Понякога наистина искате да погледнете в очите на някой писател на вируси и да попитате: защо и защо? Можем сами да отговорим на въпроса „как“, но би било много интересно да разберем какво е мислил този или онзи създател на зловреден софтуер. Особено когато попаднем на подобни „бисери“.
Героят на днешната статия е интересен пример за криптограф. Очевидно е замислен като поредния „рансъмуер“, но техническата му реализация изглежда по-скоро като нечия жестока шега. Днес ще говорим за това изпълнение.
За съжаление е почти невъзможно да се проследи жизненият цикъл на този енкодер - има твърде малко статистически данни за него, тъй като, за щастие, той не е станал широко разпространен. Затова ще оставим произхода, методите на заразяване и други препратки. Нека просто да поговорим за нашия случай на среща с Wulfric рансъмуер и как помогнахме на потребителя да запази файловете си.
I. Как започна всичко
Хората, които са били жертви на ransomware, често се свързват с нашата антивирусна лаборатория. Предоставяме съдействие независимо какви антивирусни продукти са инсталирали. Този път с нас се свърза лице, чиито файлове бяха засегнати от неизвестен енкодер.
Добър ден Файловете бяха шифровани във файлово хранилище (samba4) с влизане без парола. Подозирам, че инфекцията е дошла от компютъра на дъщеря ми (Windows 10 със стандартна защита на Windows Defender). След това компютърът на дъщерята не беше включен. Файловете са криптирани предимно .jpg и .cr2. Разширение на файла след криптиране: .aef.
Получихме от потребителя образци на криптирани файлове, бележка за откуп и файл, който вероятно е ключът, от който авторът на рансъмуера се е нуждаел, за да дешифрира файловете.
Ето всички наши улики:
- 01c.aef (4481K)
- hacked.jpg (254K)
- хакнат.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Нека да разгледаме бележката. Колко биткойни този път?
превод:
Внимание, вашите файлове са криптирани!
Паролата е уникална за вашия компютър.Платете сумата от 0.05 BTC на биткойн адрес: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
След плащане изпратете ми имейл, като прикачите файла pass.key към [имейл защитен] с уведомление за плащане.След потвърждение ще ви изпратя дешифратор за файловете.
Можете да плащате биткойни онлайн по различни начини:
— плащане с банкова карта
Относно биткойните:
Ако имате въпроси, моля, пишете ми на [имейл защитен]
Като бонус ще ви кажа как компютърът ви е бил хакнат и как да го защитите в бъдеще.
Претенциозен вълк, предназначен да покаже на жертвата сериозността на ситуацията. Можеше обаче да бъде и по-лошо.
Ориз. 1. -Като бонус ще ви кажа как да защитите компютъра си в бъдеще. – Изглежда законно.
II. Да започваме
На първо място, разгледахме структурата на изпратената проба. Колкото и да е странно, не изглеждаше като файл, повреден от ransomware. Отворете шестнадесетичния редактор и погледнете. Първите 4 байта съдържат оригиналния размер на файла, следващите 60 байта са пълни с нули. Но най-интересното е накрая:
Ориз. 2 Анализирайте повредения файл. Какво веднага хваща окото ви?
Всичко се оказа досадно просто: 0x40 байта от заглавката бяха преместени в края на файла. За да възстановите данните, просто ги върнете в началото. Достъпът до файла е възстановен, но името остава криптирано и нещата с него стават по-сложни.
Ориз. 3. Шифрованото име в Base64 изглежда като разхвърлян набор от знаци.
Нека се опитаме да го разберем pass.key, изпратено от потребител. В него виждаме 162-байтова последователност от ASCII символи.
Ориз. 4. Остават 162 знака на компютъра на жертвата.
Ако се вгледате внимателно, ще забележите, че символите се повтарят с определена честота. Това може да показва използването на XOR, което се характеризира с повторения, чиято честота зависи от дължината на ключа. След като разделихме низа на 6 знака и използвахме XOR с някои варианти на XOR последователности, не постигнахме никакъв значим резултат.
