Часам так хочацца зазірнуць якому-небудзь вірусастваральніку ў вочы і спытаць: навошта і чаму? З адказам на пытанне "як" мы справімся самі, а вось даведацца, чым думаў кіраваўся той ці іншы стваральнік шкоднаснага ПЗ, было б вельмі цікава. Тым больш, калі нам трапляюцца такія "жамчужыны".
Герой сённяшняга артыкула – цікавы асобнік шыфравальшчыка. Задумваўся ён, відаць, як чарговы «вымагальнік», але яго тэхнічная рэалізацыя больш падобная на чыйсьці злы жарт. Аб гэтай рэалізацыі сёння і пагаворым.
На жаль, прасачыць жыццёвы цыкл гэтага энкодэра практычна немагчыма - занадта ўжо мала статыстыкі па ім, бо распаўсюджвання ён, на шчасце, не атрымаў. Таму пакінем за дужкамі паходжанне, метады заражэння і іншыя згадкі. Раскажам толькі аб нашым выпадку знаёмства з Wulfric Ransomware і пра тое, як мы дапамаглі карыстачу выратаваць яго файлы.
I. Як усё пачыналася
У нашу антывірусную лабараторыю часта звяртаюцца людзі, якія пацярпелі ад шыфравальшчыкаў. Мы аказваем дапамогу незалежна ад таго, якія антывірусныя прадукты ў іх устаноўлены. На гэты раз да нас звярнуўся чалавек, чые файлы аказаліся ўражаныя невядомым энкодэрам.
Добры дзень! Былі зашыфраваныя файлы на файлавым сховішчы (samba4) з беспарольным уваходам. Падазраю, што зараза пайшла з кампутара дачкі (Windows 10 са штатнай абаронай Windows Defender). Кампутар дачкі не ўключалі пасля гэтага. Файлы зашыфраваныя ў асноўным .jpg і .cr2. Пашырэнне файлаў пасля шыфравання: .aef.
Мы атрымалі ад карыстальніка ўзоры зашыфраваных файлаў, запіску аб выкупе і файл, які, верагодна, з'яўляецца ключом, неабходным аўтару шыфравальшчыка для расшыфроўкі файлаў.
Вось і ўсе нашы зачэпкі:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Давайце зірнем на цыдулку. Колькі біткоінаў на гэты раз?
Пераклад на беларускую:
Увага, вашыя файлы зашыфраваны!
пароль унікальны для вашага ПК.Заплаціце суму 0.05 BTC на біткоін-адрас: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Пасля аплаты дашліце мне ліст, прымацаваўшы файл pass.key на [электронная пошта абаронена] з апавяшчэннем аб аплаце.Пасля пацверджання я вышлю вам расшыфроўшчык для файлаў.
Вы можаце аплаціць біткоіны онлайн рознымі спосабамі:
- аплата банкаўскай картай
Аб біткоінах:
Калі ў вас ёсць нейкія пытанні, пішыце мне на [электронная пошта абаронена]
У якасці бонуса я раскажу, як узламаны ваш кампутар і як яго абараніць у будучыні.
Пафасны воўк, закліканы паказаць ахвяры сур'ёзнасць сітуацыі. Зрэшты, магло быць і горш.
Мал. 1. Як bonus, я б ні разу не разбіў свой кампутар у будучыні. -Seems legit.
II. Прыступаем да працы
Перш за ўсё мы зірнулі на структуру дасланага ўзору. Як ні дзіўна, ён не быў падобны на файл, які пацярпеў ад шыфравальшчыка. Адкрываем шаснаццатковы рэдактар і глядзім. У першых 4 байтах змяшчаецца арыгінальны памер файла, наступныя 60 байт запоўнены нулямі. Але самае цікавае знаходзіцца ў канцы:
Мал. 2 Аналізуем пашкоджаны файл. Што адразу кідаецца ў вочы?
Усё аказалася да крыўднага проста: 0х40 байт з загалоўка былі перанесены ў канец файла. Для аднаўлення дадзеных дастаткова проста вярнуць іх у пачатак. Доступ да файла адноўлены, але зашыфраваным засталася назва, і з ім усё складаней.
Мал. 3. Зашыфраваны назоў у Base64 выглядае як няскладны набор знакаў.
Паспрабуем разабраць pass.key, адпраўлены карыстальнікам. У ім мы бачым 162-байтную паслядоўнасць сімвалаў у ASCII.
Мал. 4. 162 сімвала, пакінутыя на ПК ахвяры.
Калі прыгледзецца, то можна заўважыць, што знакі паўтараюцца з вызначанай перыядычнасцю. Гэта можа сведчыць аб выкарыстанні XOR, дзе ўласцівыя паўторы, частата якіх залежыць ад даўжыні ключа. Разбіўшы радок па 6 сімвалаў і праXORіў некаторымі варыянтамі XOR-паслядоўнасцяў, які-небудзь асэнсаванага выніку мы не дамагліся.
Мал. 5. Бачыце канстанты, якія паўтараюцца ў сярэдзіне?
