एक नकली पेपल साइट से रैंसमवेयर नेम्टी से मिलें

नेटवर्क पर एक नया नेमी रैंसमवेयर दिखाई दिया है, जो कि ग्रैंड क्रैब या बुरान का उत्तराधिकारी है। दुर्भावनापूर्ण सॉफ़्टवेयर मुख्य रूप से एक नकली पेपाल साइट से वितरित किया गया है और इसमें कई दिलचस्प विशेषताएं हैं। इस रैंसमवेयर के संचालन के बारे में विवरण - कट के नीचे।



7 नवंबर, 2019 को यूज़र नेओ_एसईसी द्वारा नए नेमी रैंसमवेयर की खोज की गई। दुर्भावनापूर्ण सॉफ़्टवेयर को पेपाल के रूप में प्रच्छन्न साइट के माध्यम से वितरित किया गया था, वहाँ भी शोषण किट आरआईजी के माध्यम से एक कंप्यूटर में रैनसमवेयर के घुसने की संभावना है। हमलावरों ने उपयोगकर्ता को कैशबैक। Exe फ़ाइल को चलाने के लिए बाध्य करने के लिए सोशल इंजीनियरिंग के तरीकों को चुना, जिसे वह कथित तौर पर पेपल वेबसाइट से प्राप्त करता है। यह भी उत्सुक है कि नेमी ने टॉर स्थानीय प्रॉक्सी सेवा के लिए गलत पोर्ट निर्दिष्ट किया है, जो मैलवेयर को सर्वर पर डेटा भेजने से रोकता है। इसलिए, यदि उपयोगकर्ता फिरौती का भुगतान करने और हमलावरों से डिक्रिप्शन की प्रतीक्षा करने का इरादा रखता है, तो उपयोगकर्ता को टोर नेटवर्क पर एन्क्रिप्टेड फ़ाइलों को अपलोड करना होगा।

नेम्टी के बारे में कुछ दिलचस्प तथ्य बताते हैं कि इसे उसी लोगों या साइबर अपराधियों द्वारा विकसित किया गया था जो बुरान और ग्रैंड क्रैब से जुड़े थे।

• गैंडक्रैब की तरह, नेमी के पास एक ईस्टर अंडे हैं - रूसी राष्ट्रपति व्लादिमीर पुतिन की एक तस्वीर के साथ एक अश्लील मजाक के लिए एक लिंक। विरासत GandCrab रैंसमवेयर में एक ही पाठ के साथ एक छवि थी।
• दोनों कार्यक्रमों की भाषा कलाकृतियाँ समान रूसी भाषी लेखकों की ओर इशारा करती हैं।
• यह 8092-बिट आरएसए कुंजी का उपयोग करने वाला पहला एनक्रिप्शन है। हालांकि इसका कोई मतलब नहीं है: हैकिंग से बचाने के लिए 1024-बिट कुंजी पर्याप्त है।
• बुरान की तरह, एनक्रिप्टर्स को ऑब्जेक्ट पास्कल में लिखा गया है और बोरलैंड डेल्फी में संकलित किया गया है।

स्थैतिक विश्लेषण

दुर्भावनापूर्ण कोड का निष्पादन चार चरणों में होता है। पहला कदम, कैशबैक। Exe को चलाना है, जो MS32 के अंतर्गत PE32-निष्पादन योग्य फ़ाइल है जिसका आकार 1198936 बाइट्स है। इसका कोड Visual C ++ में लिखा गया है और 14 अक्टूबर 2013 को संकलित किया गया है। इसमें एक संग्रह होता है जो कैशबैक.exe प्रारंभ होने पर स्वचालित रूप से अनपैक हो जाता है। सॉफ्टवेयर। कैबिनेट संग्रह से फ़ाइलें प्राप्त करने के लिए कैबिनेट.डॉल लाइब्रेरी और उसके कार्यों FDICreate (), FDIDestroy () और अन्य का उपयोग करता है।



SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC

संग्रह को अनपैक करने के बाद, तीन फाइलें दिखाई देंगी।


इसके बाद, temp.exe, एमएस विंडोज आकार 307200 बाइट्स के तहत एक PE32-निष्पादन योग्य फ़ाइल लॉन्च किया गया है। कोड Visual C ++ में लिखा गया है और MPRESS पैकर, UPX के समान पैकर द्वारा पैक किया गया है।


SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A5A8A5A2A9C3C338F02DD726AAD

अगला कदम ironman.exe है। Temp.exe चलाने के बाद temp में एम्बेडेड डेटा को डिक्रिप्ट करता है और इसे ironman.exe नाम देता है, आकार में PE32-निष्पादन योग्य फ़ाइल 544768 बाइट्स। बोरलैंड डेल्फी में संकलित कोड।


SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88

अंतिम चरण ironman.exe फ़ाइल को पुनरारंभ करना है। रनटाइम के समय, यह अपने कोड को परिवर्तित करता है और मेमोरी से खुद को चलाता है। Ironman.exe का यह संस्करण दुर्भावनापूर्ण है और एन्क्रिप्शन के लिए जिम्मेदार है।

हमला वेक्टर

वर्तमान में, नेपी रैंसमवेयर को pp-back.info के माध्यम से वितरित किया जाता है।



पूर्ण संक्रमण श्रृंखला app.any.run सैंडबॉक्स पर देखी जा सकती है।

स्थापना

Cashback.exe - हमले की शुरुआत। जैसा कि पहले ही उल्लेख किया गया है, cashback.exe .cab फ़ाइल को शामिल नहीं करता है। फिर वह एक फ़ोल्डर TMP4351 $ .TMP का फॉर्म% TEMP% \ IXxxx.TMP बनाता है, जहां xxx 001 से 999 तक की संख्या है।



अगला, एक रजिस्ट्री कुंजी स्थापित है, जो इस तरह दिखती है:

[HKLM \ SOFTWARE \ WOW6432Node \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ wextract_cleanup0]
"Rundll32.exe" "C: \ Windows \ system32 \ advpack.dll, DelNodeRunDLL32" C: \ Users \ MALWAR ~ 1 \ AppData \ Local \ Temp \ IXPxxx.TMP \ "

इसका उपयोग अनपैक की गई फ़ाइलों को हटाने के लिए किया जाता है। अंत में, cashback.exe अस्थायी प्रक्रिया शुरू करता है।


Temp.exe - संक्रमण श्रृंखला में दूसरा चरण

यह कैशबैक.exe द्वारा शुरू की गई प्रक्रिया है, वायरस को निष्पादित करने का दूसरा चरण है। वह AutoHotKey को डाउनलोड करने की कोशिश करता है - विंडोज के तहत स्क्रिप्ट चलाने का एक उपकरण - और PE फ़ाइल के संसाधन अनुभाग में स्थित WindowSpy.ahk स्क्रिप्ट को चलाता है।


WindowSpy.ahk स्क्रिप्ट RC4 एल्गोरिथ्म और IwantAstake पासवर्ड का उपयोग करके ironman.exe में अस्थायी फ़ाइल को डिक्रिप्ट करती है। पासवर्ड की कुंजी एमडी 5 हैश एल्गोरिथ्म का उपयोग करके प्राप्त की जाती है।

उसके बाद temp.exe ironman.exe प्रक्रिया को कॉल करता है।


Ironman.exe - तीसरा चरण

Ironman.exe, iron.bmp फ़ाइल की सामग्री को पढ़ता है और एक क्रिप्टो-लॉकर के साथ एक iron.txt फ़ाइल बनाता है, जो निम्नानुसार शुरू होती है।



उसके बाद, वायरस iron.txt को मेमोरी में लोड करता है और इसे ironman.exe के रूप में पुनरारंभ करता है। उसके बाद, iron.txt को हटा दिया जाता है।

ironman.exe NEMTY रैंसमवेयर का मुख्य भाग है, जो प्रभावित कंप्यूटर पर फ़ाइलों को एन्क्रिप्ट करता है। दुर्भावनापूर्ण सॉफ़्टवेयर नफरत नामक एक म्यूटेक्स बनाता है।


