網路上出現了一種名為 Nemty 的新勒索軟體,據稱它是 GrandCrab 或 Buran 的繼任者。 該惡意軟體主要從假冒 PayPal 網站傳播,具有許多有趣的功能。 有關該勒索軟體如何運作的詳細資訊正在討論中。
用戶發現新的 Nemty 勒索軟體 7 年 2019 月 XNUMX 日。 該惡意軟體是透過網站分發的 ,勒索軟體也有可能透過 RIG 漏洞利用工具包滲透電腦。 攻擊者使用社會工程方法強迫用戶運行 cashback.exe 文件,據稱該文件是他從 PayPal 網站收到的。同樣奇怪的是,Nemty 為本地代理服務 Tor 指定了錯誤的端口,這阻止了惡意軟體發送數據到伺服器。 因此,如果用戶打算支付贖金並等待攻擊者解密,則必須自行將加密檔案上傳到Tor網路。
有關 Nemty 的一些有趣事實表明,它是由同一個人或與 Buran 和 GrandCrab 相關的網路犯罪分子開發的。
- 和 GandCrab 一樣,Nemty 也有一個復活節彩蛋——一個指向俄羅斯總統弗拉基米爾·普京 (Vladimir Putin) 的照片的鏈接,其中還講了一個猥褻的笑話。 舊版 GandCrab 勒索軟體具有包含相同文字的圖像。
- 這兩個程式的語言工件都指向相同的俄語作者。
- 這是第一個使用 8092 位元 RSA 金鑰的勒索軟體。 儘管這沒有意義:1024 位元密鑰足以防止駭客攻擊。
- 與 Buran 一樣,該勒索軟體是用 Object Pascal 編寫的,並在 Borland Delphi 中編譯的。
靜態分析
惡意程式碼的執行分為四個階段。 第一步是執行cashback.exe,這是MS Windows 下的PE32 可執行文件,大小為1198936 位元組。 其程式碼是用Visual C++編寫的,並於14年2013月XNUMX日編譯。 它包含一個存檔,當您執行 cashback.exe 時,該檔案會自動解壓縮。 軟體使用 Cabinet.dll 函式庫及其函數 FDICreate()、FDIDestroy() 等從 .cab 檔案中取得檔案。
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
解壓縮存檔後,將出現三個文件。
接下來,啟動temp.exe,這是MS Windows下的PE32可執行文件,大小為307200位元組。 程式碼採用Visual C++編寫,並使用MPRESS加殼器(類似UPX的加殼器)進行打包。
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
下一步是ironman.exe。 一旦啟動,temp.exe 就會解密 temp 中的嵌入數據,並將其重新命名為 Ironman.exe,這是一個 32 位元組的 PE544768 執行檔。 該程式碼是在 Borland Delphi 中編譯的。
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
最後一步是重新啟動ironman.exe 檔。 在運行時,它會轉換其程式碼並從記憶體中運行自身。 此版本的ironman.exe 是惡意的,負責加密。
攻擊向量
目前,Nemty 勒索軟體透過 pp-back.info 網站分發。
完整的感染鏈可以查看 沙箱。
安裝
Cashback.exe - 攻擊的開始。 如同已經提到的,cashback.exe 解壓縮它所包含的 .cab 檔案。 然後,它會建立一個格式為 %TEMP%IXxxx.TMP 的資料夾 TMP4351$.TMP,其中 xxx 是 001 到 999 之間的數字。
接下來,安裝一個註冊表項,如下所示:
“rundll32.exe” “C:Windowssystem32advpack.dll,DelNodeRunDLL32 “C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP””
