Kilalanin ang Nemty ransomware mula sa pekeng PayPal site
Ang isang bagong ransomware na tinatawag na Nemty ay lumitaw sa network, na diumano ay kahalili ng GrandCrab o Buran. Ang malware ay pangunahing ipinamamahagi mula sa pekeng website ng PayPal at may ilang mga kagiliw-giliw na tampok. Ang mga detalye tungkol sa kung paano gumagana ang ransomware na ito ay nasa ilalim ng hiwa.
Bagong Nemty ransomware na natuklasan ng user nao_sec Setyembre 7, 2019. Ang malware ay ipinamahagi sa pamamagitan ng isang website nag disguised bilang PayPal, posible rin para sa ransomware na tumagos sa isang computer sa pamamagitan ng RIG exploit kit. Gumamit ang mga umaatake ng mga paraan ng social engineering para pilitin ang user na patakbuhin ang cashback.exe file, na diumano'y natanggap niya mula sa website ng PayPal. Nakakapagtaka rin na tinukoy ni Nemty ang maling port para sa lokal na serbisyo ng proxy na Tor, na pumipigil sa pagpapadala ng malware. data sa server. Samakatuwid, ang gumagamit ay kailangang mag-upload ng mga naka-encrypt na file sa Tor network mismo kung siya ay nagnanais na magbayad ng ransom at maghintay para sa pag-decryption mula sa mga umaatake.
Maraming mga interesanteng katotohanan tungkol sa Nemty ang nagmumungkahi na ito ay binuo ng parehong mga tao o ng mga cybercriminal na nauugnay sa Buran at GrandCrab.
Tulad ng GandCrab, si Nemty ay may Easter egg - isang link sa larawan ni Russian President Vladimir Putin na may malaswang biro. Ang legacy na GandCrab ransomware ay may larawan na may parehong text.
Ang mga artifact ng wika ng parehong mga programa ay tumuturo sa parehong mga may-akda na nagsasalita ng Ruso.
Ito ang unang ransomware na gumamit ng 8092-bit na RSA key. Bagama't walang punto dito: sapat na ang 1024-bit na key upang maprotektahan laban sa pag-hack.
Tulad ng Buran, ang ransomware ay nakasulat sa Object Pascal at pinagsama-sama sa Borland Delphi.
Static na pagsusuri
Ang pagpapatupad ng malisyosong code ay nangyayari sa apat na yugto. Ang unang hakbang ay patakbuhin ang cashback.exe, isang PE32 executable file sa ilalim ng MS Windows na may sukat na 1198936 bytes. Ang code nito ay isinulat sa Visual C++ at pinagsama-sama noong Oktubre 14, 2013. Naglalaman ito ng archive na awtomatikong na-unpack kapag nagpatakbo ka ng cashback.exe. Ginagamit ng software ang Cabinet.dll library at ang mga function nito na FDICreate(), FDIDestroy() at iba pa para kumuha ng mga file mula sa .cab archive.
Pagkatapos i-unpack ang archive, tatlong file ang lalabas.
Susunod, inilunsad ang temp.exe, isang PE32 executable file sa ilalim ng MS Windows na may sukat na 307200 bytes. Ang code ay nakasulat sa Visual C++ at nakabalot sa MPRESS packer, isang packer na katulad ng UPX.
Ang susunod na hakbang ay ironman.exe. Kapag nailunsad na, idi-decrypt ng temp.exe ang naka-embed na data sa temp at pinangalanan ito sa ironman.exe, isang 32 byte na PE544768 na maipapatupad na file. Ang code ay pinagsama-sama sa Borland Delphi.
Ang huling hakbang ay i-restart ang ironman.exe file. Sa runtime, binabago nito ang code nito at pinapatakbo ang sarili nito mula sa memorya. Ang bersyon na ito ng ironman.exe ay nakakahamak at responsable para sa pag-encrypt.
Vektor ng pag-atake
Sa kasalukuyan, ang Nemty ransomware ay ipinamamahagi sa pamamagitan ng website na pp-back.info.
Maaaring matingnan ang kumpletong kadena ng impeksyon sa app.any.run sandbox.
Instalasyon
Cashback.exe - ang simula ng pag-atake. Gaya ng nabanggit na, binubuksan ng cashback.exe ang .cab file na nilalaman nito. Pagkatapos ay gagawa ito ng folder na TMP4351$.TMP ng anyong %TEMP%IXxxx.TMP, kung saan ang xxx ay isang numero mula 001 hanggang 999.
Susunod, naka-install ang isang registry key, na ganito ang hitsura:
Ito ay ginagamit upang tanggalin ang hindi naka-pack na mga file. Sa wakas, sinisimulan ng cashback.exe ang proseso ng temp.exe.
Ang Temp.exe ay ang pangalawang yugto sa chain ng impeksyon
Ito ang prosesong inilunsad ng cashback.exe file, ang pangalawang hakbang ng pagpapatupad ng virus. Sinusubukan nitong i-download ang AutoHotKey, isang tool para sa pagpapatakbo ng mga script sa Windows, at patakbuhin ang WindowSpy.ahk script na matatagpuan sa seksyon ng mga mapagkukunan ng PE file.
