Перейти к содержанию

Рекомендуемые сообщения

Коллеги, обнаружил нового зловреда (он себя называет NextCry) на своём linux-сервере NextCloud.

Антивирус Касперского его не обнаруживает!

Во вложении (пароль 123) файлы с промежуточными результатами моего анализа (логи strace, ltrace, gdb, телом шифровальщика, зашифрованными файлами и файлами которые он распаковывает во временную папку). Шифровальщик целенаправленно поражает nextcloud сервера (читает директорию с данными из его конфига и их шифрует). Написан на python и предположительно упакован в исполняемый elf-файл программой pyinstall, после чего динамически обсфуцирован pwnstaller. К нам на сервер его залили пайлоадом из Kali через уязвимость PHP.

Прошу помощи в расшифровке и надеюсь мои изыскания помогут сделать антивирус лучше. Спасибо.

nextcry_data.rar

Изменено пользователем Sandor
Вложение прикрепил к сообщению
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Инструменты лечения, используемые в этом разделе, нацелены на системы семейства Windows.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты

Уже создал, но подумал, может у кого-то есть релевантный опыт и он сможет помочь ... или мои материалы будут кому-то полезны. 

Ссылка на сообщение
Поделиться на другие сайты

Результат обращения в ТП сообщите здесь, пожалуйста.

 

Обязательно отпишу, собственно сейчас основная задача получить питоновский исходник из приложенного к первому посту elf'а, это по силам любому реверс-инженеру знакомому с отладчиком под никсами, как только увидим сам скрипт nextcry.py сразу всё станет понятно(есть возможность расшифровать или нет). У меня есть надежда, что кто-то на форуме сможет это сделать ... 

Изменено пользователем sh00m
Ссылка на сообщение
Поделиться на другие сайты

Всё - расходимся:

 

Алгоритм работы этого зловреда такой:

  1. Файлы размером < 1000000 байт шифруются полностью. У файлов, бОльших указанного размера, шифруются первые 1000000 байт и записываются в конец файла. Исходные данные перезаписываются мусором;
  2. Generate_key возвращает криптостойкий ключ для алгоритма (AES) шифрования файлов;
  3. Для каждого файла генерируется свой уникальный ключ;
  4. В теле шифровальщика зашит публичный ключ RSA (он нужен для шифрования использованных ключей AES);
  5. Файл keys.enc содержит зашифрованные с помощью этого паблик-ключа RSA использованные файловые AES-ключи.

Итого:

Секрет, который нужно знать для расшифровки файлов, - это приватный ключ RSA, парный известному паблик-ключу, зашитому в енкодере. В использованной криптосхеме этот секрет никак не разглашается.
Вычислить же его, во всяком случае за практически разумное время мне не представляется возможным. Следовательно, получить ключ для расшифровки файлов можно только у того, кто им владеет (вообще говоря, только у автора/хозяина троянца).

 

[Добавлено]

Техническая поддержка Касперского подтвердила. Уважаемый пользователь, вирусные аналитики сообщили следующее: 

 

nextcry_elf - Trojan-Ransom.Python.NextCry.a Детектирование будет добавлено в базы продукта, благодарим за помощь.

 

  1. Троян содержит в себе публичный ключ злоумышленника RSA-2048 (RSAPUBLICKEY);
  2. Для каждого шифруемого файла троян генерирует новый ключ длиной 128 бит, кодирует его в base64 (generate_key). Затем от этого вычисляется sha256 (AESCipher.init), и результат используется как ключ AES-256 в режиме CBC для шифрования содержимого файла;
  3. Сгенерированные 128-битные ключи впоследствии шифруются RSA на RSAPUBLICKEY, результат сохраняется в "keys.ENC".

 

Чтобы расшифровать файлы, нужно знать приватный ключ RSA злоумышленника, который соответствует публичному ключу RSAPUBLICKEY. Троян не содержит его.

 

P.S. Исходники сего зловреда могу выслать по запросу, т.к. тут публиковать вредоносный код не комильфо.


P.P.S. Ребята на смежном форуме заметили, что как то странно формируются ключи: автор зловреда рассчитывает его на основе 32-байтового размера блока, а AES использует только 16 байтов для своих блоков. Но по этому поводу есть и такое мнение.

