Một ransomware mới có tên Nemty đã xuất hiện trên mạng, được cho là sự kế thừa của GrandCrab hoặc Buran. Phần mềm độc hại chủ yếu được phân phối từ trang web PayPal giả mạo và có một số tính năng thú vị. Thông tin chi tiết về cách hoạt động của ransomware này vẫn chưa được tiết lộ.
Ransomware Nemty mới được người dùng phát hiện Ngày 7 tháng 2019 năm XNUMX. Phần mềm độc hại được phát tán thông qua một trang web , ransomware cũng có thể xâm nhập vào máy tính thông qua bộ công cụ khai thác RIG. Những kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để buộc người dùng chạy tệp cashback.exe mà anh ta được cho là đã nhận được từ trang web PayPal. Điều đáng tò mò là Nemty đã chỉ định sai cổng cho dịch vụ proxy cục bộ Tor, điều này ngăn phần mềm độc hại gửi dữ liệu đến máy chủ. Do đó, người dùng sẽ phải tự mình tải các tệp được mã hóa lên mạng Tor nếu có ý định trả tiền chuộc và chờ giải mã từ những kẻ tấn công.
Một số sự thật thú vị về Nemty cho thấy rằng nó được phát triển bởi cùng một người hoặc bởi tội phạm mạng có liên quan đến Buran và GrandCrab.
- Giống như GandCrab, Nemty có một quả trứng Phục sinh - liên kết tới bức ảnh của Tổng thống Nga Vladimir Putin với một trò đùa tục tĩu. Phần mềm ransomware GandCrab cũ có hình ảnh với cùng một dòng chữ.
- Các tạo tác ngôn ngữ của cả hai chương trình đều chỉ ra cùng một tác giả nói tiếng Nga.
- Đây là ransomware đầu tiên sử dụng khóa RSA 8092-bit. Mặc dù điều này chẳng có ích gì: khóa 1024-bit là khá đủ để bảo vệ khỏi bị hack.
- Giống như Buran, ransomware được viết bằng Object Pascal và được biên dịch bằng Borland Delphi.
Phân tích tĩnh
Việc thực thi mã độc xảy ra theo bốn giai đoạn. Bước đầu tiên là chạy cashback.exe, tệp thực thi PE32 trong MS Windows với kích thước 1198936 byte. Mã của nó được viết bằng Visual C++ và được biên dịch vào ngày 14 tháng 2013 năm XNUMX. Nó chứa một kho lưu trữ được tự động giải nén khi bạn chạy cashback.exe. Phần mềm sử dụng thư viện Cabinet.dll và các chức năng FDICreate(), FDIDestroy() và các chức năng khác của nó để lấy các tệp từ kho lưu trữ .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Sau khi giải nén kho lưu trữ, ba tệp sẽ xuất hiện.
Tiếp theo, temp.exe được khởi chạy, một tệp thực thi PE32 trong MS Windows với kích thước 307200 byte. Mã được viết bằng Visual C++ và được đóng gói bằng trình đóng gói MPRESS, một trình đóng gói tương tự như UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Bước tiếp theo là ironman.exe. Sau khi khởi chạy, temp.exe sẽ giải mã dữ liệu nhúng trong temp và đổi tên thành ironman.exe, một tệp thực thi PE32 544768 byte. Mã được biên dịch ở Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Bước cuối cùng là khởi động lại file ironman.exe. Khi chạy, nó chuyển đổi mã và tự chạy từ bộ nhớ. Phiên bản ironman.exe này độc hại và chịu trách nhiệm mã hóa.
Vectơ tấn công
Hiện tại, ransomware Nemty được phân phối thông qua trang web pp-back.info.
Chuỗi lây nhiễm hoàn chỉnh có thể được xem tại hộp cát.
Cài đặt
Cashback.exe - sự khởi đầu của cuộc tấn công. Như đã đề cập, cashback.exe giải nén tệp .cab chứa trong đó. Sau đó, nó tạo một thư mục TMP4351$.TMP có dạng %TEMP%IXxxx.TMP, trong đó xxx là một số từ 001 đến 999.
Tiếp theo, khóa đăng ký sẽ được cài đặt, trông như thế này:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
Nó được sử dụng để xóa các tập tin đã giải nén. Cuối cùng, cashback.exe bắt đầu quá trình temp.exe.
Temp.exe là giai đoạn thứ hai trong chuỗi lây nhiễm
Đây là quá trình được khởi chạy bởi tệp cashback.exe, bước thứ hai trong quá trình thực thi vi-rút. Nó cố tải xuống AutoHotKey, một công cụ để chạy tập lệnh trên Windows và chạy tập lệnh WindowSpy.ahk nằm trong phần tài nguyên của tệp PE.