सबसे पहले, वह कंप्यूटर की भौगोलिक स्थिति निर्धारित करता है। नेमी एक ब्राउज़र खोलता है और http://api.ipify.org पर आईपी को पहचानता है। Api.db-ip.com/v2/free [IP] / देशनाम की साइट पर, देश को प्राप्त IP द्वारा निर्धारित किया जाता है, और यदि कंप्यूटर नीचे सूचीबद्ध क्षेत्रों में से एक में है, तो मालवेयर कोड का निष्पादन रुक जाता है:

• रूस
• बेलारूस
• यूक्रेन
• कजाखस्तान
• तजाकिस्तान

सबसे अधिक संभावना है, डेवलपर्स अपने निवास के देशों में कानून प्रवर्तन एजेंसियों का ध्यान आकर्षित नहीं करना चाहते हैं, और इसलिए अपने "मूल" क्षेत्राधिकार में फ़ाइलों को एन्क्रिप्ट नहीं करते हैं।

यदि पीड़ित का आईपी पता उपरोक्त सूची से संबंधित नहीं है, तो वायरस उपयोगकर्ता की जानकारी को एन्क्रिप्ट करता है।



फ़ाइल पुनर्प्राप्ति को रोकने के लिए, उनकी छाया प्रतियां हटा दी जाती हैं:


फिर फ़ाइलों और फ़ोल्डरों की एक सूची जो एन्क्रिप्ट नहीं की जाएगी, साथ ही फ़ाइल एक्सटेंशन की एक सूची बनाई गई है।

• खिड़कियां
• $ RECYCLE.BIN
• आरएसए
• NTDETECT.COM
• NTLDR
• MSDOS.SYS
• io.sys
• boot.ini AUTOEXEC.BAT ntuser.dat
• desktop.ini
• CONFIG.SYS
• BOOTSECT.BAK
• bootmgr
• ProgramData
• AppData
• osoft
• आम फाइलें

log LOG CAB cab CMD cmd COM com cpl CPL exe EXE ini INI dll DDL lnk LNK url URL ttf TTF DECRYPT.txt NEMTY 

कहानियो

URL और एम्बेडेड कॉन्फ़िगरेशन डेटा को छुपाने के लिए, नेम्टी में बेस 64 और RC4 एन्कोडिंग एल्गोरिथ्म का उपयोग किया जाता है।


CryptStringToBinary का उपयोग करने वाली डिक्रिप्शन प्रक्रिया इस प्रकार है

एन्क्रिप्शन

नेमी तीन-परत एन्क्रिप्शन का उपयोग करता है:

• फ़ाइलों के लिए AES-128-CBC। एक 128-बिट एईएस कुंजी यादृच्छिक रूप से उत्पन्न होती है और सभी फ़ाइलों के लिए समान होती है। इसे उपयोगकर्ता के कंप्यूटर पर कॉन्फ़िगरेशन फ़ाइल में संग्रहीत किया जाता है। IV प्रत्येक फ़ाइल के लिए अनियमित रूप से उत्पन्न होता है और एक एन्क्रिप्टेड फ़ाइल में संग्रहीत होता है।
• RSA-2048 फ़ाइल एन्क्रिप्शन IV के लिए। सत्र के लिए एक प्रमुख जोड़ी बनाई गई है। सत्र की निजी कुंजी उपयोगकर्ता के कंप्यूटर पर कॉन्फ़िगरेशन फ़ाइल में संग्रहीत होती है।
• आरएसए-8192। मुख्य सार्वजनिक कुंजी को प्रोग्राम में बनाया गया है और इसका उपयोग कॉन्फ़िगरेशन फ़ाइल को एन्क्रिप्ट करने के लिए किया जाता है, जो एईएस कुंजी और आरएसए -2048 सत्र के लिए गुप्त कुंजी संग्रहीत करता है।
• नेमी पहले यादृच्छिक डेटा के 32 बाइट्स उत्पन्न करता है। पहले 16 बाइट्स का उपयोग एईएस -128-सीबीसी कुंजी के रूप में किया जाता है।

दूसरा एन्क्रिप्शन एल्गोरिदम RSA-2048 है। कुंजी जोड़ी CryptGenKey () फ़ंक्शन द्वारा बनाई गई है और CryptImportKey () फ़ंक्शन द्वारा आयात की गई है।


सत्र के लिए कुंजी जोड़ी उत्पन्न होने के बाद, सार्वजनिक कुंजी एमएस क्रिप्टोग्राफ़िक सेवा प्रदाता में आयात की जाती है।


