У мережі з'явився новий шифрувальник Nemty, який імовірно є наступником GrandCrab або Buran. Шкідливе ПЗ головним чином поширюється з підробленого сайту PayPal і має низку цікавих особливостей. Подробиці про роботу цього ransomware – під катом.
Новий шифрувальник Nemty виявив користувач 7 вересня 2019 року. Шкідливе ПЗ поширювалося через сайт, Також є можливість проникнення ransomware на комп'ютер через експлойт-кит RIG. Зловмисники вибрали методи соціальної інженерії, щоб змусити користувача запустити файл cashback.exe, який він нібито отримує з сайту PayPal, Цікаво також, що в Nemty вказано неправильний порт для локального проксі-сервісу Tor, що не дає шкідливого програмного забезпечення відправляти дані на сервер. Тому користувачеві доведеться самому закачувати зашифровані файли до мережі Tor, якщо він має намір заплатити викуп і чекати від зловмисників розшифровки.
Декілька цікавих фактів про Nemty підказують, що його розробляли ті ж люди або пов'язані з Buran та GrandCrab кібер-злочинці.
- Як і в GandCrab, у Nemty є пасхалка — посилання на фото президента РФ Володимира Путіна з жартом. У застарілому шифрувальнику GandCrab було зображення з тим самим текстом.
- Мовні артефакти обох програм вказують на тих самих російськомовних авторів.
- Це перший шифрувальник, який використовує 8092-бітний ключ RSA. Хоча сенсу в цьому немає: 1024-бітного ключа для захисту від злому цілком достатньо.
- Як і Buran, шифрувальник написаний на Object Pascal і скомпільований на Borland Delphi.
Статичний аналіз
Виконання шкідливого коду відбувається у чотири етапи. Перший крок – запуск cashback.exe, PE32-виконуваного файлу під MS Windows розміром 1198936 байт. Його код написано на Visual C++ і скомпільовано 14 жовтня 2013 року. Він містить архів, який автоматично розпаковується при запуску cashback.exe. ПЗ використовує бібліотеку Cabinet.dll та її функції FDICreate(), FDIDestroy() та інші для отримання файлів з архіву .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Після розпакування архіву з'являться три файли.
Далі запускається temp.exe, PE32-виконуваний файл під MS Windows розміром 307200 XNUMX байт. Код написаний на Visual C++ та упакований MPRESS packer, пакувальником, аналогічним UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Наступний крок - ironman.exe. Після запуску temp.exe розшифровує впроваджені дані в temp і перейменовує їх на ironman.exe, PE32-виконуваний файл розміром 544768 байт. Код скомпільований у Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Останній крок – перезапуск файлу ironman.exe. Під час виконання він перетворить свій код та запускає себе з пам'яті. Ця версія ironman.exe є шкідливою та відповідає за шифрування.
Вектор атаки
На даний момент шифрувальник Nemty поширюється через сайт pp-back.info.
Повний ланцюжок зараження можна подивитися на пісочниця.
Встановлення
Cashback.exe - початок атаки. Як вже говорилося, cashback.exe розпаковує .cab файл, що міститься в ньому. Потім створює папку TMP4351$.TMP виду виду %TEMP%IXxxx.TMP, де xxx — число від 001 до 999.
Далі встановлюється ключ реєстру, який має такий вигляд:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Він використовується для видалення розпакованих файлів. Нарешті cashback.exe запускає процес temp.exe.
Temp.exe - другий етап у ланцюжку зараження
Це процес, запущений файлом cashback.exe, є другим кроком виконання вірусу. Він намагається завантажити AutoHotKey – інструмент для запуску скриптів під Windows – і запустити скрипт WindowSpy.ahk, розташований у розділі ресурсів PE-файлу.
Скрипт WindowSpy.ahk розшифровує файл temp у ironman.exe, використовуючи алгоритм RC4 та пароль IwantAcake. Ключ із пароля виходить за допомогою алгоритму хешування MD5.
