రెయిన్
- కజాఖ్స్తాన్
- తజికిస్తాన్
చాలా మటుకు, డెవలపర్లు తమ నివాస దేశాల్లోని చట్ట అమలు సంస్థల దృష్టిని ఆకర్షించడానికి ఇష్టపడరు మరియు అందువల్ల వారి "ఇంటి" అధికార పరిధిలోని ఫైల్లను గుప్తీకరించవద్దు.
బాధితుడి IP చిరునామా ఎగువ జాబితాకు చెందకపోతే, వైరస్ వినియోగదారు సమాచారాన్ని గుప్తీకరిస్తుంది.
ఫైల్ రికవరీని నిరోధించడానికి, వాటి నీడ కాపీలు తొలగించబడతాయి:
ఇది ఎన్క్రిప్ట్ చేయబడని ఫైల్లు మరియు ఫోల్డర్ల జాబితాను అలాగే ఫైల్ ఎక్స్టెన్షన్ల జాబితాను సృష్టిస్తుంది.
- విండోస్
- $RECYCLE.BIN
- ఆర్సా
- NTDETECT.COM
- NTLDR
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS కాన్ఫిగరేషన్.
- BOOTSECT.BAK
- bootmgr
- ప్రోగ్రామ్డేటా
- అనువర్తనం డేటా
- ఓసాఫ్ట్
- సాధారణ ఫైళ్లు
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY అస్పష్టత
URLలు మరియు పొందుపరిచిన కాన్ఫిగరేషన్ డేటాను దాచడానికి, Nemty fuckav కీవర్డ్తో బేస్64 మరియు RC4 ఎన్కోడింగ్ అల్గారిథమ్ను ఉపయోగిస్తుంది.
CryptStringToBinaryని ఉపయోగించి డిక్రిప్షన్ ప్రక్రియ క్రింది విధంగా ఉంటుంది
ఎన్క్రిప్షన్
Nemty మూడు-పొరల గుప్తీకరణను ఉపయోగిస్తుంది:
- ఫైల్ల కోసం AES-128-CBC. 128-బిట్ AES కీ యాదృచ్ఛికంగా రూపొందించబడింది మరియు అన్ని ఫైల్లకు ఒకే విధంగా ఉపయోగించబడుతుంది. ఇది వినియోగదారు కంప్యూటర్లోని కాన్ఫిగరేషన్ ఫైల్లో నిల్వ చేయబడుతుంది. ప్రతి ఫైల్ కోసం IV యాదృచ్ఛికంగా ఉత్పత్తి చేయబడుతుంది మరియు గుప్తీకరించిన ఫైల్లో నిల్వ చేయబడుతుంది.
- ఫైల్ ఎన్క్రిప్షన్ IV కోసం RSA-2048. సెషన్ కోసం ఒక కీ జత రూపొందించబడింది. సెషన్ కోసం ప్రైవేట్ కీ వినియోగదారు కంప్యూటర్లోని కాన్ఫిగరేషన్ ఫైల్లో నిల్వ చేయబడుతుంది.
- RSA-8192. మాస్టర్ పబ్లిక్ కీ ప్రోగ్రామ్లో నిర్మించబడింది మరియు కాన్ఫిగరేషన్ ఫైల్ను గుప్తీకరించడానికి ఉపయోగించబడుతుంది, ఇది RSA-2048 సెషన్ కోసం AES కీ మరియు రహస్య కీని నిల్వ చేస్తుంది.
- Nemty ముందుగా 32 బైట్ల యాదృచ్ఛిక డేటాను ఉత్పత్తి చేస్తుంది. మొదటి 16 బైట్లు AES-128-CBC కీగా ఉపయోగించబడతాయి.
రెండవ ఎన్క్రిప్షన్ అల్గోరిథం RSA-2048. కీ జత CryptGenKey() ఫంక్షన్ ద్వారా ఉత్పత్తి చేయబడుతుంది మరియు CryptImportKey() ఫంక్షన్ ద్వారా దిగుమతి చేయబడుతుంది.
సెషన్ కోసం కీ జత రూపొందించబడిన తర్వాత, పబ్లిక్ కీ MS క్రిప్టోగ్రాఫిక్ సర్వీస్ ప్రొవైడర్లోకి దిగుమతి చేయబడుతుంది.
సెషన్ కోసం రూపొందించిన పబ్లిక్ కీకి ఉదాహరణ:
తరువాత, ప్రైవేట్ కీ CSPలోకి దిగుమతి చేయబడుతుంది.
