Дар шабака як нармафзори нав бо номи Nemty пайдо шуд, ки гӯё вориси GrandCrab ё Buran аст. Барномаи зараровар асосан аз вебсайти қалбакии PayPal паҳн карда мешавад ва як қатор хусусиятҳои ҷолиб дорад. Тафсилот дар бораи чӣ гуна кор кардани ин нармафзори ransomware дар зер аст.
Барномаи нави ransomty Nemty аз ҷониби корбар кашф шудааст
Якчанд далелҳои ҷолиб дар бораи Немти нишон медиҳанд, ки он аз ҷониби ҳамон одамон ё киберҷинояткорони марбут ба Buran ва GrandCrab таҳия шудааст.
- Мисли GandCrab, Немти тухми Пасха дорад - пайванд ба акси президенти Русия Владимир Путин бо шӯхии фаҳш. Барномаи ransomware-и меросии GandCrab дорои ҳамон матн буд.
- Осори забонии ҳарду барнома ба ҳамон муаллифони русзабон ишора мекунад.
- Ин аввалин нармафзори ransomware аст, ки калиди 8092-битии RSA-ро истифода мебарад. Гарчанде ки дар ин ҷо ҳеҷ маъное вуҷуд надорад: калиди 1024-бит барои муҳофизат аз ҳакерӣ кофӣ аст.
- Мисли Buran, ransomware дар Object Pascal навишта шудааст ва дар Borland Delphi тартиб дода шудааст.
Таҳлили статикӣ
Иҷрои рамзи зараровар дар чор марҳила сурат мегирад. Қадами аввал иҷро кардани cashback.exe, файли иҷрошавандаи PE32 дар MS Windows бо андозаи 1198936 байт мебошад. Рамзи он дар Visual C++ навишта шуда, 14 октябри соли 2013 тартиб дода шудааст. Он дорои бойгониест, ки ҳангоми кор кардани cashback.exe ба таври худкор кушода мешавад. Нармафзор китобхонаи Cabinet.dll ва функсияҳои FDICreate (), FDIDestroy () ва дигаронро барои гирифтани файлҳо аз бойгонии .cab истифода мебарад.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Пас аз кушодани бойгонӣ, се файл пайдо мешавад.
Баъдан, temp.exe, як файли иҷрошавандаи PE32 дар MS Windows бо андозаи 307200 байт оғоз мешавад. Рамз дар Visual C++ навишта шудааст ва бо бастаи MPRESS, як бастаи шабеҳи UPX баста шудааст.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Қадами навбатӣ ironman.exe аст. Пас аз оғозёбӣ, temp.exe маълумоти дарунсохташударо дар temp рамзкушоӣ мекунад ва онро ба ironman.exe, файли иҷрошавандаи 32 байт PE544768 иваз мекунад. Рамз дар Borland Delphi тартиб дода шудааст.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Қадами охирин ин аз нав оғоз кардани файли ironman.exe мебошад. Дар вақти корӣ, он рамзи худро тағир медиҳад ва худро аз хотира иҷро мекунад. Ин версияи ironman.exe зараровар аст ва барои рамзгузорӣ масъул аст.
Вектори ҳамла
Дар айни замон, нармафзори ransomty Nemty тавассути вебсайти pp-back.info паҳн карда мешавад.
Занҷираи пурраи сироятро дар ин ҷо дидан мумкин аст
параметр
Cashback.exe - оғози ҳамла. Тавре ки аллакай зикр гардид, cashback.exe файли .cab-ро, ки дар он мавҷуд аст, мекушояд. Сипас он папкаи TMP4351$.TMP-ро бо шакли %TEMP%IXxxx.TMP месозад, ки дар он xxx адад аз 001 то 999 мебошад.
Баъдан, калиди реестр насб карда мешавад, ки чунин менамояд:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32 "C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
Он барои нест кардани файлҳои бастанашуда истифода мешавад. Дар ниҳоят, cashback.exe раванди temp.exe-ро оғоз мекунад.
Temp.exe марҳилаи дуюми занҷири сироят мебошад
Ин равандест, ки тавассути файли cashback.exe оғоз шудааст, қадами дуюми иҷрои вирус. Он кӯшиш мекунад, ки AutoHotKey, абзор барои иҷро кардани скриптҳо дар Windows-ро зеркашӣ кунад ва скрипти WindowSpy.ahk-ро, ки дар бахши захираҳои файли PE ҷойгир аст, иҷро кунад.
Скрипти WindowSpy.ahk файли муваққатиро дар ironman.exe бо истифода аз алгоритми RC4 ва пароли IwantAcake рамзкушо мекунад. Калиди парол бо истифода аз алгоритми ҳашингии MD5 ба даст оварда мешавад.
temp.exe баъд раванди ironman.exe -ро даъват мекунад.
Ironman.exe - қадами сеюм
Ironman.exe мундариҷаи файли iron.bmp-ро мехонад ва файли iron.txt-ро бо криптлокер эҷод мекунад, ки дар оянда оғоз мешавад.
