Ransomware tuntun ti a pe ni Nemty ti han lori nẹtiwọọki, eyiti o jẹ aropo si GrandCrab tabi Buran. Awọn malware ti wa ni o kun pin lati awọn iro PayPal aaye ayelujara ati ki o ni awọn nọmba kan ti awon awọn ẹya ara ẹrọ. Awọn alaye nipa bawo ni ransomware ṣe n ṣiṣẹ wa labẹ gige.
Tuntun Nemty ransomware ṣe awari nipasẹ olumulo Oṣu Kẹsan Ọjọ 7, Ọdun 2019. Awọn malware ti pin nipasẹ oju opo wẹẹbu kan , o tun ṣee ṣe fun ransomware lati wọ inu kọnputa nipasẹ ohun elo iṣamulo RIG. Awọn olukolu naa lo awọn ọna imọ-ẹrọ awujọ lati fi ipa mu olumulo lati ṣiṣẹ faili cashback.exe, eyiti o jẹbi ti o gba lati oju opo wẹẹbu PayPal. O tun jẹ iyanilenu pe Nemty ṣalaye ibudo ti ko tọ fun iṣẹ aṣoju agbegbe Tor, eyiti o ṣe idiwọ malware lati firanṣẹ. data si olupin. Nitorinaa, olumulo yoo ni lati gbejade awọn faili fifi ẹnọ kọ nkan si nẹtiwọọki Tor funrararẹ ti o ba pinnu lati san owo irapada naa ki o duro de iṣiparọ lati ọdọ awọn ikọlu naa.
Ọpọlọpọ awọn ododo ti o nifẹ nipa Nemty daba pe o jẹ idagbasoke nipasẹ awọn eniyan kanna tabi nipasẹ awọn ọdaràn ori ayelujara ti o ni nkan ṣe pẹlu Buran ati GrandCrab.
- Bii GandCrab, Nemty ni ẹyin Ọjọ ajinde Kristi - ọna asopọ si fọto ti Alakoso Russia Vladimir Putin pẹlu awada awada. Ogún GandCrab ransomware ní aworan kan pẹlu ọrọ kan naa.
- Awọn ohun-ọṣọ ede ti awọn eto mejeeji tọka si awọn onkọwe ti o sọ ede Rọsia kanna.
- Eyi ni ransomware akọkọ lati lo bọtini RSA 8092-bit kan. Botilẹjẹpe ko si aaye ninu eyi: bọtini 1024-bit jẹ ohun to lati daabobo lodi si gige sakasaka.
- Bii Buran, a kọ ransomware si Nkan Pascal ati pe o ṣajọ ni Borland Delphi.
Ayẹwo aimi
Ipaniyan koodu irira waye ni awọn ipele mẹrin. Igbesẹ akọkọ ni lati ṣiṣẹ cashback.exe, faili ṣiṣe PE32 labẹ MS Windows pẹlu iwọn 1198936 awọn baiti. A ti kọ koodu rẹ ni Visual C++ ati pe a ṣe akojọpọ ni Oṣu Kẹwa Ọjọ 14, Ọdun 2013. O ni ile ifi nkan pamosi ti o jẹ ṣiṣi silẹ laifọwọyi nigbati o nṣiṣẹ cashback.exe. Sọfitiwia naa nlo ile-ikawe Cabinet.dll ati awọn iṣẹ rẹ FDICreate (), FDIDEstroy () ati awọn miiran lati gba awọn faili lati ile-ipamọ .cab.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
Lẹhin ṣiṣi silẹ pamosi, awọn faili mẹta yoo han.
Nigbamii, temp.exe ti ṣe ifilọlẹ, faili PE32 ti o ṣiṣẹ labẹ MS Windows pẹlu iwọn 307200 awọn baiti. Awọn koodu ti wa ni kikọ ni Visual C++ ati ki o jo pẹlu MPRESS Packer, a packer iru si UPX.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
Igbese ti o tẹle jẹ ironman.exe. Ni kete ti a ti ṣe ifilọlẹ, temp.exe yoo sọ data ti a fi sii sinu iwọn otutu ati fun lorukọ rẹ si ironman.exe, faili 32 baiti PE544768 ti o le ṣiṣẹ. Awọn koodu ti wa ni compiled ni Borland Delphi.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
Igbesẹ ikẹhin ni lati tun bẹrẹ faili ironman.exe. Ni akoko asiko, o yi koodu rẹ pada ati ṣiṣe funrararẹ lati iranti. Ẹya ironman.exe yii jẹ irira ati pe o ni iduro fun fifi ẹnọ kọ nkan.
