في بعض الأحيان تريد حقًا أن تنظر إلى عيون كاتب الفيروسات وتسأل: لماذا ولماذا؟ يمكننا الإجابة على السؤال "كيف" بأنفسنا، ولكن سيكون من المثير جدًا معرفة ما كان يفكر فيه منشئ البرامج الضارة هذا أو ذاك. خاصة عندما نواجه مثل هذه "اللآلئ".
بطل مقال اليوم هو مثال مثير للاهتمام لأخصائي التشفير. ويبدو أنه تم تصميمه على أنه مجرد "برنامج فدية" آخر، ولكن تنفيذه الفني يبدو أشبه بمزحة قاسية لشخص ما. سنتحدث عن هذا التنفيذ اليوم.
لسوء الحظ، يكاد يكون من المستحيل تتبع دورة حياة هذا التشفير - هناك عدد قليل جدًا من الإحصائيات حوله، لأنه، لحسن الحظ، لم ينتشر على نطاق واسع. لذلك، سنترك المصدر وطرق العدوى والمراجع الأخرى. دعنا نتحدث فقط عن حالة لقائنا مع رانسومواري Wulfric وكيف ساعدنا المستخدم على حفظ ملفاته.
أولا: كيف بدأ كل شيء
غالبًا ما يتصل الأشخاص الذين وقعوا ضحايا لبرامج الفدية بمختبر مكافحة الفيروسات لدينا. نحن نقدم المساعدة بغض النظر عن منتجات مكافحة الفيروسات التي تم تثبيتها. هذه المرة اتصل بنا شخص تأثرت ملفاته ببرنامج تشفير غير معروف.
مساء الخير تم تشفير الملفات على مخزن ملفات (samba4) مع تسجيل دخول بدون كلمة مرور. أظن أن العدوى جاءت من جهاز الكمبيوتر الخاص بابنتي (Windows 10 مع حماية Windows Defender القياسية). ولم يتم تشغيل جهاز الكمبيوتر الخاص بالابنة بعد ذلك. يتم تشفير الملفات بشكل رئيسي .jpg و.cr2. امتداد الملف بعد التشفير: .aef.
لقد تلقينا من المستخدمين عينات من الملفات المشفرة، ومذكرة فدية، وملف من المحتمل أن يكون المفتاح الذي يحتاجه مؤلف برنامج الفدية لفك تشفير الملفات.
هنا كل القرائن لدينا:
- 01c.aef (4481 كيلو)
- hacked.jpg (254 كيلو بايت)
- hacked.txt (0K)
- 04c.aef (6540 كيلو)
- مفتاح المرور (0 كيلو)
دعونا نلقي نظرة على المذكرة. كم عدد البيتكوين هذه المرة؟
ترجمة:
انتبه، ملفاتك مشفرة!
كلمة المرور فريدة لجهاز الكمبيوتر الخاص بك.ادفع مبلغ 0.05 BTC إلى عنوان البيتكوين: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
بعد الدفع، أرسل لي رسالة بالبريد الإلكتروني مرفقًا بها ملف pass.key [البريد الإلكتروني محمي] مع إشعار الدفع.بعد التأكيد، سأرسل لك برنامج فك تشفير الملفات.
يمكنك الدفع مقابل عملات البيتكوين عبر الإنترنت بطرق مختلفة:
- الدفع عن طريق البطاقة المصرفية
حول البيتكوين:
إذا كان لديك أي أسئلة، يرجى الكتابة لي على [البريد الإلكتروني محمي]
كمكافأة، سأخبرك كيف تم اختراق جهاز الكمبيوتر الخاص بك وكيفية حمايته في المستقبل.
ذئب طنان، مصمم لإظهار خطورة الوضع للضحية. ومع ذلك، كان من الممكن أن يكون الأمر أسوأ.
أرز. 1. - كمكافأة، سأخبرك بكيفية حماية جهاز الكمبيوتر الخاص بك في المستقبل. -يبدو حققي.