సెషన్ కోసం రూపొందించబడిన ప్రైవేట్ కీకి ఉదాహరణ:
మరియు చివరిగా RSA-8192 వస్తుంది. ప్రధాన పబ్లిక్ కీ PE ఫైల్ యొక్క .data విభాగంలో గుప్తీకరించిన రూపంలో (Base64 + RC4) నిల్వ చేయబడుతుంది.
Fuckav పాస్వర్డ్తో Base8192 డీకోడింగ్ మరియు RC64 డిక్రిప్షన్ తర్వాత RSA-4 కీ ఇలా కనిపిస్తుంది.
ఫలితంగా, మొత్తం గుప్తీకరణ ప్రక్రియ ఇలా కనిపిస్తుంది:
- అన్ని ఫైల్లను గుప్తీకరించడానికి ఉపయోగించే 128-బిట్ AES కీని రూపొందించండి.
- ప్రతి ఫైల్ కోసం IVని సృష్టించండి.
- RSA-2048 సెషన్ కోసం కీ జతని సృష్టిస్తోంది.
- బేస్8192 మరియు RC64 ఉపయోగించి ఇప్పటికే ఉన్న RSA-4 కీ యొక్క డిక్రిప్షన్.
- మొదటి దశ నుండి AES-128-CBC అల్గోరిథం ఉపయోగించి ఫైల్ కంటెంట్లను గుప్తీకరించండి.
- RSA-2048 పబ్లిక్ కీ మరియు బేస్64 ఎన్కోడింగ్ని ఉపయోగించి IV ఎన్క్రిప్షన్.
- ప్రతి గుప్తీకరించిన ఫైల్ చివర ఎన్క్రిప్టెడ్ IVని జోడించడం.
- కాన్ఫిగరేషన్కు AES కీ మరియు RSA-2048 సెషన్ ప్రైవేట్ కీని జోడిస్తోంది.
- విభాగంలో వివరించిన కాన్ఫిగరేషన్ డేటా సోకిన కంప్యూటర్ గురించి ప్రధాన పబ్లిక్ కీ RSA-8192 ఉపయోగించి గుప్తీకరించబడింది.
- గుప్తీకరించిన ఫైల్ ఇలా కనిపిస్తుంది:
గుప్తీకరించిన ఫైల్ల ఉదాహరణ:
సోకిన కంప్యూటర్ గురించి సమాచారాన్ని సేకరిస్తోంది
ransomware సోకిన ఫైల్లను డీక్రిప్ట్ చేయడానికి కీలను సేకరిస్తుంది, తద్వారా దాడి చేసే వ్యక్తి వాస్తవానికి డీక్రిప్టర్ను సృష్టించగలడు. అదనంగా, నెమ్టీ వినియోగదారు పేరు, కంప్యూటర్ పేరు, హార్డ్వేర్ ప్రొఫైల్ వంటి వినియోగదారు డేటాను సేకరిస్తుంది.
ఇది సోకిన కంప్యూటర్ యొక్క డ్రైవ్ల గురించి సమాచారాన్ని సేకరించడానికి GetLogicalDrives(), GetFreeSpace(), GetDriveType() ఫంక్షన్లను పిలుస్తుంది.
సేకరించిన సమాచారం కాన్ఫిగరేషన్ ఫైల్లో నిల్వ చేయబడుతుంది. స్ట్రింగ్ను డీకోడ్ చేసిన తర్వాత, మేము కాన్ఫిగరేషన్ ఫైల్లోని పారామితుల జాబితాను పొందుతాము:
సోకిన కంప్యూటర్ యొక్క ఉదాహరణ కాన్ఫిగరేషన్:
కాన్ఫిగరేషన్ టెంప్లేట్ ఈ క్రింది విధంగా సూచించబడుతుంది:
{"సాధారణ": {"IP":"[IP]", "దేశం":"[దేశం]", "ComputerName":"[ComputerName]", "Username":"[Username]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "కీ":"[కీ]", "pr_key":"[pr_key]
Nemty సేకరించిన డేటాను JSON ఫార్మాట్లో %USER%/_NEMTY_.nemty ఫైల్లో నిల్వ చేస్తుంది. FileID 7 అక్షరాల పొడవు మరియు యాదృచ్ఛికంగా రూపొందించబడింది. ఉదాహరణకు: _NEMTY_tgdLYrd_.nemty. ఫైల్ఐడి ఎన్క్రిప్టెడ్ ఫైల్ చివరకి కూడా జోడించబడింది.