Вырашылі трошкі канстанты, таму што так, так таксама можна! І ўсе яны ў выніку прывялі да аднаго алгарытму – Batch Encryption. Пасля вывучэння скрыпту стала зразумела, што наш радок - гэта не што іншае, як вынік яго працы. Варта згадаць, што гэта зусім не шыфравальшчык, а ўсяго толькі кадавальнік, які замяняе знакі на 6-байтныя паслядоўнасці. Ніякіх табе ключоў ці іншых сакрэтаў 🙁
Мал. 6. Кавалак арыгінальнага алгарытму невядомага аўтарства.
Алгарытм не працаваў бы як трэба, калі б не адна дэталь:
Мал. 7. Morpheus approved.
З дапамогай зваротнай падстаноўкі ператвараем радок з pass.key у тэкст з 27 сімвалаў. Адмысловай увагі заслугоўвае чалавечы (хутчэй за ўсё) тэкст 'asmodat'.
Мал.8. USGFDG=7.
Нам зноў дапаможа Google. Пасля невялікага пошуку знаходзім цікавы праект на GitHub – Folder Locker, напісаны на .Net і які выкарыстоўвае бібліятэку 'asmodat' з іншага акаўнта на "Гіце".
Мал. 9. Інтэрфейс Folder Locker. Абавязкова праверылі на шкоднаснасць.
Утыліта ўяўляе сабой шыфратар для Windows 7 і вышэй, які распаўсюджваецца з адчыненым зыходным кодам. Пры шыфроўцы выкарыстоўваецца пароль, неабходны для наступнай дэшыфроўкі. Дазваляе працаваць як з асобнымі файламі, так і з цэлымі дырэкторыямі.
Яе бібліятэка выкарыстоўвае сіметрычны алгарытм шыфравання Rijndael у рэжыме CBC. Характэрна, што памер блока быў абраны роўным 256 біт у адрозненне ад прынятага ў стандарце AES. У апошнім памер абмяжоўваецца 128 бітамі.
Наш ключ фармуецца па стандарце PBKDF2. Пры гэтым паролем выступае SHA-256 ад уведзенага ва ўтыліце радка. Застаецца толькі знайсці гэты радок, каб сфарміраваць ключ дэшыфроўкі.
Што ж, вернемся да нашага ўжо раскадаванага pass.key. Памятаеце той радок з наборам лічбаў і тэкстам "asmodat"? Спрабуем выкарыстоўваць першыя 20 байт радка ў якасці пароля для Folder Locker.
Глядзі, працуе! Кодавае слова падышло, і ўсё выдатна расшыфравалася. Мяркуючы па сімвалах пароля - гэта HEX-прадстаўленне пэўнага слова ў ASCII. Паспрабуем адлюстраваць кодавае слова ў тэкставым выглядзе. Атрымліваем ‘shadowwolf’. Ужо адчуваеце сімптомы лікантрапіі?
Давайце яшчэ раз зірнем на структуру здзіўленага файла, зараз ужо ведаючы механізм працы локера:
- 02 00 00 00 - рэжым шыфравання імёнаў;
- 58 00 00 00 – даўжыня зашыфраванага і закадаванага ў base64 імя файла;
- 40 00 00 00 - памер перанесенага загалоўка.
Чырвоным і жоўтым выдзелены само зашыфраванае імя і перанесены загаловак адпаведна.
Мал. 10. Чырвоным выдзелена зашыфраванае імя, жоўтым - перанесены загаловак.
А зараз параўнаем зашыфраванае і расшыфраванае імёны ў шаснаццатковым паданні.
Структура расшыфраваных даных:
- 78 B9 B8 2E – смецце, створанае ўтылітай (4 байта);
- 0С 00 00 00 - даўжыня расшыфраванага імя (12 байт);
- далей ідзе, уласна, імя файла і дадатак нулямі да патрэбнай даўжыні блока (падынг).
Мал. 11. IMG_4114 выглядае куды лепш.
III. Высновы і заключэнне
Вяртаючыся да пачатку. Мы не ведаем, чым кіраваўся аўтар Wulfric.Ransomware і якую мэту ён пераследваў. Безумоўна, для радавога карыстальніка вынік працы нават такога шыфравальшчыка здасца вялікай бядой. Файлы не адчыняюцца. Усе назвы зніклі. Замест звыклай карцінкі - воўк на экране. Прымушаюць чытаць пра біткоіны.
Праўда, у гэты раз пад масай «страшнага энкодэра» хавалася такая вось недарэчная і бязглуздая спроба вымагальніцтва, дзе зламыснік выкарыстоўвае гатовыя праграмы і пакідае ключы прама на месцы злачынства.
Дарэчы, аб ключах. У нас не было шкоднаснага скрыпту або траяна, па якім можна было б зразумець, як узнік гэты pass.key - механізм з'яўлення файла на заражаным ПК застаецца невядомым. Але, памятаецца, у сваёй запісцы аўтар згадваў аб унікальнасці пароля. Дык вось, кодавае слова для расшыфроўкі настолькі ж унікальна, наколькі ўнікальным з'яўляецца юзэрнейм shadow wolf 🙂
І ўсё ж, ценявы воўк, навошта і чаму?
Крыніца: habr.com