አንዳንድ ጊዜ የአንዳንድ የቫይረስ ፀሐፊን ዓይኖች ማየት እና ለምን እና ለምን? እኛ እራሳችንን "እንዴት" የሚለውን ጥያቄ መመለስ እንችላለን, ነገር ግን ይህ ወይም ያ ማልዌር ፈጣሪ ምን እያሰበ እንደሆነ ለማወቅ በጣም አስደሳች ይሆናል. በተለይም እንደዚህ ዓይነት "ዕንቁዎች" ስንገናኝ.
የዛሬው መጣጥፍ ጀግና የሚገርም የክሪፕቶግራፈር ምሳሌ ነው። እሱ እንደ ሌላ “ራንሰምዌር” የተፀነሰ ይመስላል፣ ነገር ግን ቴክኒካዊ አተገባበሩ የአንድን ሰው ጨካኝ ቀልድ ይመስላል። ዛሬ ስለዚህ ትግበራ እንነጋገራለን.
እንደ አለመታደል ሆኖ የዚህን ኢንኮደር የሕይወት ዑደት ለመከታተል ፈጽሞ የማይቻል ነው - በእሱ ላይ በጣም ጥቂት ስታቲስቲክስ አሉ ፣ ምክንያቱም እንደ እድል ሆኖ ፣ እሱ አልተስፋፋም። ስለዚህ, የመነሻውን, የኢንፌክሽን ዘዴዎችን እና ሌሎች ማጣቀሻዎችን እንተዋለን. ስለ ጉዳያችን ብቻ እናውራ Wulfric Ransomware እና ተጠቃሚው ፋይሎቹን እንዲያስቀምጥ እንዴት እንደረዳነው።
I. ሁሉም እንዴት እንደጀመረ
የራንሰምዌር ሰለባ የሆኑ ሰዎች ብዙ ጊዜ የኛን ጸረ-ቫይረስ ላብራቶሪ ያነጋግሩ። የጫኑት የጸረ-ቫይረስ ምርቶች ምንም ቢሆኑም እርዳታ እንሰጣለን። በዚህ ጊዜ ፋይሎቹ ባልታወቀ ኢንኮደር የተነካ ሰው አነጋግረናል።
እንደምን አረፈድክ ፋይሎች በፋይል ማከማቻ (samba4) ላይ የተመሰጠሩት የይለፍ ቃል ከሌለው መግቢያ ጋር ነው። ኢንፌክሽኑ የመጣው ከሴት ልጄ ኮምፒተር (Windows 10 ከመደበኛ የዊንዶውስ ተከላካይ) መሆኑን እጠራጠራለሁ። ከዚያ በኋላ የልጅቷ ኮምፒዩተር አልበራም። ፋይሎቹ የተመሰጠሩት በዋናነት .jpg እና .cr2 ናቸው። የፋይል ቅጥያ ከተመሰጠረ በኋላ፡ .aef.
ከተጠቀሚው የተመሰጠሩ ፋይሎች፣ የቤዛ ማስታወሻ እና የቤዛ ዌር ደራሲ ፋይሎቹን ለመመስጠር የሚያስፈልገው ቁልፍ ሊሆን የሚችል ፋይል ደረሰን።
ሁሉም ፍንጮቻችን እነሆ፡-
- 01c.aef (4481 ኪ)
- የተጠለፈ.jpg (254 ኪ)
- hacked.txt (0ኬ)
- 04c.aef (6540 ኪ)
- ማለፊያ ቁልፍ (0ኬ)
ማስታወሻውን እንመልከት። በዚህ ጊዜ ስንት ቢትኮይንስ?
ትርጉም:
ትኩረት ይስጡ ፋይሎችዎ የተመሰጠሩ ናቸው!