విమోచన సందేశం
ఫైల్లను గుప్తీకరించిన తర్వాత, _NEMTY_[FileID]-DECRYPT.txt ఫైల్ క్రింది కంటెంట్తో డెస్క్టాప్పై కనిపిస్తుంది:
ఫైల్ చివరిలో సోకిన కంప్యూటర్ గురించి గుప్తీకరించిన సమాచారం ఉంది.
నెట్వర్క్ కమ్యూనికేషన్
Ironman.exe ప్రక్రియ చిరునామా నుండి టోర్ బ్రౌజర్ పంపిణీని డౌన్లోడ్ చేస్తుంది మరియు దానిని ఇన్స్టాల్ చేయడానికి ప్రయత్నిస్తుంది.
Nemty ఆ తర్వాత కాన్ఫిగరేషన్ డేటాను 127.0.0.1:9050కి పంపడానికి ప్రయత్నిస్తుంది, అక్కడ అది పని చేసే టోర్ బ్రౌజర్ ప్రాక్సీని కనుగొనాలని భావిస్తుంది. అయితే, డిఫాల్ట్గా టోర్ ప్రాక్సీ పోర్ట్ 9150లో వింటుంది మరియు పోర్ట్ 9050ని లైనక్స్లోని టోర్ డెమోన్ లేదా విండోస్లోని ఎక్స్పర్ట్ బండిల్ ఉపయోగిస్తుంది. అందువలన, దాడి చేసేవారి సర్వర్కు డేటా ఏదీ పంపబడదు. బదులుగా, వినియోగదారు విమోచన సందేశంలో అందించిన లింక్ ద్వారా టోర్ డిక్రిప్షన్ సేవను సందర్శించడం ద్వారా కాన్ఫిగరేషన్ ఫైల్ను మాన్యువల్గా డౌన్లోడ్ చేసుకోవచ్చు.
టోర్ ప్రాక్సీకి కనెక్ట్ చేస్తోంది:
HTTP GET 127.0.0.1:9050/public/gate?data=కి అభ్యర్థనను సృష్టిస్తుంది
ఇక్కడ మీరు TORlocal ప్రాక్సీ ద్వారా ఉపయోగించే ఓపెన్ TCP పోర్ట్లను చూడవచ్చు:
టోర్ నెట్వర్క్లో నెమ్టీ డిక్రిప్షన్ సేవ:
మీరు డిక్రిప్షన్ సేవను పరీక్షించడానికి గుప్తీకరించిన ఫోటోను (jpg, png, bmp) అప్లోడ్ చేయవచ్చు.
దీని తర్వాత, దాడి చేసిన వ్యక్తి విమోచన క్రయధనం చెల్లించమని అడుగుతాడు. చెల్లించని పక్షంలో ధర రెట్టింపు అవుతుంది.
తీర్మానం
ప్రస్తుతానికి, విమోచన చెల్లింపు లేకుండా Nemty ద్వారా ఎన్క్రిప్ట్ చేయబడిన ఫైల్లను డీక్రిప్ట్ చేయడం సాధ్యం కాదు. ransomware యొక్క ఈ సంస్కరణ Buran ransomware మరియు పాత GandCrabతో సాధారణ లక్షణాలను కలిగి ఉంది: బోర్లాండ్ డెల్ఫీలో సంకలనం మరియు అదే వచనంతో చిత్రాలు. అదనంగా, ఇది 8092-బిట్ RSA కీని ఉపయోగించే మొదటి ఎన్క్రిప్టర్, రక్షణ కోసం 1024-బిట్ కీ సరిపోతుంది కాబట్టి, ఇది మళ్లీ ఎలాంటి అర్ధవంతం కాదు. చివరగా, మరియు ఆసక్తికరంగా, ఇది స్థానిక టోర్ ప్రాక్సీ సేవ కోసం తప్పు పోర్ట్ను ఉపయోగించడానికి ప్రయత్నిస్తుంది.
అయితే, పరిష్కారాలు и Nemty ransomware వినియోగదారు PCలు మరియు డేటాను చేరకుండా నిరోధించండి మరియు ప్రొవైడర్లు తమ క్లయింట్లను రక్షించగలరు . పూర్తి బ్యాకప్ మాత్రమే కాకుండా, ఉపయోగించి రక్షణను కూడా అందిస్తుంది , ఆర్టిఫిషియల్ ఇంటెలిజెన్స్ మరియు బిహేవియరల్ హ్యూరిస్టిక్స్ ఆధారంగా ఒక ప్రత్యేక సాంకేతికత, ఇది ఇంకా తెలియని మాల్వేర్ను కూడా తటస్థీకరించడానికి మిమ్మల్ని అనుమతిస్తుంది.
మూలం: www.habr.com