ثانيا. هيا بنا نبدأ
في البداية، نظرنا إلى بنية العينة المرسلة. ومن الغريب أنه لا يبدو وكأنه ملف تم إتلافه بواسطة برامج الفدية. افتح محرر النظام السداسي العشري وألقِ نظرة. تحتوي البايتات الأربعة الأولى على حجم الملف الأصلي، بينما تمتلئ البايتات الـ 4 التالية بالأصفار. لكن الشيء الأكثر إثارة للاهتمام هو في النهاية:
أرز. 2 تحليل الملف التالف. ما الذي يلفت انتباهك على الفور؟
اتضح أن كل شيء بسيط بشكل مزعج: تم نقل 0x40 بايت من الرأس إلى نهاية الملف. لاستعادة البيانات، ما عليك سوى إعادتها إلى البداية. تمت استعادة الوصول إلى الملف، لكن الاسم يظل مشفرًا، وتزداد الأمور تعقيدًا معه.
أرز. 3. يبدو الاسم المشفر في Base64 وكأنه مجموعة متناثرة من الأحرف.
دعونا نحاول معرفة ذلك pass.key، مقدم من قبل المستخدم. نرى فيه تسلسل 162 بايت من أحرف ASCII.
أرز. 4. 162 حرفًا متبقية على جهاز الكمبيوتر الخاص بالضحية.
إذا نظرت عن كثب، ستلاحظ أن الرموز تتكرر بتردد معين. قد يشير هذا إلى استخدام XOR الذي يتميز بالتكرار الذي يعتمد تكراره على طول المفتاح. بعد تقسيم السلسلة إلى 6 أحرف وXORed مع بعض المتغيرات لتسلسلات XOR، لم نحقق أي نتيجة ذات معنى.
أرز. 5. هل ترى الثوابت المتكررة في المنتصف؟
قررنا البحث عن الثوابت في جوجل، لأن هذا ممكن أيضًا! وقد أدت جميعها في النهاية إلى خوارزمية واحدة - التشفير الدفعي. بعد دراسة السيناريو، أصبح من الواضح أن خطنا ليس أكثر من نتيجة لعمله. تجدر الإشارة إلى أن هذا ليس برنامج تشفير على الإطلاق، ولكنه مجرد برنامج تشفير يستبدل الأحرف بتسلسلات 6 بايت. لا مفاتيح أو أسرار أخرى بالنسبة لك :)
أرز. 6. قطعة من الخوارزمية الأصلية مجهولة التأليف.
لن تعمل الخوارزمية كما ينبغي لولا تفاصيل واحدة:
أرز. 7. وافق مورفيوس.
باستخدام الاستبدال العكسي نقوم بتحويل السلسلة من pass.key في نص مكون من 27 حرفًا. يستحق النص البشري (على الأرجح) "أسمودات" اهتمامًا خاصًا.
الشكل 8. USGFDG = 7.
سوف يساعدنا جوجل مرة أخرى. بعد قليل من البحث، وجدنا مشروعًا مثيرًا للاهتمام على GitHub - Folder Locker، مكتوبًا بـ .Net وباستخدام مكتبة "asmodat" من حساب Git آخر.
أرز. 9. واجهة مجلد الخزانة. تأكد من التحقق من وجود برامج ضارة.
الأداة المساعدة عبارة عن أداة تشفير لنظام التشغيل Windows 7 والإصدارات الأحدث، ويتم توزيعها كمصدر مفتوح. أثناء التشفير، يتم استخدام كلمة المرور، وهو أمر ضروري لفك التشفير اللاحق. يسمح لك بالعمل مع الملفات الفردية ومع الدلائل بأكملها.
تستخدم مكتبتها خوارزمية التشفير المتماثل Rijndael في وضع CBC. ومن الجدير بالذكر أنه تم اختيار حجم الكتلة ليكون 256 بت - على عكس ذلك المعتمد في معيار AES. في الأخير، يقتصر الحجم على 128 بت.