የይለፍ ቃሉ ለእርስዎ ፒሲ ልዩ ነው።የ 0.05 BTC መጠንን ለ Bitcoin አድራሻ ይክፈሉ፡ 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
ከከፈሉ በኋላ የpass.key ፋይልን በማያያዝ ኢሜል ላኩልኝ። [ኢሜል የተጠበቀ] ከክፍያ ማሳወቂያ ጋር.ከተረጋገጠ በኋላ ለፋይሎቹ ዲክሪፕተር እልክልዎታለሁ።
በመስመር ላይ ለ bitcoins በተለያዩ መንገዶች መክፈል ይችላሉ፡-
- በባንክ ካርድ ክፍያ
ስለ Bitcoins፡-
ማንኛውም ጥያቄ ካለዎት እባክዎን በ ላይ ይፃፉልኝ [ኢሜል የተጠበቀ]
እንደ ጉርሻ፣ ኮምፒውተርዎ እንዴት እንደተጠለፈ እና ወደፊት እንዴት እንደሚከላከለው እነግራችኋለሁ።
ተጎጂውን የሁኔታውን አሳሳቢነት ለማሳየት የተነደፈ አስመሳይ ተኩላ። ይሁን እንጂ የከፋ ሊሆን ይችላል.
ሩዝ. 1. - እንደ ጉርሻ ወደፊት ኮምፒውተርህን እንዴት መጠበቅ እንዳለብህ እነግርሃለሁ። -ህጋዊ ይመስላል.
II. እንጀምር
በመጀመሪያ ደረጃ, የተላከውን ናሙና መዋቅር ተመልክተናል. በሚገርም ሁኔታ በራንሰምዌር የተበላሸ ፋይል አይመስልም። ሄክሳዴሲማል አርታዒን ይክፈቱ እና ይመልከቱ። የመጀመሪያዎቹ 4 ባይቶች ዋናውን የፋይል መጠን ይይዛሉ, የሚቀጥሉት 60 ባይት በዜሮዎች የተሞሉ ናቸው. ግን በጣም የሚያስደስት ነገር በመጨረሻው ላይ ነው-
ሩዝ. 2 የተበላሸውን ፋይል ይተንትኑ. ወዲያውኑ ዓይንዎን የሚይዘው ምንድን ነው?
ሁሉም ነገር የሚያበሳጭ ቀላል ሆኖ ተገኝቷል፡ ከራስጌው 0x40 ባይት ወደ ፋይሉ መጨረሻ ተንቀሳቅሷል። ውሂብን ወደነበረበት ለመመለስ በቀላሉ ወደ መጀመሪያው ይመልሱት። የፋይሉ መዳረሻ ወደነበረበት ተመልሷል፣ ነገር ግን ስሙ እንደተመሰጠረ ይቆያል፣ እና ነገሮች በእሱ ላይ እየተወሳሰቡ ናቸው።
ሩዝ. 3. በBase64 ውስጥ ያለው የተመሰጠረ ስም የቁምፊዎች ስብስብ ይመስላል።
ለማወቅ እንሞክር ማለፊያ.ቁልፍ፣ በተጠቃሚ ገብቷል። በውስጡም 162-ባይት የ ASCII ቁምፊዎችን ቅደም ተከተል እናያለን.
ሩዝ. 4. በተጠቂው ፒሲ ላይ 162 ቁምፊዎች ቀርተዋል።
በቅርበት ከተመለከቱ, ምልክቶቹ በተወሰነ ድግግሞሽ እንደተደጋገሙ ያስተውላሉ. ይህ የ XOR አጠቃቀምን ሊያመለክት ይችላል, እሱም በድግግሞሽ ተለይቶ ይታወቃል, ድግግሞሹ በቁልፍ ርዝመት ይወሰናል. ሕብረቁምፊውን ወደ 6 ቁምፊዎች ከከፈልን እና XOR በተወሰኑ የXOR ቅደም ተከተሎች ከከፈልን ምንም ትርጉም ያለው ውጤት አላመጣንም።
ሩዝ. 5. በመሃል ላይ የሚደጋገሙ ቋሚዎችን ይመልከቱ?