Ikọlu fekito
Lọwọlọwọ, Nemty ransomware ti pin nipasẹ oju opo wẹẹbu pp-back.info.
Awọn pipe pq ti ikolu le wa ni bojuwo ni àpótí àpótí.
eto
Cashback.exe - ibẹrẹ ti kolu. Gẹgẹbi a ti sọ tẹlẹ, cashback.exe ṣii faili .cab ti o wa ninu rẹ. Lẹhinna o ṣẹda folda TMP4351$.TMP ti fọọmu %TEMP%IXxxx.TMP, nibiti xxx jẹ nọmba lati 001 si 999.
Nigbamii ti, bọtini iforukọsilẹ ti fi sori ẹrọ, eyiti o dabi eyi:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
O ti wa ni lilo lati pa awọn faili ti a ko ti kojọpọ rẹ. Lakotan, cashback.exe bẹrẹ ilana temp.exe.
Temp.exe jẹ ipele keji ninu pq ikolu
Eyi ni ilana ti a ṣe ifilọlẹ nipasẹ faili cashback.exe, igbesẹ keji ti ipaniyan ọlọjẹ naa. O gbìyànjú lati ṣe igbasilẹ AutoHotKey, ohun elo fun ṣiṣe awọn iwe afọwọkọ lori Windows, ati ṣiṣe iwe afọwọkọ WindowSpy.ahk ti o wa ni apakan awọn orisun ti faili PE.
Iwe afọwọkọ WindowSpy.ahk n sọ faili otutu ni ironman.exe ni lilo algorithm RC4 ati ọrọ igbaniwọle IwantAcake. Bọtini lati ọrọ igbaniwọle ni a gba ni lilo algorithm hashing MD5.
temp.exe lẹhinna pe ilana ironman.exe.
Ironman.exe - kẹta igbese
Ironman.exe ka awọn akoonu inu faili iron.bmp ati ṣẹda faili iron.txt pẹlu cryptolocker ti yoo ṣe ifilọlẹ ni atẹle.
Lẹhin eyi, ọlọjẹ naa gbe iron.txt sinu iranti ati tun bẹrẹ bi ironman.exe. Lẹhin eyi, iron.txt ti paarẹ.
ironman.exe jẹ apakan akọkọ ti NEMTY ransomware, eyiti o ṣafikun awọn faili lori kọnputa ti o kan. Malware ṣẹda mutex ti a npe ni ikorira.
Ohun akọkọ ti o ṣe ni pinnu ipo agbegbe ti kọnputa naa. Nemty ṣii ẹrọ aṣawakiri ati rii IP lori . Lori ojula [IP]/Oruko orilẹ-ede Orilẹ-ede naa jẹ ipinnu lati ọdọ IP ti o gba, ati pe ti kọnputa naa ba wa ni ọkan ninu awọn agbegbe ti a ṣe akojọ rẹ si isalẹ, ipaniyan koodu malware duro:
- Russia
- Belarus
- Ukraine
- Kasakisitani
- Tajikistan
O ṣeese julọ, awọn olupilẹṣẹ ko fẹ lati fa akiyesi awọn ile-iṣẹ agbofinro ni awọn orilẹ-ede ti ibugbe wọn, ati nitorinaa ma ṣe encrypt awọn faili ni awọn agbegbe “ile” wọn.
Ti adiresi IP ti olufaragba ko ba wa si atokọ loke, lẹhinna ọlọjẹ naa ṣe ifipamọ alaye olumulo naa.
Lati ṣe idiwọ imularada faili, awọn ẹda ojiji wọn ti paarẹ:
Lẹhinna o ṣẹda atokọ ti awọn faili ati awọn folda ti kii yoo jẹ fifi ẹnọ kọ nkan, bakanna bi atokọ ti awọn amugbooro faili.
- windows
- $ Atunse.BIN
- RSA
- NTDETECT.COM
- ati be be lo
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- desktop.ini
- SYS CONFIG.