Пас аз ин, вирус iron.txt-ро ба хотира бор мекунад ва онро ҳамчун ironman.exe аз нав оғоз мекунад. Баъд аз ин, iron.txt нест карда мешавад.
ironman.exe қисми асосии NEMTY ransomware мебошад, ки файлҳоро дар компютери зарардида рамзгузорӣ мекунад. Нармафзори зараровар як мутексро бо номи нафрат эҷод мекунад.
Аввалин чизе, ки он мекунад, муайян кардани ҷойгиршавии ҷуғрофии компютер мебошад. Nemty браузерро мекушояд ва IP-ро мефаҳмад
- Русия
- Беларус
- Украина
- Қазоқистон
- Тоҷикистон
Эҳтимол, таҳиягарон намехоҳанд таваҷҷӯҳи мақомоти ҳифзи ҳуқуқро дар кишварҳои иқоматашон ҷалб кунанд ва аз ин рӯ файлҳоро дар қаламрави "хона"-и худ рамзгузорӣ намекунанд.
Агар суроғаи IP-и ҷабрдида ба рӯйхати дар боло овардашуда тааллуқ надошта бошад, пас вирус маълумоти корбарро рамзгузорӣ мекунад.
Барои пешгирии барқароршавии файл, нусхаҳои сояафкани онҳо нест карда мешаванд:
Он гоҳ рӯйхати файлҳо ва ҷузвдонҳоеро, ки рамзгузорӣ карда намешаванд, инчунин рӯйхати васеъшавии файлҳоро эҷод мекунад.
- тирезаҳо
- $RECYCLE.BIN
- рс
- NTDETECT.COM
- ва ғайра
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- bootmgr
- маълумоти барнома
- додаҳо
- ософт
- Файлҳои умумӣ
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Мушкилот
Барои пинҳон кардани URL-ҳо ва маълумоти конфигуратсияи дарунсохт, Nemty алгоритми рамзгузории base64 ва RC4-ро бо калимаи калидии fuckav истифода мебарад.
Раванди рамзкушоӣ бо истифода аз CryptStringToBinary чунин аст
Рамзгузорӣ
Nemty рамзгузории сеқабатаро истифода мебарад:
- AES-128-CBC барои файлҳо. Калиди 128-бита AES ба таври тасодуфӣ тавлид мешавад ва барои ҳама файлҳо якхела истифода мешавад. Он дар файли конфигуратсия дар компютери корбар нигоҳ дошта мешавад. IV барои ҳар як файл ба таври тасодуфӣ тавлид мешавад ва дар файли рамзгузоришуда нигоҳ дошта мешавад.
- RSA-2048 барои рамзгузории файл IV. Ҷуфти калидӣ барои сессия тавлид мешавад. Калиди махфии сессия дар файли конфигуратсия дар компютери корбар нигоҳ дошта мешавад.
- RSA-8192. Калиди умумӣ дар барнома сохта шудааст ва барои рамзгузории файли конфигуратсия истифода мешавад, ки калиди AES ва калиди махфиро барои сессияи RSA-2048 нигоҳ медорад.
- Немти аввал 32 байт маълумоти тасодуфиро тавлид мекунад. 16 байтҳои аввал ҳамчун калиди AES-128-CBC истифода мешаванд.
Алгоритм дуюми рамзгузорӣ RSA-2048 мебошад. Ҷуфти калид аз ҷониби функсияи CryptGenKey() тавлид мешавад ва аз ҷониби функсияи CryptImportKey() ворид карда мешавад.
Пас аз тавлиди ҷуфти калидҳо барои сессия, калиди ҷамъиятӣ ба Провайдери хидматрасонии криптографии MS ворид карда мешавад.
Намунаи калиди ҷамъиятии тавлидшуда барои сессия:
Баъдан, калиди хусусӣ ба CSP ворид карда мешавад.
Намунаи калиди хусусии тавлидшуда барои сессия:
Ва охирин RSA-8192 меояд. Калиди умумӣ дар шакли рамзгузоришуда (Base64 + RC4) дар бахши .data файли PE нигоҳ дошта мешавад.
Калиди RSA-8192 пас аз рамзкушоии base64 ва рамзкушоӣ аз RC4 бо пароли fuckav чунин менамояд.
Дар натиҷа, тамоми раванди рамзгузорӣ чунин менамояд:
- Калиди 128-битии AES эҷод кунед, ки барои рамзгузории ҳама файлҳо истифода мешавад.
- Барои ҳар як файл IV эҷод кунед.
- Эҷоди як ҷуфти калидӣ барои ҷаласаи RSA-2048.
- Рамзкушоии калиди мавҷудаи RSA-8192 бо истифода аз base64 ва RC4.
- Аз қадами аввал бо истифода аз алгоритми AES-128-CBC мундариҷаи файлро рамзгузорӣ кунед.
- Рамзгузории IV бо истифода аз калиди оммавии RSA-2048 ва рамзгузории base64.