ቋሚዎችን ጎግል ለማድረግ ወስነናል፣ ምክንያቱም አዎ፣ ያ ደግሞ ይቻላል! እና ሁሉም በመጨረሻ ወደ አንድ አልጎሪዝም አመሩ - ባች ኢንክሪፕሽን። ስክሪፕቱን ካጠናን በኋላ የእኛ መስመር ከሥራው ውጤት ያለፈ እንዳልሆነ ግልጽ ሆነ። ይህ በፍፁም ኢንክሪፕተር ሳይሆን ቁምፊዎችን በ6-ባይት ቅደም ተከተሎች የሚተካ ኢንኮደር ብቻ መሆኑን መጠቀስ አለበት። ለእርስዎ ምንም ቁልፎች ወይም ሌሎች ምስጢሮች የሉም :)
ሩዝ. 6. ያልታወቀ ደራሲነት የመጀመሪያው ስልተ ቀመር ቁራጭ።
ለአንድ ዝርዝር ሁኔታ ካልሆነ ስልተ ቀመሩ እንደ ሚፈለገው አይሰራም፡-
ሩዝ. 7. ሞርፊየስ ጸድቋል.
በተገላቢጦሽ ምትክ በመጠቀም ገመዱን ከ ማለፊያ.ቁልፍ ወደ 27 ቁምፊዎች ጽሑፍ። የሰው (በጣም የሚቻለው) ጽሑፍ 'asmodat' ልዩ ትኩረት ሊሰጠው ይገባል።
ምስል.8. USGFDG=7
ጎግል እንደገና ይረዳናል። ከትንሽ ፍለጋ በኋላ በ GitHub - Folder Locker ላይ በ.Net የተጻፈ እና የ'asmodat' ቤተመፃህፍትን ተጠቅመን የሚገርም ፕሮጀክት ከሌላ Git መለያ አግኝተናል።
ሩዝ. 9. የአቃፊ መቆለፊያ በይነገጽ. ማልዌር መኖሩን ያረጋግጡ።
መገልገያው ለዊንዶውስ 7 እና ከዚያ በላይ ኢንክሪፕተር ነው ፣ እሱም እንደ ክፍት ምንጭ ይሰራጫል። በማመስጠር ጊዜ, የይለፍ ቃል ጥቅም ላይ ይውላል, ይህም ለቀጣይ ዲክሪፕት አስፈላጊ ነው. ሁለቱንም በተናጥል ፋይሎች እና ከመላው ማውጫዎች ጋር እንዲሰሩ ይፈቅድልዎታል።
የእሱ ቤተ-መጽሐፍት የRijndael ሲምትሪክ ምስጠራ ስልተ ቀመር በሲቢሲ ሁነታ ይጠቀማል። የማገጃው መጠን 256 ቢት እንዲሆን መመረጡ ትኩረት የሚስብ ነው - በ AES ደረጃ ከተወሰደው በተቃራኒ። በኋለኛው, መጠኑ በ 128 ቢት የተገደበ ነው.
ቁልፋችን የሚፈጠረው በPBKDF2 መስፈርት መሰረት ነው። በዚህ አጋጣሚ የይለፍ ቃሉ SHA-256 በፍጆታ ውስጥ ከገባው ሕብረቁምፊ ነው። የቀረው የዲክሪፕት ቁልፍን ለመፍጠር ይህንን ሕብረቁምፊ መፈለግ ብቻ ነው።
ደህና፣ ወደ ቀድሞ ዲኮድ ወደ ተሰራነው እንመለስ ማለፊያ.ቁልፍ. ያንን መስመር ከቁጥሮች ስብስብ እና 'asmodat' ከሚለው ጽሑፍ ጋር አስታውስ? የመጀመሪያዎቹን 20 ባይት የሕብረቁምፊዎች አቃፊ እንደ የይለፍ ቃል ለመጠቀም እንሞክር።
ተመልከት, ይሰራል! የኮድ ቃሉ ወጣ, እና ሁሉም ነገር በትክክል ተፈትቷል. በይለፍ ቃል ውስጥ ባሉ ቁምፊዎች በመመዘን, በ ASCII ውስጥ የአንድ የተወሰነ ቃል HEX መግለጫ ነው. የኮድ ቃሉን በጽሁፍ መልክ ለማሳየት እንሞክር። እናገኛለን'ሼዶውልፍ' . የሊካንትሮፒ ምልክቶች ቀድሞውኑ ይሰማዎታል?