يتم إنشاء مفتاحنا وفقًا لمعيار PBKDF2. في هذه الحالة، كلمة المرور هي SHA-256 من السلسلة التي تم إدخالها في الأداة المساعدة. كل ما تبقى هو العثور على هذه السلسلة لإنشاء مفتاح فك التشفير.
حسنًا، دعنا نعود إلى فك شفرتنا بالفعل pass.key. هل تتذكر ذلك السطر الذي يحتوي على مجموعة من الأرقام والنص "أسمودات"؟ دعونا نحاول استخدام أول 20 بايت من السلسلة ككلمة مرور لـ Folder Locker.
انظر، إنه يعمل! ظهرت كلمة السر، وتم فك رموز كل شيء بشكل مثالي. إذا حكمنا من خلال الأحرف الموجودة في كلمة المرور، فهي تمثيل سداسي عشري لكلمة معينة في ASCII. دعونا نحاول عرض كلمة الكود في شكل نص. نحن نحصل 'ذئب الظلال'. هل تشعر بالفعل بأعراض lycanthropy؟
دعونا نلقي نظرة أخرى على بنية الملف المتأثر، والآن نعرف كيفية عمل الخزانة:
- 02 00 00 00 - وضع تشفير الاسم؛
- 58 00 00 00 - طول اسم الملف المشفر والمشفر باستخدام Base64؛
- 40 00 00 00 - حجم الرأس المنقول.
يتم تمييز الاسم المشفر نفسه والرأس المنقول باللونين الأحمر والأصفر، على التوالي.
أرز. 10. يتم تمييز الاسم المشفر باللون الأحمر، ويتم تمييز الرأس المنقول باللون الأصفر.
الآن دعونا نقارن بين الأسماء المشفرة والمفككة بالتمثيل الست عشري.
هيكل البيانات التي تم فك تشفيرها:
- 78 B9 B8 2E - البيانات المهملة التي تم إنشاؤها بواسطة الأداة المساعدة (4 بايت)؛
- 0С 00 00 00 - طول الاسم الذي تم فك تشفيره (12 بايت)؛
- بعد ذلك يأتي اسم الملف الفعلي والحشوة بالأصفار لطول الكتلة المطلوبة (الحشوة).
أرز. 11. IMG_4114 يبدو أفضل بكثير.
ثالثا. الاستنتاجات والاستنتاج
العودة إلى البداية. لا نعرف ما الذي دفع مؤلف برنامج Wulfric.Ransomware وما الهدف الذي سعى إليه. بالطبع، بالنسبة للمستخدم العادي، فإن نتيجة عمل مثل هذا التشفير سوف تبدو وكأنها كارثة كبيرة. الملفات لا تفتح . اختفت جميع الأسماء. بدلا من الصورة المعتادة، هناك ذئب على الشاشة. إنهم يجبرونك على القراءة عن عملات البيتكوين.
صحيح، هذه المرة، تحت ستار "برنامج التشفير الرهيب"، كانت هناك محاولة ابتزاز سخيفة وغبية مخفية، حيث يستخدم المهاجم برامج جاهزة ويترك المفاتيح مباشرة في مسرح الجريمة.
بالمناسبة، حول المفاتيح. لم يكن لدينا برنامج نصي ضار أو حصان طروادة يمكن أن يساعدنا في فهم كيفية حدوث ذلك. pass.key – تظل الآلية التي يظهر بها الملف على جهاز الكمبيوتر المصاب غير معروفة. لكن، أتذكر أن المؤلف ذكر في مذكرته تفرد كلمة المرور. لذا، فإن كلمة الكود الخاصة بفك التشفير فريدة من نوعها مثل اسم المستخدم Shadow Wolf الفريد :)
ومع ذلك، أيها الذئب الظل، لماذا ولماذا؟
المصدر: www.habr.com