它用於刪除解壓縮後的檔案。 最後,cashback.exe 啟動 temp.exe 進程。
Temp.exe是感染鏈的第二階段
這是cashback.exe檔啟動的進程,是病毒執行的第二步。 它嘗試下載 AutoHotKey(一種在 Windows 上執行腳本的工具),並執行位於 PE 檔案資源部分的 WindowSpy.ahk 腳本。
WindowSpy.ahk 腳本使用 RC4 演算法和密碼 IwantAcake 解密 Ironman.exe 中的暫存檔案。 密碼中的密鑰是使用 MD5 雜湊演算法獲得的。
temp.exe 然後呼叫ironman.exe 進程。
Ironman.exe - 第三步
Ironman.exe 讀取iron.bmp 檔案的內容並建立一個iron.txt 文件,其中包含接下來將啟動的cryptlocker。
此後,病毒將iron.txt載入到記憶體中並以ironman.exe的形式重新啟動。 此後,iron.txt 將被刪除。
Ironman.exe 是 NEMTY 勒索軟體的主要部分,它對受影響電腦上的檔案進行加密。 惡意軟體創造了一個稱為仇恨的互斥體。
它所做的第一件事是確定計算機的地理位置。 Nemty 開啟瀏覽器並找到 IP . 在網站上 [IP]/countryName 國家/地區是根據收到的 IP 確定的,如果電腦位於下列區域之一,則惡意軟體程式碼將停止執行:
- 俄國
- 白俄羅斯
- 烏克蘭
- 哈薩克斯坦
- 塔吉克斯坦
最有可能的是,開發人員不想引起其居住國執法機構的注意,因此不會在其「家鄉」管轄範圍內加密文件。
如果受害者的IP位址不屬於上面的列表,那麼病毒就會加密使用者的資訊。
為了防止檔案恢復,它們的捲影副本將被刪除:
然後,它會建立不會加密的檔案和資料夾清單以及檔案副檔名清單。
- 窗口
- $ RECYCLE.BIN
- RSA
- NTDETECT.COM
- NTLDR
- 作業系統
- IO系統
- boot.ini AUTOEXEC.BAT ntuser.dat
- 的desktop.ini
- 系統配置。
- 引導程序.BAK
- Bootmgr將
- 程式數據
- APPDATA
- 奧軟體
- 共同文件
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY 混淆
為了隱藏 URL 和嵌入的配置數據,Nemty 使用帶有 funav 關鍵字的 base64 和 RC4 編碼演算法。
使用CryptStringToBinary的解密過程如下
加密
Nemty 使用三層加密:
- 文件的 AES-128-CBC。 128 位元 AES 金鑰是隨機產生的,並且對所有檔案使用相同的方法。 它儲存在用戶電腦上的設定檔中。 IV 是為每個檔案隨機產生的,並儲存在加密檔案中。
- RSA-2048 用於檔案加密 IV. 產生會話的金鑰對。 會話的私鑰儲存在使用者電腦上的設定檔中。
- RSA-8192。 主公鑰內建於程式中,用於加密設定文件,該檔案儲存 RSA-2048 會話的 AES 金鑰和秘密金鑰。
- Nemty 首先產生 32 個位元組的隨機資料。 前 16 個位元組用作 AES-128-CBC 金鑰。
第二種加密演算法是RSA-2048。 密鑰對由 CryptGenKey() 函數產生並由 CryptImportKey() 函數導入。
產生會話的金鑰對後,公鑰將被匯入到 MS 加密服務提供者中。
為會話產生的公鑰的範例:
接下來,將私鑰匯入到 CSP 中。
為會話產生的私鑰的範例:
最後是 RSA-8192。 主公鑰以加密形式 (Base64 + RC4) 儲存在 PE 檔案的 .data 部分中。
經過 Base8192 解碼和 RC64 解密(使用 funav 密碼)後的 RSA-4 金鑰如下所示。