- BOOTSECT.BAK
- batamgr
- data eto
- app data
- osoft
- Awọn faili ti o wọpọ
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY Ibanujẹ
Lati tọju awọn URL ati data iṣeto ni ifibọ, Nemty lo base64 ati RC4 fifi koodu algorithm pẹlu koko-ọrọ fuckav.
Ilana yiyọkuro nipa lilo CryptStringToBinary jẹ bi atẹle
Ифрование
Nemty nlo fifi ẹnọ kọ nkan oni-mẹta:
- AES-128-CBC fun awọn faili. Bọtini 128-bit AES jẹ ipilẹṣẹ laileto ati pe o lo kanna fun gbogbo awọn faili. O ti wa ni fipamọ ni a iṣeto ni faili lori awọn olumulo ká kọmputa. IV jẹ ipilẹṣẹ laileto fun faili kọọkan ati fipamọ sinu faili ti paroko.
- RSA-2048 fun ìsekóòdù faili IV. Bọtini bata fun igba ti wa ni ipilẹṣẹ. Bọtini ikọkọ fun igba naa wa ni ipamọ sinu faili iṣeto ni lori kọnputa olumulo.
- RSA-8192. Bọtini gbogbogbo titunto si ni a ṣe sinu eto naa ati pe o lo lati encrypt faili iṣeto ni, eyiti o tọju bọtini AES ati bọtini aṣiri fun igba RSA-2048.
- Nemty akọkọ n ṣe awọn baiti 32 ti data ID. Awọn baiti 16 akọkọ jẹ lilo bi bọtini AES-128-CBC.
Alugoridimu fifi ẹnọ kọ nkan keji jẹ RSA-2048. Bọtini bata jẹ ipilẹṣẹ nipasẹ iṣẹ CryptGenKey () ati gbe wọle nipasẹ iṣẹ CryptImportKey ().
Ni kete ti bọtini bata fun igba ti wa ni ipilẹṣẹ, bọtini gbogbo eniyan ti wa ni agbewọle sinu Olupese Iṣẹ Cryptographic MS.
Apeere ti bọtini ita gbangba ti ipilẹṣẹ fun igba kan:
Nigbamii ti, bọtini ikọkọ ti wa ni wole sinu CSP.
Apeere ti bọtini ikọkọ ti ipilẹṣẹ fun igba kan:
Ati ki o kẹhin ba wa RSA-8192. Bọtini gbangba akọkọ ti wa ni ipamọ ni fọọmu ti paroko (Base64 + RC4) ni apakan .data ti faili PE.
Bọtini RSA-8192 lẹhin iyipada base64 ati decryption RC4 pẹlu ọrọ igbaniwọle fuckav dabi eyi.
Bi abajade, gbogbo ilana fifi ẹnọ kọ nkan dabi eyi:
- Ṣe ina 128-bit AES bọtini ti yoo ṣee lo lati encrypt gbogbo awọn faili.
- Ṣẹda IV fun faili kọọkan.
- Ṣiṣẹda bata bọtini fun igba RSA-2048.
- Decryption ti bọtini RSA-8192 ti o wa tẹlẹ nipa lilo base64 ati RC4.
- Encrypt awọn akoonu faili nipa lilo algorithm AES-128-CBC lati igbesẹ akọkọ.
- IV ìsekóòdù lilo RSA-2048 àkọsílẹ bọtini ati base64 fifi koodu.
- Ṣafikun IV ti paroko kan si opin faili ti paroko kọọkan.
- Ṣafikun bọtini AES kan ati bọtini ikọkọ igba RSA-2048 si atunto.
- Data iṣeto ni ti a sapejuwe ninu apakan nipa kọmputa ti o ni arun ti wa ni ìpàrokò nipa lilo bọtini gbangba akọkọ RSA-8192.
- Fáìlì ìpàrokò jọ èyí:
Apẹẹrẹ ti awọn faili fifi ẹnọ kọ nkan:
Gbigba alaye nipa kọnputa ti o ni arun
Ransomware n gba awọn bọtini lati kọ awọn faili ti o ni ikolu, nitorinaa olukolu le ṣẹda decryptor kan. Ni afikun, Nemty gba data olumulo gẹgẹbi orukọ olumulo, orukọ kọnputa, profaili hardware.
O pe awọn iṣẹ GetLogicalDrives (), GetFreeSpace (), GetDriveType () lati gba alaye nipa awọn awakọ ti kọnputa ti o ni arun.