Ang WindowSpy.ahk script ay nagde-decrypt ng temp file sa ironman.exe gamit ang RC4 algorithm at ang password na IwantAcake. Ang susi mula sa password ay nakuha gamit ang MD5 hashing algorithm.
pagkatapos ay tinatawagan ng temp.exe ang proseso ng ironman.exe.
Ironman.exe - ikatlong hakbang
Binabasa ng Ironman.exe ang mga nilalaman ng iron.bmp file at gumagawa ng iron.txt file na may cryptolocker na susunod na ilulunsad.
Pagkatapos nito, nilo-load ng virus ang iron.txt sa memorya at i-restart ito bilang ironman.exe. Pagkatapos nito, ang iron.txt ay tatanggalin.
Ang ironman.exe ay ang pangunahing bahagi ng NEMTY ransomware, na nag-e-encrypt ng mga file sa apektadong computer. Lumilikha ang malware ng isang mutex na tinatawag na poot.
Ang unang bagay na ginagawa nito ay matukoy ang heyograpikong lokasyon ng computer. Binuksan ni Nemty ang browser at nalaman ang IP sa http://api.ipify.org. Sa site api.db-ip.com/v2/free[IP]/countryName Ang bansa ay tinutukoy mula sa natanggap na IP, at kung ang computer ay matatagpuan sa isa sa mga rehiyong nakalista sa ibaba, ang pagpapatupad ng malware code ay hihinto:
Π ΠΎΡΡΠΈΡ
Byelorussia
Ukraina
Kasakstan
Tajikistan
Malamang, ayaw ng mga developer na maakit ang atensyon ng mga ahensyang nagpapatupad ng batas sa kanilang mga bansang tinitirhan, at samakatuwid ay hindi nag-e-encrypt ng mga file sa kanilang mga hurisdiksyon sa "tahanan".
Kung ang IP address ng biktima ay hindi kabilang sa listahan sa itaas, pagkatapos ay ine-encrypt ng virus ang impormasyon ng user.
Upang maiwasan ang pagbawi ng file, ang kanilang mga anino na kopya ay tatanggalin:
Lumilikha ito ng isang listahan ng mga file at folder na hindi mai-encrypt, pati na rin ang isang listahan ng mga extension ng file.
bintana
$RECYCLE.BIN
rsa
NTDETECT.COM
ntldr
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
desktop.ini
SYS CONFIG.
BOOTSECT.BAK
bootmgr
data ng programa
appdata
osoft
Mga Karaniwang File
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Obfuscation
Upang itago ang mga URL at naka-embed na data ng configuration, gumagamit si Nemty ng base64 at RC4 encoding algorithm na may fuckav na keyword.
Ang proseso ng pag-decryption gamit ang CryptStringToBinary ay ang mga sumusunod
Pag-encrypt
Gumagamit ang Nemty ng tatlong-layer na pag-encrypt:
AES-128-CBC para sa mga file. Ang 128-bit AES key ay random na nabuo at ginagamit ang parehong para sa lahat ng mga file. Ito ay naka-imbak sa isang configuration file sa computer ng user. Ang IV ay random na nabuo para sa bawat file at naka-imbak sa isang naka-encrypt na file.
RSA-2048 para sa pag-encrypt ng file IV. Nabuo ang isang key pair para sa session. Ang pribadong key para sa session ay nakaimbak sa isang configuration file sa computer ng user.
RSA-8192. Ang master public key ay binuo sa programa at ginagamit upang i-encrypt ang configuration file, na nag-iimbak ng AES key at secret key para sa RSA-2048 session.
Ang Nemty ay unang bumubuo ng 32 bytes ng random na data. Ang unang 16 byte ay ginagamit bilang AES-128-CBC key.
Ang pangalawang algorithm ng pag-encrypt ay RSA-2048. Ang key pair ay nabuo ng CryptGenKey() function at na-import ng CryptImportKey() function.
Sa sandaling mabuo ang key pair para sa session, ang pampublikong key ay mai-import sa MS Cryptographic Service Provider.
Isang halimbawa ng nabuong pampublikong key para sa isang session:
Susunod, ang pribadong key ay ini-import sa CSP.
Isang halimbawa ng nabuong pribadong key para sa isang session:
At huling dumating ang RSA-8192. Ang pangunahing pampublikong key ay naka-imbak sa naka-encrypt na form (Base64 + RC4) sa seksyong .data ng PE file.
Ang RSA-8192 key pagkatapos ng base64 decoding at RC4 decryption na may fuckav password ay ganito ang hitsura.
Bilang resulta, ang buong proseso ng pag-encrypt ay ganito ang hitsura:
Bumuo ng 128-bit AES key na gagamitin para i-encrypt ang lahat ng file.
Gumawa ng IV para sa bawat file.