- Илова кардани IV рамзгузоришуда ба охири ҳар як файли рамзгузоришуда.
- Илова кардани калиди AES ва калиди хусусии сеанси RSA-2048 ба танзимот.
- Маълумоти конфигуратсия дар боб тавсиф карда шудааст
Маҷмӯи иттилоот дар бораи компютери сироятшуда бо истифода аз калиди асосии оммавии RSA-8192 рамзгузорӣ карда мешаванд. - Файли рамзгузоришуда чунин менамояд:
Намунаи файлҳои рамзгузорӣ:
Ҷамъоварии маълумот дар бораи компютери сироятшуда
Барномаи ransomware калидҳоро барои рамзкушоӣ кардани файлҳои сироятшуда ҷамъ мекунад, то ҳамлакунанда воқеан метавонад рамзкушоӣ созад. Илова бар ин, Nemty маълумоти корбарро ба монанди номи корбар, номи компютер, профили сахтафзор ҷамъ меорад.
Он функсияҳои GetLogicalDrives(), GetFreeSpace(), GetDriveType()-ро барои ҷамъоварии маълумот дар бораи дискҳои компютери сироятшуда даъват мекунад.
Маълумоти ҷамъшуда дар файли конфигуратсия нигоҳ дошта мешавад. Пас аз рамзкушоӣ кардани сатр, мо рӯйхати параметрҳоро дар файли конфигуратсия мегирем:
Намунаи конфигуратсияи компютери сироятшуда:
Шаблони конфигуратсияро метавон ба таври зерин муаррифӣ кард:
{"Умумӣ": {"IP":"[IP]", "Кишвар":"[Кишвар]", "Номи компютер":"[Номи компютер]", "Номи корбар":"[Номи корбар]", "OS": "[OS]", "isRU":false, "version":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "ID User":"[ UserID]", "калид":"[калид]", "pr_key":"[pr_key]
Nemty маълумоти ҷамъшударо дар формати JSON дар файли %USER%/_NEMTY_.nemty нигоҳ медорад. FileID аз 7 аломат иборат аст ва ба таври тасодуфӣ тавлид шудааст. Масалан: _NEMTY_tgdLYrd_.nemty. FileID инчунин ба охири файли рамзгузоришуда замима карда мешавад.
Паёми фидя
Пас аз рамзгузории файлҳо, файли _NEMTY_[FileID]-DECRYPT.txt дар мизи корӣ бо мундариҷаи зерин пайдо мешавад:
Дар охири файл маълумоти рамзгузоришуда дар бораи компютери сироятшуда мавҷуд аст.
Муоширати шабакавӣ
Раванди ironman.exe тақсимоти браузери Torро аз суроға зеркашӣ мекунад
Сипас Nemty кӯшиш мекунад, ки маълумоти конфигуратсияро ба 127.0.0.1:9050 фиристад, ки дар он ҷо прокси браузери кори Torро интизор аст. Аммо, ба таври нобаёнӣ прокси Tor дар бандари 9150 гӯш мекунад ва порти 9050 аз ҷониби демони Tor дар Linux ё Expert Bundle дар Windows истифода мешавад. Ҳамин тариқ, ягон маълумот ба сервери ҳамлакунанда фиристода намешавад. Ба ҷои ин, корбар метавонад файли конфигуратсияро ба таври дастӣ тавассути боздид аз хидмати рамзкушоии Tor тавассути истиноди дар паёми фидя пешниҳодшуда зеркашӣ кунад.
Пайвастшавӣ ба прокси Tor:
HTTP GET дархостро ба 127.0.0.1:9050/public/gate?data= эҷод мекунад
Дар ин ҷо шумо метавонед портҳои кушодаи TCP-ро бинед, ки аз ҷониби прокси TORlocal истифода мешаванд:
Хидмати рамзкушоии Nemty дар шабакаи Tor:
Барои санҷидани хидмати рамзкушоӣ шумо метавонед акси рамзгузоришударо (jpg, png, bmp) бор кунед.
Пас аз ин, ҳамлагар талаб мекунад, ки фидя пардохт кунад. Дар сурати напардохтан нарх ду баробар зиёд мешавад.
хулоса
Дар айни замон бе пардохти фидя рамзкушоӣ кардани файлҳои аз ҷониби Немти шифршуда имконнопазир аст. Ин версияи ransomware дорои хусусиятҳои умумӣ бо ransomware Buran ва GandCrab кӯҳна: тартиб дар Borland Delphi ва тасвирҳо бо ҳамон матн. Илова бар ин, ин аввалин рамзгузорест, ки калиди 8092-битии RSA-ро истифода мебарад, ки боз ҳам маъное надорад, зеро калиди 1024-бит барои муҳофизат кофӣ аст. Дар ниҳоят, ва ҷолиб он аст, ки он мекӯшад порти нодурустро барои хидмати прокси маҳаллии Tor истифода барад.
Бо вуҷуди ин, ҳалли
Манбаъ: will.com