Soms wil jy regtig in die oë van een of ander virusskrywer kyk en vra: hoekom en hoekom? Ons kan self die vraag "hoe" beantwoord, maar dit sal baie interessant wees om uit te vind wat hierdie of daardie malware-skepper gedink het. Veral as ons sulke “pêrels” teëkom.
Die held van vandag se artikel is 'n interessante voorbeeld van 'n kriptograaf. Dit is blykbaar as net nog 'n "ransomware" beskou, maar die tegniese implementering daarvan lyk meer soos iemand se wrede grap. Ons sal vandag oor hierdie implementering praat.
Ongelukkig is dit byna onmoontlik om die lewensiklus van hierdie enkodeerder na te spoor - daar is te min statistieke daaroor, aangesien dit gelukkig nie wydverspreid geword het nie. Daarom sal ons die oorsprong, metodes van infeksie en ander verwysings uitlaat. Kom ons praat net oor ons geval van ontmoeting met Wulfric Ransomware en hoe ons die gebruiker gehelp het om sy lêers te stoor.
I. Hoe dit alles begin het
Mense wat slagoffers van losprysware was, kontak gereeld ons antiviruslaboratorium. Ons bied bystand ongeag watter antivirusprodukte hulle geïnstalleer het. Hierdie keer is ons gekontak deur 'n persoon wie se lêers deur 'n onbekende enkodeerder geraak is.
Goeie middag Lêers is geïnkripteer op 'n lêerberging (samba4) met wagwoordlose aanmelding. Ek vermoed dat die infeksie van my dogter se rekenaar af gekom het (Windows 10 met standaard Windows Defender-beskerming). Die dogter se rekenaar was daarna nie aangeskakel nie. Die lêers is hoofsaaklik .jpg en .cr2 geïnkripteer. Lêeruitbreiding na enkripsie: .aef.
Ons het van die gebruiker monsters van geënkripteerde lêers, 'n losprysnota en 'n lêer ontvang wat waarskynlik die sleutel is wat die losprysware-outeur nodig gehad het om die lêers te dekripteer.
Hier is al ons leidrade:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Kom ons kyk na die nota. Hoeveel bitcoins hierdie keer?
Vertaling:
Let op, jou lêers is geïnkripteer!
Die wagwoord is uniek aan jou rekenaar.Betaal die bedrag van 0.05 BTC aan die Bitcoin-adres: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Na betaling, stuur vir my 'n e-pos, en heg die pass.key-lêer aan [e-pos beskerm] met kennisgewing van betaling.Na bevestiging sal ek vir jou 'n dekripteerder vir die lêers stuur.
Jy kan op verskillende maniere vir bitcoins aanlyn betaal:
- betaling per bankkaart
Oor Bitcoins:
As jy enige vrae het, skryf asseblief vir my by [e-pos beskerm]
As 'n bonus sal ek jou vertel hoe jou rekenaar gehack is en hoe om dit in die toekoms te beskerm.
'n Pretensieuse wolf, ontwerp om die slagoffer die erns van die situasie te wys. Dit kon egter erger gewees het.
Rys. 1. -As 'n bonus sal ek jou vertel hoe om jou rekenaar in die toekoms te beskerm. – Lyk wettig.
II. Laat ons begin
Eerstens het ons na die struktuur van die gestuurde monster gekyk. Vreemd genoeg het dit nie gelyk soos 'n lêer wat deur losprysware beskadig is nie. Maak die heksadesimale redigeerder oop en kyk. Die eerste 4 grepe bevat die oorspronklike lêergrootte, die volgende 60 grepe is gevul met nulle. Maar die interessantste ding is aan die einde:
Rys. 2 Ontleed die beskadigde lêer. Wat trek dadelik jou oog?
Alles blyk irriterend eenvoudig te wees: 0x40 grepe van die kopskrif is na die einde van die lêer geskuif. Om data te herstel, keer dit eenvoudig terug na die begin. Toegang tot die lêer is herstel, maar die naam bly geïnkripteer, en dinge raak meer ingewikkeld daarmee.
Rys. 3. Die geënkripteerde naam in Base64 lyk soos 'n deurmekaar stel karakters.
Kom ons probeer dit uitvind slaag.sleutel, ingedien deur gebruiker. Daarin sien ons 'n 162-grepe volgorde van ASCII karakters.
Rys. 4. 162 karakters oor op die slagoffer se rekenaar.
As jy mooi kyk, sal jy agterkom dat die simbole met 'n sekere frekwensie herhaal word. Dit kan die gebruik van XOR aandui, wat gekenmerk word deur herhalings, waarvan die frekwensie afhang van die sleutellengte. Nadat ons die string in 6 karakters verdeel het en met 'n paar variante van XOR-reekse XOR-gedeel het, het ons geen sinvolle resultaat behaal nie.
Rys. 5. Sien die herhalende konstantes in die middel?