Tập lệnh WindowSpy.ahk giải mã tệp tạm thời trong ironman.exe bằng thuật toán RC4 và mật khẩu IwantAcake. Khóa từ mật khẩu được lấy bằng thuật toán băm MD5.
temp.exe sau đó gọi tiến trình ironman.exe.
Ironman.exe - bước thứ ba
Ironman.exe đọc nội dung của tệp iron.bmp và tạo tệp iron.txt có khóa mật mã sẽ được khởi chạy tiếp theo.
Sau đó, virus tải iron.txt vào bộ nhớ và khởi động lại dưới dạng ironman.exe. Sau đó, iron.txt sẽ bị xóa.
ironman.exe là phần chính của ransomware NEMTY, mã hóa các tập tin trên máy tính bị ảnh hưởng. Phần mềm độc hại tạo ra một mutex có tên là ghét.
Điều đầu tiên nó làm là xác định vị trí địa lý của máy tính. Nemty mở trình duyệt và tìm ra IP trên . Trực tuyến [IP]/countryName Quốc gia được xác định từ IP nhận được và nếu máy tính nằm ở một trong các khu vực được liệt kê bên dưới thì việc thực thi mã phần mềm độc hại sẽ dừng:
- Nga
- Byelorussia
- Ukraina
- Kazakhstan
- Tajikistan
Rất có thể, các nhà phát triển không muốn thu hút sự chú ý của các cơ quan thực thi pháp luật ở quốc gia họ cư trú và do đó không mã hóa các tệp trong khu vực pháp lý “quê hương” của họ.
Nếu địa chỉ IP của nạn nhân không thuộc danh sách trên thì virus sẽ mã hóa thông tin của người dùng.
Để ngăn chặn việc khôi phục tập tin, các bản sao bóng của chúng sẽ bị xóa:
Sau đó, nó tạo danh sách các tệp và thư mục sẽ không được mã hóa, cũng như danh sách các phần mở rộng tệp.
- cửa sổ
- $ RECYCLE.BIN
- rsa
- NTDETECT.COM
- ntldr
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- CẤU HÌNH SYS.
- KHỞI ĐỘNG.BAK
- Bootmgr
- dữ liệu chương trình
- appdata
- osoft
- Tài liệu thông thường
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Làm xáo trộn
Để ẩn URL và dữ liệu cấu hình được nhúng, Nemty sử dụng thuật toán mã hóa base64 và RC4 với từ khóa fuckav.
Quá trình giải mã bằng CryptStringToBinary như sau
Mã hóa
Nemty sử dụng mã hóa ba lớp:
- AES-128-CBC cho các tập tin. Khóa AES 128 bit được tạo ngẫu nhiên và được sử dụng giống nhau cho tất cả các tệp. Nó được lưu trữ trong một tập tin cấu hình trên máy tính của người dùng. IV được tạo ngẫu nhiên cho mỗi tệp và được lưu trữ trong tệp được mã hóa.
- RSA-2048 để mã hóa tập tin IV. Một cặp khóa cho phiên được tạo. Khóa riêng cho phiên được lưu trữ trong tệp cấu hình trên máy tính của người dùng.
- RSA-8192. Khóa chung chính được tích hợp vào chương trình và được sử dụng để mã hóa tệp cấu hình, tệp này lưu trữ khóa AES và khóa bí mật cho phiên RSA-2048.
- Đầu tiên Nemty tạo ra 32 byte dữ liệu ngẫu nhiên. 16 byte đầu tiên được sử dụng làm khóa AES-128-CBC.
Thuật toán mã hóa thứ hai là RSA-2048. Cặp khóa được tạo bởi hàm CryptGenKey() và được nhập bởi hàm CryptImportKey().
Sau khi cặp khóa cho phiên được tạo, khóa chung sẽ được nhập vào Nhà cung cấp dịch vụ mật mã MS.
Ví dụ về khóa chung được tạo cho một phiên:
Tiếp theo, khóa riêng được nhập vào CSP.
Một ví dụ về khóa riêng được tạo cho một phiên:
Và cuối cùng là RSA-8192. Khóa công khai chính được lưu trữ ở dạng mã hóa (Base64 + RC4) trong phần .data của tệp PE.
Khóa RSA-8192 sau khi giải mã base64 và giải mã RC4 bằng mật khẩu fuckav trông như thế này.
Kết quả là toàn bộ quá trình mã hóa trông như thế này:
- Tạo khóa AES 128 bit sẽ được sử dụng để mã hóa tất cả các tệp.
- Tạo IV cho mỗi tệp.
- Tạo cặp khóa cho phiên RSA-2048.
- Giải mã khóa RSA-8192 hiện có bằng base64 và RC4.
- Mã hóa nội dung tệp bằng thuật toán AES-128-CBC từ bước đầu tiên.
- Mã hóa IV sử dụng khóa chung RSA-2048 và mã hóa base64.
- Thêm IV được mã hóa vào cuối mỗi tệp được mã hóa.