Изменено пользователем sh00m
Ссылка на сообщение
Поделиться на другие сайты

Анализ показал, что если на фазе шифрования файлов энкодер прервали - всё очень плохо:
в этом случае в stdout'е ничего ещё не будет и файл keys.enc еще не будет создан.

Последовательность такая:

  1. проход по дереву фс и шифрование файлов
  2. переименование зашифрованных файлов (base64- кодирование оригинальных имен )
  3. вывод ключей в stdout
  4. шифрование ключей и запись keys.enc

Прерывание на фазе 1 или 2 фатально в смысле потери ключей для всех!

Изменено пользователем sh00m
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • vkandru
      От vkandru
      Добрый день, появилась проблема с обновлением баз на linux машинах.
      после установки или переустановки обновления загружаются некоторое время и перестают.
      на остальных машинах обновления загружаются регулярно.
       
      Mar 05 23:09:44 graylog klnagent[804]: Have updates to download. Version: 22978 delay: 0.    (5B4B4C46545D202F686F6D652F6275696C6465722F612F632F645F30303030303030302F732F70726F647563742F6F736D702F6B73632F6465762F6B63612F66742F666F6C64657273796E632E6370704034343539)
      Mar 05 23:10:46 graylog klnagent[804]: Have complete updates version: 22978.    (5B4B4C46545D202F686F6D652F6275696C6465722F612F632F645F30303030303030302F732F70726F647563742F6F736D702F6B73632F6465762F6B63612F66742F666F6C64657273796E632E6370704034333739)
      Mar 06 02:09:47 graylog klnagent[804]: Transport level error while connecting to http://10.7.20.26:13000: SSL connection error, possibly a non-SSL port was used
      Mar 06 02:20:21 graylog klnagent[804]: EventsProcessorProxy: #1255 Transport level error while connecting to http://10.7.20.26:13000: general error 0x4E7 (Error was occured in transport layer. Error code - '-125'. Location - 'http://10.7.20.26:13000')    (4572726F7220696E666F726D6174696F6E3A20313235352F3020284572726F7220776173206F63637572656420696E207472616E73706F7274206C617965722E204572726F7220636F6465202D20272D313235272E204C6F636174696F6E202D2027687474703A2F2F31302E372E32302E32363A313330303027292C202F686F6D652F6275696C6465722F612F632F645F30303030303030302F732F70726F647563742F6F736D702F6B73632F6465762F7472616E73706F72742F7472662F75762F75767463702E6370702C203431360A3B205B4B4C4556505D202F686F6D652F6275696C6465722F612F632F645F30303030303030302F732F70726F647563742F6F736D702F6B73632F6465762F6E6167656E742F6576702F6576656E747370726F636573736F7270726F78792E63707040313430)
       
       
      0005-$klnagent-1103-wd.zip
    • ping_pig
      От ping_pig
      Добрый день!
       
      Могли бы подсказать по такому вопросу, касательно настройки KES на Linux.
      Используется KSC 14.2.0.26967 и KES 12.1.0.506
      На Linux пробовал на - AstraLinux и Ubuntu
       
      Есть ли возможность настройки для просмотра через Реестр программ в свойствах Устройства, списка установленного ПО на компьютере с Linux?
      С Windows список установленного ПО в KSC подтягивается нормально.
      А вот с Linux в Реестре программ пусто.
      Есть ли вообще такая возможность или для Linux это не реализовано?
    • МаркМанагер
      От МаркМанагер
      Здравствуйте.
       
      На Astra Linux установлен KES 11.3. Управляется KSC 14.2. В нем настроена политика "Включить проверку съемных дисков при подключении к устройству" (быстрая проверка).
      Под локальным админом это работает, появляется окно KES с результатами проверки, а под доменной учеткой не работает, окно KES не появляется, но если зайти в отчеты, вижу в разделе "Задачи проверки" как-будто в это время проверка прошла.
      Помогите разобраться, как сделать, чтобы под доменными учетками тоже было окно проверки.
    • Mirael
      От Mirael
      Добрый день!
      Подсажите в какую сторону копать
      по процесам kesl нагружается CPU Ubuntu 20-22 в организации под 99% тем самым быстро разряжается ноутбук
    • Artemsakh
      От Artemsakh
      Здравствуйте.
      Стоит задача, на машины под Linux, которые подключены к KSC. Распространить агент, возможно ли это реализовать средствами KSC?
      и как лучше сделать*?
×
×
  • Создать...