Paggawa ng key pair para sa isang RSA-2048 session.
Pag-decryption ng isang umiiral nang RSA-8192 key gamit ang base64 at RC4.
I-encrypt ang mga nilalaman ng file gamit ang AES-128-CBC algorithm mula sa unang hakbang.
IV encryption gamit ang RSA-2048 public key at base64 encoding.
Pagdaragdag ng naka-encrypt na IV sa dulo ng bawat naka-encrypt na file.
Pagdaragdag ng AES key at RSA-2048 session private key sa config.
Data ng configuration na inilarawan sa seksyon Koleksyon ng impormasyon tungkol sa nahawaang computer ay naka-encrypt gamit ang pangunahing pampublikong key RSA-8192.
Ang naka-encrypt na file ay ganito ang hitsura:
Halimbawa ng mga naka-encrypt na file:
Pagkolekta ng impormasyon tungkol sa nahawaang computer
Kinokolekta ng ransomware ang mga susi upang i-decrypt ang mga nahawaang file, kaya ang umaatake ay maaaring aktwal na lumikha ng isang decryptor. Bilang karagdagan, kinokolekta ni Nemty ang data ng user tulad ng username, pangalan ng computer, profile ng hardware.
Tinatawag nito ang mga function na GetLogicalDrives(), GetFreeSpace(), GetDriveType() upang mangolekta ng impormasyon tungkol sa mga drive ng nahawaang computer.
Ang nakolektang impormasyon ay naka-imbak sa isang configuration file. Ang pagkakaroon ng pag-decode ng string, nakakakuha kami ng isang listahan ng mga parameter sa configuration file:
Halimbawang configuration ng isang infected na computer:
Ang template ng pagsasaayos ay maaaring katawanin tulad ng sumusunod:
Iniimbak ng Nemty ang nakolektang data sa JSON format sa file na %USER%/_NEMTY_.nemty. Ang FileID ay 7 character ang haba at random na nabuo. Halimbawa: _NEMTY_tgdLYrd_.nemty. Ang FileID ay nakadugtong din sa dulo ng naka-encrypt na file.
Mensahe ng pantubos
Pagkatapos i-encrypt ang mga file, ang file na _NEMTY_[FileID]-DECRYPT.txt ay lalabas sa desktop na may sumusunod na nilalaman:
Sa dulo ng file mayroong naka-encrypt na impormasyon tungkol sa nahawaang computer.
Pagkatapos ay sinubukan ni Nemty na magpadala ng data ng pagsasaayos sa 127.0.0.1:9050, kung saan inaasahan nitong makahanap ng gumaganang Tor browser proxy. Gayunpaman, bilang default ang Tor proxy ay nakikinig sa port 9150, at ang port 9050 ay ginagamit ng Tor daemon sa Linux o Expert Bundle sa Windows. Kaya, walang data na ipinadala sa server ng umaatake. Sa halip, maaaring manu-manong i-download ng user ang configuration file sa pamamagitan ng pagbisita sa Tor decryption service sa pamamagitan ng link na ibinigay sa ransom message.
Pagkonekta sa Tor proxy:
Lumilikha ang HTTP GET ng kahilingan sa 127.0.0.1:9050/public/gate?data=
Dito makikita mo ang mga bukas na TCP port na ginagamit ng TORlocal proxy:
Serbisyo ng pag-decryption ng Nemty sa network ng Tor:
Maaari kang mag-upload ng naka-encrypt na larawan (jpg, png, bmp) upang subukan ang serbisyo sa pag-decryption.
Pagkatapos nito, humiling ang umaatake na magbayad ng ransom. Sa kaso ng hindi pagbabayad, doble ang presyo.
Konklusyon
Sa ngayon, hindi posibleng i-decrypt ang mga file na naka-encrypt ni Nemty nang hindi nagbabayad ng ransom. Ang bersyon na ito ng ransomware ay may mga karaniwang tampok sa Buran ransomware at ang hindi napapanahong GandCrab: compilation sa Borland Delphi at mga larawang may parehong teksto. Bilang karagdagan, ito ang unang encryptor na gumagamit ng isang 8092-bit na RSA key, na, muli, ay walang anumang kahulugan, dahil ang isang 1024-bit na key ay sapat para sa proteksyon. Sa wakas, at kawili-wili, sinusubukan nitong gumamit ng maling port para sa lokal na serbisyo ng proxy ng Tor.
Gayunpaman, mga solusyon Pag-backup ng Acronis ΠΈ Acronis True Image pigilan ang Nemty ransomware na maabot ang mga PC at data ng user, at mapoprotektahan ng mga provider ang kanilang mga kliyente gamit ang Acronis Backup Cloud. Puno Proteksyon sa cyber hindi lamang nagbibigay ng backup, kundi pati na rin ng proteksyon gamit Aktibong Proteksyon ng Acronis, isang espesyal na teknolohiyang batay sa artificial intelligence at behavioral heuristics na nagbibigay-daan sa iyong i-neutralize ang kahit na hindi pa kilalang malware.