- Thêm khóa AES và khóa riêng phiên RSA-2048 vào cấu hình.
- Dữ liệu cấu hình được mô tả trong phần về máy tính bị nhiễm đều được mã hóa bằng khóa chung RSA-8192.
- Tệp được mã hóa trông như thế này:
Ví dụ về các tập tin được mã hóa:
Thu thập thông tin về máy tính bị nhiễm virus
Phần mềm ransomware thu thập các khóa để giải mã các tệp bị nhiễm, vì vậy kẻ tấn công thực sự có thể tạo một bộ giải mã. Ngoài ra, Nemty còn thu thập dữ liệu người dùng như tên người dùng, tên máy tính, hồ sơ phần cứng.
Nó gọi các hàm GetLogicalDrives(), GetFreeSpace(), GetDriveType() để thu thập thông tin về ổ đĩa của máy tính bị nhiễm.
Thông tin thu thập được lưu trữ trong một tập tin cấu hình. Sau khi giải mã chuỗi, chúng ta nhận được danh sách các tham số trong tệp cấu hình:
Cấu hình ví dụ của một máy tính bị nhiễm virus:
Mẫu cấu hình có thể được biểu diễn như sau:
{"Chung": {"IP":"[IP]", "Quốc gia":"[Quốc gia]", "Tên máy tính":"[Tên máy tính]", "Tên người dùng":"[Tên người dùng]", "HĐH": "[OS]", "isRU":false, "version":1.4", "CompID":{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":" UserID]", "key:":[key]", "pr_key:"[pr_key]
Nemty lưu trữ dữ liệu đã thu thập ở định dạng JSON trong tệp %USER%/_NEMTY_.nemty. FileID dài 7 ký tự và được tạo ngẫu nhiên. Ví dụ: _NEMTY_tgdLYrd_.nemty. FileID cũng được thêm vào cuối tệp được mã hóa.
Tin nhắn đòi tiền chuộc
Sau khi mã hóa các tập tin, tập tin _NEMTY_[FileID]-DECRYPT.txt xuất hiện trên màn hình nền với nội dung sau:
Ở cuối tập tin có thông tin được mã hóa về máy tính bị nhiễm virus.
Truyền thông mạng
Quá trình ironman.exe tải xuống bản phân phối trình duyệt Tor từ địa chỉ và cố gắng cài đặt nó.
Sau đó, Nemty cố gắng gửi dữ liệu cấu hình tới 127.0.0.1:9050, nơi nó dự kiến sẽ tìm thấy proxy trình duyệt Tor đang hoạt động. Tuy nhiên, theo mặc định, proxy Tor lắng nghe trên cổng 9150 và cổng 9050 được daemon Tor trên Linux hoặc Expert Bundle trên Windows sử dụng. Do đó, không có dữ liệu nào được gửi đến máy chủ của kẻ tấn công. Thay vào đó, người dùng có thể tải xuống tệp cấu hình theo cách thủ công bằng cách truy cập dịch vụ giải mã Tor thông qua liên kết được cung cấp trong thông báo đòi tiền chuộc.
Kết nối với proxy Tor:
HTTP GET tạo yêu cầu tới 127.0.0.1:9050/public/gate?data=
Tại đây bạn có thể thấy các cổng TCP mở được proxy TORlocal sử dụng:
Dịch vụ giải mã Nemty trên mạng Tor:
Bạn có thể tải lên ảnh được mã hóa (jpg, png, bmp) để kiểm tra dịch vụ giải mã.
Sau đó, kẻ tấn công yêu cầu trả tiền chuộc. Nếu không thanh toán giá sẽ tăng gấp đôi.
Kết luận
Hiện tại, không thể giải mã các tập tin bị Nemty mã hóa mà không trả tiền chuộc. Phiên bản ransomware này có các tính năng chung với ransomware Buran và GandCrab đã lỗi thời: biên dịch trong Borland Delphi và các hình ảnh có cùng văn bản. Ngoài ra, đây là bộ mã hóa đầu tiên sử dụng khóa RSA 8092-bit, một lần nữa, điều này không có ý nghĩa gì vì khóa 1024-bit là đủ để bảo vệ. Cuối cùng và thật thú vị, nó cố gắng sử dụng sai cổng cho dịch vụ proxy Tor cục bộ.
Tuy nhiên, các giải pháp и ngăn chặn phần mềm ransomware Nemty tiếp cận PC và dữ liệu của người dùng, đồng thời các nhà cung cấp có thể bảo vệ khách hàng của họ bằng . Đầy không chỉ cung cấp khả năng sao lưu mà còn bảo vệ bằng cách sử dụng , một công nghệ đặc biệt dựa trên trí tuệ nhân tạo và chẩn đoán hành vi cho phép bạn vô hiệu hóa phần mềm độc hại thậm chí chưa được biết đến.
Nguồn: www.habr.com