सत्र के लिए जनरेट की गई कुंजी का एक उदाहरण:


इसके बाद, निजी कुंजी CSP में आयात की जाती है।


सत्र के लिए उत्पन्न निजी कुंजी का एक उदाहरण:


और अंतिम RSA-8192 है। मुख्य सार्वजनिक कुंजी PE फ़ाइल के .data अनुभाग में एन्क्रिप्टेड रूप (Base64 + RC4) में संग्रहीत की जाती है।


बेस 64 को डिकोड करने और पासवर्ड के साथ RC4 को डिक्रिप्ट करने के बाद RSA-8192 कुंजी इस तरह दिखती है।


परिणामस्वरूप, संपूर्ण एन्क्रिप्शन प्रक्रिया निम्नानुसार है:

• एक 128-बिट एईएस कुंजी की पीढ़ी जो सभी फ़ाइलों को एन्क्रिप्ट करने के लिए उपयोग की जाएगी।
• प्रत्येक फ़ाइल के लिए IV बनाएं।
• RSA-2048 सत्र के लिए एक प्रमुख जोड़ी बनाना।
• बेस 64 और आरसी 4 का उपयोग करके मौजूदा आरएसए -8192 कुंजी का डिक्रिप्शन।
• पहले चरण से एईएस -128-सीबीसी एल्गोरिथ्म का उपयोग करके फ़ाइल सामग्री को एन्क्रिप्ट करें।
• RS64-2048 सार्वजनिक कुंजी का उपयोग कर एन्क्रिप्शन IV और बेस 64 में एन्कोडिंग।
• प्रत्येक एन्क्रिप्टेड फ़ाइल के अंत में एन्क्रिप्टेड IV को जोड़ना।
• एईएस कुंजी और आरएसए -2048 सत्र निजी कुंजी को विन्यास में जोड़ना।
• अनुभाग में वर्णित कॉन्फ़िगरेशन डेटा एक संक्रमित कंप्यूटर के बारे में जानकारी एकत्रित करना RSA-8192 प्राथमिक सार्वजनिक कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।
• एन्क्रिप्ट की गई फ़ाइल निम्नानुसार है:

एन्क्रिप्टेड फ़ाइलों का उदाहरण:

एक संक्रमित कंप्यूटर के बारे में जानकारी एकत्र करना

रैंसमवेयर संक्रमित फ़ाइलों को डिक्रिप्ट करने के लिए कुंजी एकत्र करता है, ताकि एक हमलावर वास्तव में एक डिक्रिप्टर बना सके। इसके अलावा, नेमी उपयोगकर्ता डेटा, जैसे कि उपयोगकर्ता नाम, कंप्यूटर नाम, हार्डवेयर प्रोफ़ाइल एकत्र करता है।


यह GetLogicalDrives (), GetFreeSpace (), GetDriveType () फ़ंक्शन को संक्रमित कंप्यूटर के डिस्क के बारे में जानकारी एकत्र करने के लिए कहता है।

एकत्रित जानकारी को एक कॉन्फ़िगरेशन फ़ाइल में संग्रहीत किया जाता है। लाइन को डिकोड करने के बाद, हमें कॉन्फ़िगरेशन फ़ाइल में मापदंडों की एक सूची मिलती है:


एक संक्रमित कंप्यूटर का उदाहरण विन्यास:


कॉन्फ़िगरेशन टेम्पलेट को निम्नानुसार दर्शाया जा सकता है:

{"सामान्य": {"IP": "[IP]", "देश": "[देश]", "ComputerName": "[ComputerName]", "उपयोगकर्ता नाम": "[उपयोगकर्ता नाम]", "OS": "[OS]", "isRU": false, "version": "1.4", "CompID": "{[CompID]}}", "FileID": "_ NEMTY_ [FileID] _", "UserID": "[ UserID] "," कुंजी ":" [कुंजी] "," pr_key ":" [pr_key]