Alaye ti o gba ti wa ni ipamọ sinu faili iṣeto ni. Lẹhin ti o ti ṣe kooduopo okun, a gba atokọ ti awọn paramita ninu faili iṣeto:
Iṣeto apẹẹrẹ ti kọnputa ti o ni arun:
Awoṣe iṣeto ni le jẹ aṣoju bi atẹle:
{"Gbogbogbo": {"IP":"[IP]", "Orilẹ-ede":"[Orilẹ-ede]", "ComputerName":"[ComputerName]", "Orukọ olumulo":"[Orukọ olumulo]", "OS": "[OS]", "isRU":false, "ẹya":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "bọtini":"[bọtini]", "pr_key":"[pr_key]
Nemty n tọju data ti a gba ni ọna kika JSON sinu faili %USER%/_NEMTY_.nemty. FileID jẹ awọn ohun kikọ 7 gigun ati ipilẹṣẹ laileto. Fun apẹẹrẹ: _NEMTY_tgdLYrd_.nemty. FileID naa tun wa ni ifikun si opin faili ti paroko.
Ifiranṣẹ irapada
Lẹhin fifipamọ awọn faili naa, faili _NEMTY_[FileID] -DECRYPT.txt han lori tabili tabili pẹlu akoonu atẹle:
Ni opin faili naa wa alaye ti paroko nipa kọnputa ti o ni arun.
Ibaraẹnisọrọ nẹtiwọki
Ilana ironman.exe ṣe igbasilẹ pinpin aṣawakiri Tor lati adirẹsi naa ati ki o gbiyanju lati fi sori ẹrọ.
Nemty lẹhinna gbiyanju lati firanṣẹ data iṣeto ni 127.0.0.1:9050, nibiti o nireti lati wa aṣoju aṣawakiri Tor ti n ṣiṣẹ. Bibẹẹkọ, nipa aiyipada aṣoju Tor n tẹtisi ni ibudo 9150, ati ibudo 9050 ti Tor daemon lo lori Lainos tabi Lapapo Amoye lori Windows. Nitorinaa, ko si data ti a firanṣẹ si olupin ikọlu naa. Dipo, olumulo le ṣe igbasilẹ faili atunto pẹlu ọwọ nipa lilo si iṣẹ decryption Tor nipasẹ ọna asopọ ti a pese ninu ifiranṣẹ irapada naa.
Nsopọ si aṣoju Tor:
HTTP GET ṣẹda ibeere kan si 127.0.0.1:9050/public/gate?data=
Nibi o le wo awọn ebute oko oju omi TCP ti o ṣii ti o jẹ lilo nipasẹ aṣoju TORlocal:
Iṣẹ imukuro Nemty lori nẹtiwọọki Tor:
O le gbejade fọto ti paroko kan (jpg, png, bmp) lati ṣe idanwo iṣẹ idinku.
Lẹhin eyi, ikọlu naa beere lati san owo-irapada kan. Ni ọran ti kii ṣe sisan owo naa jẹ ilọpo meji.
ipari
Ni akoko yii, ko ṣee ṣe lati yọkuro awọn faili ti paroko nipasẹ Nemty laisi san owo-irapada kan. Ẹya ransomware yii ni awọn ẹya ti o wọpọ pẹlu Buran ransomware ati igba atijọ GandCrab: akopọ ni Borland Delphi ati awọn aworan pẹlu ọrọ kanna. Ni afikun, eyi ni encryptor akọkọ ti o lo bọtini RSA 8092-bit, eyiti, lẹẹkansi, ko ni oye eyikeyi, nitori bọtini 1024-bit to fun aabo. Lakotan, ati ni iyanilenu, o gbiyanju lati lo ibudo ti ko tọ fun iṣẹ aṣoju Tor agbegbe.
Sibẹsibẹ, awọn idahun и ṣe idiwọ Nemty ransomware lati de ọdọ awọn PC olumulo ati data, ati pe awọn olupese le daabobo awọn alabara wọn pẹlu . Kun pese ko nikan afẹyinti, sugbon tun Idaabobo lilo , imọ-ẹrọ pataki ti o da lori itetisi atọwọda ati awọn heuristics ihuwasi ti o fun ọ laaye lati yomi paapaa sibẹsibẹ aimọ malware.
orisun: www.habr.com