አሁን መቆለፊያው እንዴት እንደሚሰራ እያወቅን የተጎዳውን ፋይል አወቃቀር ሌላ እንመልከት፡-
- 02 00 00 00 - የስም ምስጠራ ሁነታ;
- 58 00 00 00 - የተመሰጠረው እና ቤዝ64 የተመሰጠረው የፋይል ስም ርዝመት;
- 40 00 00 00 - የተላለፈው ራስጌ መጠን.
የተመሰጠረው ስም ራሱ እና የተላለፈው ራስጌ በቀይ እና ቢጫ በቅደም ተከተል ተደምቀዋል።
ሩዝ. 10. የተመሰጠረው ስም በቀይ ጎልቶ ይታያል፣ የተላለፈው ራስጌ በቢጫ ጎልቶ ይታያል።
አሁን የተመሰጠሩትን እና የተመሰጠሩትን ስሞች በሄክሳዴሲማል ውክልና እናወዳድር።
ዲክሪፕት የተደረገ ውሂብ አወቃቀር፡-
- 78 B9 B8 2E - በመገልገያው (4 ባይት) የተፈጠረ ቆሻሻ;
- 0С 00 00 00 - ዲክሪፕት የተደረገው ስም ርዝመት (12 ባይት);
- ቀጥሎ የሚመጣው ትክክለኛው የፋይል ስም እና ፓዲንግ ከዜሮዎች ጋር ወደሚፈለገው የማገጃ ርዝመት (ማጠፊያ) ርዝመት ነው።
ሩዝ. 11. IMG_4114 በጣም የተሻለ ይመስላል።
III. መደምደሚያ እና መደምደሚያ
ወደ መጀመሪያው ተመለስ። የ Wulfric.Ransomware ደራሲ ምን እንዳነሳሳው እና ምን ግብ እንዳሳደደ አናውቅም። እርግጥ ነው, ለአማካይ ተጠቃሚ, እንዲህ ዓይነቱ ኢንክሪፕትተር እንኳን የሥራው ውጤት ትልቅ አደጋ ይመስላል. ፋይሎች አይከፈቱም። ሁሉም ስሞች የሉም። ከተለመደው ምስል ይልቅ, በስክሪኑ ላይ ተኩላ አለ. ስለ bitcoins እንድታነብ ያስገድዱሃል።
እውነት ነው፣ በዚህ ጊዜ፣ “አስፈሪ ኢንኮደር” በሚል ሽፋን አጥቂው ዝግጁ የሆኑ ፕሮግራሞችን ሲጠቀም እና በወንጀል ቦታው ላይ ቁልፎቹን የሚተውበት እንደዚህ አይነት አስቂኝ እና ደደብ የማግበስበስ ሙከራ ተደብቋል።
በነገራችን ላይ ስለ ቁልፎቹ. ይህ እንዴት እንደተከሰተ ለመረዳት የሚረዳን ተንኮል አዘል ስክሪፕት ወይም ትሮጃን አልነበረንም። ማለፊያ.ቁልፍ - ፋይሉ በተበከለ ፒሲ ላይ የሚታይበት ዘዴ አይታወቅም. ግን አስታውሳለሁ, ደራሲው በማስታወሻው ውስጥ የይለፍ ቃሉን ልዩነት ጠቅሷል. ስለዚህ፣ የዲክሪፕት ኮድ ቃል የተጠቃሚ ስም ጥላ ተኩላ ልዩ እንደሆነ ሁሉ ልዩ ነው :)
እና አሁንም, ጥላ ተኩላ, ለምን እና ለምን?
ምንጭ: hab.com