नेमी JSON प्रारूप में एकत्रित डेटा को USER% / _ NEMTY_.nemty फ़ाइल में संग्रहीत करता है। लंबाई में 7 वर्णों का एक फ़ाइलआईडी बेतरतीब ढंग से उत्पन्न होता है। उदाहरण के लिए: _NEMTY_tgdLYrd_.nemty। एन्क्रिप्टेड फ़ाइल के अंत में फ़ाइलआईडी भी संलग्न है।

फौजदारी संदेश

डेस्कटॉप पर फ़ाइलों को एन्क्रिप्ट करने के बाद, _NEMTY_ [FileID] -DECRYPT.txt फ़ाइल निम्नानुसार दिखाई देती है:


फ़ाइल के अंत में संक्रमित कंप्यूटर के बारे में जानकारी एन्क्रिप्ट की गई है।

नेटवर्क संचार

Ironman.exe प्रक्रिया टोर ब्राउज़र वितरण को https://dist.torproject.org/torbrowser/8.5.4/tor-win32-0.4.0.5.zip पते से डाउनलोड करती है और इसे इंस्टॉल करने की कोशिश करती है।

नेमी तब विन्यास डेटा को 127.0.0.1:9050 पर भेजने का प्रयास करता है, जहां यह एक कामकाजी टोर ब्राउज़र प्रॉक्सी को खोजने की उम्मीद करता है। हालाँकि, डिफ़ॉल्ट रूप से, टोर प्रॉक्सी पोर्ट 9150 पर सुनता है, और पोर्ट 9050 लिनक्स पर टोर डेमॉन या विंडोज के लिए एक्सपर्ट बंडल का उपयोग करता है। इसलिए, हमलावर सर्वर पर कोई डेटा नहीं भेजा जाता है। इसके बजाय, उपयोगकर्ता फिर से संदेश द्वारा दिए गए लिंक पर टो डिक्रिप्शन सेवा पर जाकर मैन्युअल रूप से कॉन्फ़िगरेशन फ़ाइल डाउनलोड कर सकता है।

टो प्रॉक्सी से कनेक्शन:




HTTP GET 127.0.0.1:9050/public/gate?data= पर एक अनुरोध बनाता है


यहाँ आप खुले टीसीपी पोर्ट को देखते हैं जो कि TORlocal प्रॉक्सी द्वारा उपयोग किया जाता है:


टो नेटवर्क पर नेमी डिक्रिप्शन सेवा:


डिक्रिप्शन सेवा का परीक्षण करने के लिए आप एक एन्क्रिप्टेड फोटो (jpg, png, bmp) अपलोड कर सकते हैं।


उसके बाद, हमलावर फिरौती देने के लिए कहता है। भुगतान न करने की स्थिति में, कीमत दोगुनी हो जाती है।

निष्कर्ष

फिलहाल, फिरौती का भुगतान किए बिना नेमी द्वारा एन्क्रिप्ट की गई फ़ाइलों को डिक्रिप्ट करना संभव नहीं है। रैंसमवेयर के इस संस्करण में बुरान रैनसमवेयर और विरासत गैंडक्रैब के साथ समानताएं हैं: बोरलैंड डेल्फी और एक ही पाठ के साथ चित्रों पर संकलन। इसके अलावा, यह 8092-बिट आरएसए कुंजी का उपयोग करने वाला पहला एनक्रिप्शन है, जो फिर से कोई मतलब नहीं रखता है, क्योंकि 1024-बिट कुंजी सुरक्षा के लिए काफी पर्याप्त है। अंत में, उत्सुकता से, वह टोर की स्थानीय प्रॉक्सी सेवा के लिए गलत पोर्ट का उपयोग करने की कोशिश कर रहा है।

हालांकि, Acronis बैकअप और Acronis True Image समाधान उपयोगकर्ता पीसी और डेटा के लिए नेमी रैंसमवेयर की अनुमति नहीं देते हैं, और प्रदाता Acronis बैकअप क्लाउड के साथ अपने ग्राहकों की रक्षा कर सकते हैं। पूर्ण साइबर डिफेंस न केवल बैकअप प्रदान करता है, बल्कि कृत्रिम बुद्धिमत्ता और व्यवहार संबंधी अनुमानों के आधार पर एक विशेष तकनीक Acronis Active Protection का उपयोग करके भी सुरक्षा प्रदान करता है, जो अज्ञात मैलवेयर को भी बेअसर कर सकता है।