Bəzən həqiqətən də hansısa virus müəllifinin gözünə baxmaq və soruşmaq istəyirsən: niyə və niyə? “Necə” sualının cavabı ilə özümüz məşğul olacağıq, lakin bu və ya digər zərərli proqram yaradıcısının nəyi rəhbər tutduğunu öyrənmək çox maraqlı olardı. Xüsusən də belə “mirvarilərə” rast gələndə.
Bugünkü məqalənin qəhrəmanı ransomware proqramının maraqlı bir nüsxəsidir. Görünür, başqa bir “qəsbçi” kimi düşünülmüşdü, lakin onun texniki icrası daha çox kiminsə qəddar zarafatına bənzəyir. Bu gün bu tətbiq haqqında danışacağıq.
Təəssüf ki, bu kodlayıcının həyat dövrünü izləmək demək olar ki, mümkün deyil - bu barədə çox az statistika var, çünki xoşbəxtlikdən o, paylanmayıb. Buna görə mənşəyi, yoluxma üsullarını və digər istinadları tərk edirik. Biz ancaq tanışlıq hadisəmizdən danışacağıq Wulfric ransomware və istifadəçiyə fayllarını saxlamağa necə kömək etdiyimiz.
I. Hər şey necə başladı
Antivirus laboratoriyamız tez-tez ransomware tərəfindən təsirlənən insanlarla əlaqə saxlayır. Onların hansı antivirus məhsullarını quraşdırmasından asılı olmayaraq yardım göstəririk. Bu dəfə bizimlə fayllarına naməlum kodlayıcı təsir edən şəxs əlaqə saxladı.
Günortanız Xeyir Fayllar parolsuz girişlə fayl yaddaşında (samba4) şifrələnib. İnfeksiyanın qızımın kompüterindən (standart Windows Defender qorunması ilə Windows 10) gəldiyindən şübhələnirəm. Bundan sonra qızının kompüteri açılmayıb. Fayllar əsasən .jpg və .cr2 şifrələnir. Şifrələmədən sonra fayl uzantısı: .aef.
Biz istifadəçidən şifrələnmiş fayl nümunələrini, fidyə qeydini və ransomware müəllifinin faylların şifrəsini açmaq üçün ehtiyac duyduğu açar olan faylı aldıq.
Budur bütün liderlərimiz:
- 01c.aef (4481K)
- sındırılmış.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- keçid açarı (0K)
Gəlin qeydə nəzər salaq. Bu dəfə nə qədər bitcoin var?
Tərcümə:
Diqqət, fayllarınız şifrələnib!
parol sizin PC üçün unikaldır.0.05 BTC məbləğini bitkoin ünvanına ödəyin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Ödənişdən sonra pass.key faylını əlavə edərək mənə e-poçt göndərin [e-poçt qorunur] ödəniş bildirişi ilə.Təsdiqdən sonra sizə fayllar üçün deşifrə göndərəcəyəm.
Bitkoinləri onlayn olaraq bir çox yolla ödəyə bilərsiniz:
- kredit kartı ilə ödəniş
Bitkoinlər haqqında:
Hər hansı bir sualınız varsa, mənə yazın [e-poçt qorunur]
Bonus olaraq sizə kompüterinizin necə sındırıldığını və gələcəkdə necə qorunacağını söyləyəcəyəm.
Qurbana vəziyyətin ciddiliyini göstərmək üçün hazırlanmış iddialı bir canavar. Bununla belə, daha pis ola bilərdi.
düyü. 1. -Bonus olaraq gələcəkdə kompüterinizi necə qorumaq lazım olduğunu söyləyəcəyəm. -Qanuni görünür.
II. Başlanır
İlk növbədə, göndərilən nümunənin strukturuna baxdıq. Qəribədir ki, o, ransomware tərəfindən zədələnmiş fayla bənzəmirdi. Hex redaktoru açın və baxın. İlk 4 bayt orijinal fayl ölçüsünü ehtiva edir, sonrakı 60 bayt sıfırlarla doldurulur. Amma ən maraqlısı sondadır:
düyü. 2 Zədələnmiş faylı təhlil edin. Dərhal gözünüzü nə cəlb edir?
Hər şey təhqiredici dərəcədə sadə oldu: başlıqdan 0x40 bayt faylın sonuna köçürüldü. Məlumatları bərpa etmək üçün sadəcə onu əvvəlinə qaytarın. Fayla giriş bərpa edildi, lakin ad şifrəli olaraq qalır və onunla hər şey daha mürəkkəbdir.
düyü. 3. Base64-də şifrələnmiş ad ardıcıl olmayan simvollar toplusuna bənzəyir.
Gəlin təhlil etməyə çalışaq pass.key, istifadəçi tərəfindən təqdim olunur. Orada ASCII-də 162 baytlıq simvol ardıcıllığını görürük.
düyü. 4. Qurbanın kompüterində 162 simvol qalıb.
Diqqətlə baxsanız, simvolların müəyyən fasilələrlə təkrarlandığını görə bilərsiniz. Bu, təkrarların xas olduğu, tezliyi açarın uzunluğundan asılı olan XOR istifadəsini göstərə bilər. Sətri 6 simvola böldükdən və XOR ardıcıllığının bəzi variantları ilə XOR-dan sonra heç bir mənalı nəticə əldə etmədik.
düyü. 5. Ortada təkrarlanan sabitlərə baxın?
