Перейти к содержанию

Рекомендуемые сообщения

Коллеги, обнаружил нового зловреда (он себя называет NextCry) на своём linux-сервере NextCloud.

Антивирус Касперского его не обнаруживает!

Во вложении (пароль 123) файлы с промежуточными результатами моего анализа (логи strace, ltrace, gdb, телом шифровальщика, зашифрованными файлами и файлами которые он распаковывает во временную папку). Шифровальщик целенаправленно поражает nextcloud сервера (читает директорию с данными из его конфига и их шифрует). Написан на python и предположительно упакован в исполняемый elf-файл программой pyinstall, после чего динамически обсфуцирован pwnstaller. К нам на сервер его залили пайлоадом из Kali через уязвимость PHP.

Прошу помощи в расшифровке и надеюсь мои изыскания помогут сделать антивирус лучше. Спасибо.

nextcry_data.rar

Изменено пользователем Sandor
Вложение прикрепил к сообщению
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Инструменты лечения, используемые в этом разделе, нацелены на системы семейства Windows.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты

Результат обращения в ТП сообщите здесь, пожалуйста.

 

Обязательно отпишу, собственно сейчас основная задача получить питоновский исходник из приложенного к первому посту elf'а, это по силам любому реверс-инженеру знакомому с отладчиком под никсами, как только увидим сам скрипт nextcry.py сразу всё станет понятно(есть возможность расшифровать или нет). У меня есть надежда, что кто-то на форуме сможет это сделать ... 

Изменено пользователем sh00m
Ссылка на комментарий
Поделиться на другие сайты

Всё - расходимся:

 

Алгоритм работы этого зловреда такой:

  1. Файлы размером < 1000000 байт шифруются полностью. У файлов, бОльших указанного размера, шифруются первые 1000000 байт и записываются в конец файла. Исходные данные перезаписываются мусором;
  2. Generate_key возвращает криптостойкий ключ для алгоритма (AES) шифрования файлов;
  3. Для каждого файла генерируется свой уникальный ключ;
  4. В теле шифровальщика зашит публичный ключ RSA (он нужен для шифрования использованных ключей AES);
  5. Файл keys.enc содержит зашифрованные с помощью этого паблик-ключа RSA использованные файловые AES-ключи.

Итого:

Секрет, который нужно знать для расшифровки файлов, - это приватный ключ RSA, парный известному паблик-ключу, зашитому в енкодере. В использованной криптосхеме этот секрет никак не разглашается.
Вычислить же его, во всяком случае за практически разумное время мне не представляется возможным. Следовательно, получить ключ для расшифровки файлов можно только у того, кто им владеет (вообще говоря, только у автора/хозяина троянца).

 

[Добавлено]

Техническая поддержка Касперского подтвердила. Уважаемый пользователь, вирусные аналитики сообщили следующее: 

 

nextcry_elf - Trojan-Ransom.Python.NextCry.a Детектирование будет добавлено в базы продукта, благодарим за помощь.

 

  1. Троян содержит в себе публичный ключ злоумышленника RSA-2048 (RSAPUBLICKEY);
  2. Для каждого шифруемого файла троян генерирует новый ключ длиной 128 бит, кодирует его в base64 (generate_key). Затем от этого вычисляется sha256 (AESCipher.init), и результат используется как ключ AES-256 в режиме CBC для шифрования содержимого файла;
  3. Сгенерированные 128-битные ключи впоследствии шифруются RSA на RSAPUBLICKEY, результат сохраняется в "keys.ENC".

 

Чтобы расшифровать файлы, нужно знать приватный ключ RSA злоумышленника, который соответствует публичному ключу RSAPUBLICKEY. Троян не содержит его.

 

P.S. Исходники сего зловреда могу выслать по запросу, т.к. тут публиковать вредоносный код не комильфо.


P.P.S. Ребята на смежном форуме заметили, что как то странно формируются ключи: автор зловреда рассчитывает его на основе 32-байтового размера блока, а AES использует только 16 байтов для своих блоков. Но по этому поводу есть и такое мнение.

Изменено пользователем sh00m
Ссылка на комментарий
Поделиться на другие сайты

Анализ показал, что если на фазе шифрования файлов энкодер прервали - всё очень плохо:
в этом случае в stdout'е ничего ещё не будет и файл keys.enc еще не будет создан.

Последовательность такая:

  1. проход по дереву фс и шифрование файлов
  2. переименование зашифрованных файлов (base64- кодирование оригинальных имен )
  3. вывод ключей в stdout
  4. шифрование ключей и запись keys.enc

Прерывание на фазе 1 или 2 фатально в смысле потери ключей для всех!

Изменено пользователем sh00m
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ratava
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • kocks33
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
×
×
  • Создать...