Потім temp.exe викликає процес ironman.exe.
Ironman.exe - третій крок
Ironman.exe зчитує вміст файлу iron.bmp і створює файл iron.txt із криптолокером, який запуститься наступним.
Після цього вірус завантажує iron.txt на пам'ять і перезапускає його як ironman.exe. Після цього iron.txt видаляється.
ironman.exe - основна частина здирника NEMTY, яка і шифрує файли на ураженому комп'ютері. Шкідливе програмне забезпечення створює м'ютекс під назвою hate.
Насамперед він визначає географічне розташування комп'ютера. Nemty відкриває браузер і дізнається IP на . На сайті [IP]/countryName за отриманим IP визначається країна, і, якщо комп'ютер знаходиться в одному з наведених нижче регіонів, то виконання коду шкідливого ПЗ припиняється:
- Росія
- Білорусь
- Україна
- Казахстан
- Таджикистан
Найімовірніше розробники не хочуть привертати увагу правоохоронних органів у країнах свого проживання, і тому не шифрують файли у “рідних” юрисдикціях.
Якщо IP-адреса жертви не відноситься до списку вище, вірус шифрує інформацію користувача.
Для запобігання відновленню файлів видаляються їх тіньові копії:
Потім створюється список файлів та папок, які не будуть шифруватись, а також список розширень файлів.
- windows
- $ Recycle.Bin
- RSA
- NTDETECT.COM
- ntldr
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- CONFIG.SYS
- BOOTSECT.BAK
- Bootmgr
- програмні дані
- дані програми
- osoft
- Загальні файли
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Обфускація
Щоб приховати URL-адреси та впроваджені конфігураційні дані, Nemty використовує алгоритм кодування base64 та RC4 з ключовою фразою fuckav.
Процес дешифрування за допомогою CryptStringToBinary виглядає наступним чином
Шифрование
Nemty використовує тришарове шифрування:
- AES-128-CBC для файлів. 128-бітний AES-ключ генерується випадковим чином і використовується той самий для всіх файлів. Він зберігається у конфігураційному файлі на комп'ютері користувача. IV генерується випадково для кожного файлу і зберігається в зашифрованому файлі.
- RSA-2048 для шифрування файлів IV. Генерується ключова пара для сесії. Закритий ключ до сесії зберігається у конфігураційному файлі на комп'ютері користувача.
- RSA-8192. Основний відкритий ключ вбудований у програму і використовується для шифрування файлу конфігурації, в якому зберігається ключ AES і секретний ключ для сесії RSA-2048.
- Спочатку Nemty генерує 32 байти випадкових даних. Перші 16 байт використовуються як ключ AES-128-CBC.
Другий алгоритм шифрування – це RSA-2048. Ключова пара генерується функцією CryptGenKey() та імпортується функцією CryptImportKey().
Після того, як ключова пара для сесії згенерована, відкритий ключ імпортується до MS Cryptographic Service Provider.
Приклад згенерованого відкритого ключа для сесії:
Далі закритий ключ імпортується до CSP.
Приклад згенерованого закритого ключа для сесії:
І останнім іде RSA-8192. Основний відкритий ключ зберігається у зашифрованому вигляді (Base64 + RC4) у розділі .data PE-файлу.
Ключ RSA-8192 після декодування base64 і дешифрування RC4 з паролем fuckav має такий вигляд.
У результаті весь процес шифрування виглядає так:
- Генерація 128-бітного AES-ключа, який використовуватиметься для шифрування всіх файлів.
- Створення IV для кожного файлу.
- Створення ключової пари для сесії RSA-2048.
- Розшифровка наявного ключа RSA-8192 за допомогою base64 та RC4.
- Шифрування вмісту файлів за допомогою алгоритму AES-128-CBC з першого кроку.
- Шифрування IV за допомогою відкритого ключа RSA-2048 і кодування base64.
- Додавання шифрованого IV до кінця кожного зашифрованого файлу.