Ons het besluit om konstantes te google, want ja, dit is ook moontlik! En hulle het almal uiteindelik gelei tot een algoritme - Batch Encryption. Nadat ons die draaiboek bestudeer het, het dit duidelik geword dat ons lyn niks meer is as die resultaat van sy werk nie. Dit moet genoem word dat dit glad nie 'n enkripteerder is nie, maar net 'n enkodeerder wat karakters met 6-grepe-reekse vervang. Geen sleutels of ander geheime vir jou nie :)
Rys. 6. 'n Stukkie van die oorspronklike algoritme van onbekende outeurskap.
Die algoritme sou nie werk soos dit moet as dit nie vir een detail was nie:
Rys. 7. Morpheus goedgekeur.
Met behulp van omgekeerde vervanging transformeer ons die string van slaag.sleutel in 'n teks van 27 karakters. Die menslike (heel waarskynlik) teks 'asmodat' verdien spesiale aandag.
Fig.8. USGFDG=7.
Google sal ons weer help. Na 'n bietjie soektog vind ons 'n interessante projek op GitHub - Folder Locker, geskryf in .Net en met behulp van die 'asmodat'-biblioteek vanaf 'n ander Git-rekening.
Rys. 9. Folder Locker koppelvlak. Maak seker dat u na malware kyk.
Die nut is 'n enkripteerder vir Windows 7 en hoër, wat as oopbron versprei word. Tydens enkripsie word 'n wagwoord gebruik, wat nodig is vir daaropvolgende dekripsie. Laat jou toe om beide met individuele lêers en met hele gidse te werk.
Sy biblioteek gebruik die Rijndael-simmetriese enkripsie-algoritme in CBC-modus. Dit is opmerklik dat die blokgrootte gekies is om 256 bisse te wees - in teenstelling met dié wat in die AES-standaard aanvaar is. In laasgenoemde is die grootte beperk tot 128 bisse.
Ons sleutel word gegenereer volgens die PBKDF2-standaard. In hierdie geval is die wagwoord SHA-256 vanaf die string wat in die nut ingevoer is. Al wat oorbly is om hierdie string te vind om die dekripsiesleutel te genereer.
Wel, kom ons keer terug na ons reeds gedekodeerde slaag.sleutel. Onthou jy daardie reël met 'n stel syfers en die teks 'asmodat'? Kom ons probeer om die eerste 20 grepe van die string as 'n wagwoord vir Folder Locker te gebruik.
Kyk, dit werk! Die kodewoord het opgekom, en alles is perfek ontsyfer. Te oordeel aan die karakters in die wagwoord, is dit 'n HEX-voorstelling van 'n spesifieke woord in ASCII. Kom ons probeer om die kodewoord in teksvorm te vertoon. Ons kry 'skaduwolf'. Voel u reeds die simptome van lykantropie?
Kom ons kyk weer na die struktuur van die geaffekteerde lêer, en weet nou hoe die sluitkas werk:
- 02 00 00 00 – naam-enkripsiemodus;
- 58 00 00 00 – lengte van die geïnkripteer en base64-gekodeerde lêernaam;
- 40 00 00 00 – grootte van die oorgeplaasde kop.
Die geënkripteerde naam self en die oorgeplaasde kopskrif word onderskeidelik in rooi en geel uitgelig.
Rys. 10. Die geënkripteerde naam word in rooi uitgelig, die oorgeplaaste kop is in geel gemerk.
Kom ons vergelyk nou die geënkripteerde en gedekripteerde name in heksadesimale voorstelling.
Struktuur van ontsyferde data:
- 78 B9 B8 2E – vullis geskep deur die hulpprogram (4 grepe);
- 0С 00 00 00 – lengte van die gedekripteerde naam (12 grepe);
- Volgende kom die werklike lêernaam en opvulling met nulle tot die vereiste bloklengte (opvulling).
Rys. 11. IMG_4114 lyk baie beter.
III. Gevolgtrekkings en Gevolgtrekking
Terug na die begin. Ons weet nie wat die skrywer van Wulfric.Ransomware gemotiveer het en watter doel hy nagestreef het nie. Natuurlik, vir die gemiddelde gebruiker sal die resultaat van die werk van selfs so 'n enkripteer na 'n groot ramp lyk. Lêers maak nie oop nie. Alle name is weg. In plaas van die gewone prentjie is daar 'n wolf op die skerm. Hulle dwing jou om oor bitcoins te lees.
Weliswaar was daar hierdie keer onder die dekmantel van 'n "verskriklike enkodeerder" so 'n belaglike en dom poging tot afpersing versteek, waar die aanvaller klaargemaakte programme gebruik en die sleutels reg op die misdaadtoneel los.
Terloops, oor die sleutels. Ons het nie 'n kwaadwillige skrif of Trojaan gehad wat ons kon help om te verstaan hoe dit gebeur het nie. slaag.sleutel – die meganisme waardeur die lêer op 'n besmette rekenaar verskyn, bly onbekend. Maar, ek onthou, in sy nota het die skrywer die uniekheid van die wagwoord genoem. Dus, die kodewoord vir dekripsie is so uniek soos die gebruikersnaam shadow wolf uniek is :)
En tog, skaduwolf, hoekom en hoekom?
Bron: will.com