Sabitləri google-da axtarmağa qərar verdik, çünki bəli, bu da mümkündür! Və onların hamısı nəticədə bir alqoritmə gətirib çıxardı - Batch Encryption. Ssenari öyrənildikdən sonra məlum oldu ki, bizim simimiz onun işinin nəticəsindən başqa bir şey deyil. Qeyd etmək lazımdır ki, bu, ümumiyyətlə şifrə deyil, sadəcə simvolları 6 baytlıq ardıcıllıqla əvəz edən kodlayıcıdır. Sizin üçün heç bir açar və ya başqa sirr yoxdur 🙁
düyü. 6. Müəllifliyi bilinməyən orijinal alqoritmin bir parçası.
Bir detal olmasaydı, alqoritm lazım olduğu kimi işləməyəcək:
düyü. 7. Morfey təsdiq etdi.
Arxa əvəzetmədən istifadə edərək, simi ondan çeviririk pass.key 27 simvoldan ibarət mətnə çevrilir. Xüsusi diqqətəlayiq məqam (çox güman ki) insan mətni “asmodat”dır.
Şəkil 8. USGFG=7.
Google bizə yenidən kömək edəcək. Bir az axtarışdan sonra biz GitHub-da .Net-də yazılmış və başqa Gita hesabından 'asmodat' kitabxanasından istifadə edən maraqlı bir layihə tapırıq - Qovluq Kilidi.
düyü. 9.Folder Locker interfeysi. Zərər olub olmadığını yoxlamağa əmin olun.
Utilit Windows 7 və daha yüksək versiyalar üçün açıq mənbə şifrələyicisidir. Şifrələmə sonradan şifrənin açılması üçün tələb olunan paroldan istifadə edir. Həm fərdi fayllarla, həm də bütün qovluqlarla işləməyə imkan verir.
Onun kitabxanası CBC rejimində Rijndael simmetrik şifrələmə alqoritmini istifadə edir. Maraqlıdır ki, blok ölçüsü AES standartından fərqli olaraq 256 bit seçilib. Sonuncuda ölçü 128 bitlə məhdudlaşır.
Açarımız PBKDF2 standartına uyğun olaraq yaradılıb. Bu halda, parol köməkçi proqrama daxil edilmiş sətirdən SHA-256-dır. Şifrə açma açarını yaratmaq üçün yalnız bu sətri tapmaq qalır.
Bəli, artıq deşifrəmizə qayıt pass.key. Rəqəmlər silsiləsi və 'asmodat' mətni olan sətri xatırlayırsınız? Biz sətirin ilk 20 baytını Qovluq Kilidi üçün parol kimi istifadə etməyə çalışırıq.
Baxın, işləyir! Kod sözü ortaya çıxdı və hər şey mükəmməl şəkildə deşifr edildi. Parolun simvollarına əsasən, bu, ASCII-də müəyyən bir sözün HEX təmsilidir. Kod sözünü mətn şəklində göstərməyə çalışaq. almaq 'kölgə qurdu'. Artıq likantropiya əlamətlərini hiss edirsiniz?
Təsirə məruz qalan faylın strukturuna bir daha nəzər salaq, indi şkafın necə işlədiyini bilirik:
- 02 00 00 00 – adın şifrələmə rejimi;
- 58 00 00 00 – base64-də şifrələnmiş və kodlaşdırılmış fayl adının uzunluğu;
- 40 00 00 00 köçürülmüş başlığın ölçüsüdür.
Şifrələnmiş adın özü və ötürülən başlıq müvafiq olaraq qırmızı və sarı rənglərlə vurğulanır.
düyü. 10. Şifrələnmiş ad qırmızı rənglə, köçürülmüş başlıq sarı rənglə vurğulanır.
İndi isə gəlin onaltılıq təmsildə şifrələnmiş və şifrəsi açılmış adları müqayisə edək.
Şifrədən çıxarılan məlumatların strukturu:
- 78 B9 B8 2E - kommunal tərəfindən yaradılmış zibil (4 bayt);
- 0С 00 00 00 – şifrəsi açılmış adın uzunluğu (12 bayt);
- sonra gəlir, əslində, fayl adı və istədiyiniz blok uzunluğu sıfırlar ilə padding.
düyü. 11. IMG_4114 daha yaxşı görünür.
III. Nəticələr və nəticə
Başlanğıca qayıdırıq. Wulfric.Ransomware müəllifinin nəyi rəhbər tutduğunu və hansı məqsədi güddüyünü bilmirik. Əlbəttə ki, adi bir istifadəçi üçün belə bir şifrələyicinin işinin nəticəsi böyük bir fəlakət kimi görünəcəkdir. Fayllar açılmır. Bütün adlar getdi. Adi şəkil əvəzinə - ekranda canavar. Bitkoinlər haqqında oxumağa məcbur oldular.
Düzdür, bu dəfə "dəhşətli kodlayıcı" adı altında təcavüzkarın hazır proqramlardan istifadə etdiyi və açarları birbaşa cinayət yerində qoyub getdiyi belə bir absurd və axmaq qəsb cəhdi gizlənirdi.
Yeri gəlmişkən, açarlar haqqında. Bunun necə yarandığını anlamağa kömək edə biləcək zərərli skriptimiz və ya troyanımız yox idi. pass.key – yoluxmuş kompüterdə faylın görünmə mexanizmi naməlum olaraq qalır. Amma yadımdadır, müəllif öz qeydində parolun unikallığını qeyd etmişdi. Beləliklə, şifrənin açılması üçün kod sözü kölgə canavar istifadəçi adı kimi unikaldır 🙂
Və hələ, kölgə canavar, niyə və niyə?
Mənbə: www.habr.com