- Додавання ключа AES та закритого ключа сесії RSA-2048 у конфіг.
- Дані конфігурації, описані в розділі про заражений комп'ютер, шифруються за допомогою основного відкритого ключа RSA-8192.
- Зашифрований файл виглядає так:
Приклад зашифрованих файлів:
Збір інформації про заражений комп'ютер
Здирник збирає ключі для дешифрації заражених файлів, так що зловмисник дійсно зможе створити дешифратор. Крім того, Nemty збирає дані користувача, такі як ім'я користувача, ім'я комп'ютера, апаратний профіль.
Він викликає функції GetLogicalDrives(), GetFreeSpace(), GetDriveType(), щоб зібрати інформацію про диски зараженого комп'ютера.
Зібрана інформація зберігається у конфігураційному файлі. Декодувавши рядок, ми отримуємо список параметрів у конфігураційному файлі:
Приклад конфігурації зараженого комп'ютера:
Шаблон конфігурації можна представити так:
{«General»: {«IP»:»[IP]»,«Country»:»[Country]»,«ComputerName»:»[ComputerName]»,«Username»:»[Username]»,«OS»: »[OS]»,«isRU»:false,«version»:«1.4»,«CompID»:»{[CompID]}»,«FileID»:»_NEMTY_[FileID]_»,«UserID»:»[ UserID]»,«key»:»[key]»,«pr_key»:»[pr_key]
Зібрані дані Nemty зберігає у форматі JSON у %USER%/_NEMTY_.nemty. FileID довжиною 7 символів генерується випадковим чином. Наприклад: _NEMTY_tgdLYrd_.nemty. FileID також додається до кінця зашифрованого файлу.
Повідомлення про викуп
Після шифрування файлів на робочому столі з'являється файл _NEMTY_[FileID]-DECRYPT.txt такого змісту:
Наприкінці файлу знаходиться зашифрована інформація про заражений комп'ютер.
Мережева комунікація
Процес ironman.exe завантажує дистрибутив браузера Tor з адреси та намагається встановити його.
Потім Nemty намагається відправити конфігураційні дані на адресу 127.0.0.1:9050, де очікує знайти працюючий проксі-сервер браузера Tor. Однак за промовчанням проксі-сервер Tor прослуховує порт 9150, а порт 9050 використовує демон Tor в Linux або Expert Bundle на Windows. Таким чином, дані на сервер зловмисника не надсилаються. Натомість користувач може завантажити конфігураційний файл вручну, відвідавши службу розшифровки Tor за посиланням, зазначеним у повідомленні про викуп.
Підключення до проксі Tor:
HTTP GET створює запит на 127.0.0.1:9050/public/gate?data=
Тут ви бачите відкриті TCP-порти, які використовуються проксі TORlocal:
Сервіс дешифрації Nemty у мережі Tor:
Можна завантажити шифровану фотографію (jpg, png, bmp) для тестування сервісу дешифрації.
Після цього зловмисник просить сплатити викуп. У разі несплати ціна подвоюється.
Висновок
Наразі розшифрувати файли, зашифровані Nemty, без сплати викупу не вдасться. У цій версії ransomware є спільні риси з шифрувальниками Buran та застарілим GandCrab: компіляція на Borland Delphi та зображення з однаковим текстом. Крім того, це перший шифрувальник, який використовує 8092-бітний ключ RSA, що, повторимося, не має жодного сенсу, тому що 1024-бітного ключа для захисту цілком достатньо. Нарешті, що цікаво, він намагається використати неправильний порт для локального проксі-сервісу Tor.
Тим не менш, рішення и не допускають шифрувальник Nemty до ПК і даних, а провайдери можуть захистити своїх клієнтів за допомогою . Повна забезпечує не лише резервне копіювання, але також захист із використанням , спеціальної технології на базі штучного інтелекту та поведінкової евристики, що дозволяє нейтралізувати навіть ще невідоме шкідливе ПЗ.
Джерело: habr.com