結果,整個加密過程如下所示:
- 產生將用於加密所有檔案的 128 位元 AES 金鑰。
- 為每個文件建立一個 IV。
- 為 RSA-2048 會話建立金鑰對。
- 使用 base8192 和 RC64 解密現有 RSA-4 金鑰。
- 從第一步開始使用 AES-128-CBC 演算法加密檔案內容。
- 使用 RSA-2048 公鑰和 base64 編碼的 IV 加密。
- 將加密的 IV 新增到每個加密檔案的末尾。
- 將 AES 金鑰和 RSA-2048 會話私鑰新增至設定。
- 配置資料在章節中描述 有關受感染電腦的資訊均使用主公鑰 RSA-8192 進行加密。
- 加密後的文件如下所示:
加密檔案範例:
收集有關受感染電腦的信息
勒索軟體收集金鑰來解密受感染的文件,因此攻擊者實際上可以建立解密器。 此外,Nemty 還會收集使用者數據,例如使用者名稱、電腦名稱、硬體設定檔。
它呼叫 GetLogicalDrives()、GetFreeSpace()、GetDriveType() 函數來收集有關受感染電腦磁碟機的資訊。
收集到的資訊儲存在設定檔中。 解碼字串後,我們得到設定檔中的參數列表:
受感染計算機的範例配置:
配置模板可以表示如下:
{“常規”:{“IP”:“[IP]”,“國家/地區”:“[國家/地區]”,“電腦名稱”:“[電腦名稱]”,“用戶名”:“[用戶名]”,“作業系統”: “[作業系統]”,“isRU”:假,“版本”:“1.4”,“CompID”:“{[CompID]}”,“檔案ID”:“_NEMTY_[檔案ID]_”,“用戶ID”:“[用戶 ID]", "key":"[key]", "pr_key":"[pr_key]
Nemty 將收集到的資料以 JSON 格式儲存在檔案 %USER%/_NEMTY_.nemty 中。 FileID 長度為 7 個字符,隨機產生。 例如:_NEMTY_tgdLYrd_.nemty。 FileID 也會附加到加密檔案的末端。
勒索訊息
加密檔案後,桌面上會出現檔案_NEMTY_[FileID]-DECRYPT.txt,內容如下:
文件末尾有有關受感染電腦的加密資訊。
網路通訊
Ironman.exe進程從該位址下載Tor瀏覽器發行版 並嘗試安裝它。
然後 Nemty 嘗試將配置資料傳送到 127.0.0.1:9050,它希望在那裡找到可用的 Tor 瀏覽器代理程式。 但是,預設情況下,Tor 代理程式偵聽連接埠 9150,而連接埠 9050 由 Linux 上的 Tor 守護程式或 Windows 上的 Expert Bundle 使用。 因此,沒有資料發送到攻擊者的伺服器。 相反,用戶可以透過勒索訊息中提供的連結存取 Tor 解密服務,手動下載設定檔。
連接到 Tor 代理程式:
HTTP GET 建立 127.0.0.1:9050/public/gate?data= 的請求
在這裡您可以看到 TORlocal 代理程式使用的開放 TCP 連接埠:
Tor 網路上的 Nemty 解密服務:
您可以上傳加密照片(jpg、png、bmp)來測試解密服務。
此後,攻擊者要求支付贖金。 如果不付款,價格將加倍。
結論
目前,不支付贖金就無法解密 Nemty 加密的檔案。 此版本的勒索軟體與 Buran 勒索軟體和過時的 GandCrab 具有共同特徵:在 Borland Delphi 中編譯並具有相同文字的圖像。 此外,這是第一個使用 8092 位元 RSA 金鑰的加密器,這同樣沒有任何意義,因為 1024 位元金鑰足以提供保護。 最後,有趣的是,它嘗試對本地 Tor 代理服務使用錯誤的連接埠。
然而,解決方案 и 防止 Nemty 勒索軟體到達用戶 PC 和數據,提供者可以透過以下方式保護其客戶 。 滿的 不僅提供備份,還提供保護 ,一種基於人工智慧和行為啟發法的特殊技術,可讓您消滅未知的惡意軟體。
來源: www.habr.com