Ориз. 5. Виждате ли повтарящите се константи в средата?
Решихме да търсим в Google константи, защото да, това също е възможно! И всички те в крайна сметка доведоха до един алгоритъм - Пакетно криптиране. След като проучихме сценария, стана ясно, че нашата линия не е нищо повече от резултат от нейната работа. Трябва да се отбележи, че това изобщо не е криптатор, а просто енкодер, който замества знаци с 6-байтови последователности. Без ключове или други тайни за вас :)
Ориз. 6. Част от оригиналния алгоритъм с неизвестен автор.
Алгоритъмът нямаше да работи както трябва, ако не беше една подробност:
Ориз. 7. Morpheus одобрен.
Използвайки обратно заместване, ние трансформираме низа от pass.key в текст от 27 знака. Човешкият (най-вероятно) текст 'asmodat' заслужава специално внимание.
Фиг.8. USGFDG=7.
Google отново ще ни помогне. След малко търсене намираме интересен проект в GitHub - Folder Locker, написан на .Net и използващ библиотеката 'asmodat' от друг Git акаунт.
Ориз. 9. Интерфейс на Folder Locker. Не забравяйте да проверите за зловреден софтуер.
Помощната програма е криптатор за Windows 7 и по-нова версия, който се разпространява като отворен код. По време на криптирането се използва парола, която е необходима за последващо декриптиране. Позволява ви да работите както с отделни файлове, така и с цели директории.
Неговата библиотека използва алгоритъма за симетрично криптиране Rijndael в режим CBC. Трябва да се отбележи, че размерът на блока е избран да бъде 256 бита - за разлика от възприетия в стандарта AES. В последния размерът е ограничен до 128 бита.
Нашият ключ се генерира според стандарта PBKDF2. В този случай паролата е SHA-256 от низа, въведен в помощната програма. Всичко, което остава, е да намерите този низ, за да генерирате ключа за дешифриране.
Е, нека се върнем към вече декодирания pass.key. Помните ли този ред с набор от числа и текста „asmodat“? Нека се опитаме да използваме първите 20 байта от низа като парола за Folder Locker.
Вижте, работи! Появи се кодовата дума и всичко беше дешифрирано перфектно. Съдейки по знаците в паролата, това е HEX представяне на конкретна дума в ASCII. Нека се опитаме да покажем кодовата дума в текстова форма. Получаваме 'shadowwolf'. Усещате ли вече симптомите на ликантропия?
Нека да погледнем отново структурата на засегнатия файл, като вече знаем как работи шкафчето:
- 02 00 00 00 – режим на кодиране на името;
- 58 00 00 00 – дължина на името на криптирания и base64 кодиран файл;
- 40 00 00 00 – размер на прехвърления хедър.
Самото шифровано име и прехвърлената заглавка са маркирани съответно в червено и жълто.
Ориз. 10. Шифрованото име е маркирано в червено, прехвърленият хедър е маркиран в жълто.
Сега нека сравним криптираните и декриптираните имена в шестнадесетично представяне.
Структура на дешифрирани данни:
- 78 B9 B8 2E – боклук, създаден от помощната програма (4 байта);
- 0С 00 00 00 – дължина на дешифрираното име (12 байта);
- Следва действителното име на файла и подложката с нули до необходимата дължина на блока (подложка).
Ориз. 11. IMG_4114 изглежда много по-добре.
III. Изводи и заключение
Обратно към началото. Не знаем какво е мотивирало автора на Wulfric.Ransomware и каква цел е преследвал. Разбира се, за обикновения потребител резултатът от работата дори на такъв криптатор ще изглежда като голяма катастрофа. Файловете не се отварят. Всички имена са изчезнали. Вместо обичайната картина, на екрана има вълк. Принуждават ви да четете за биткойни.
Вярно е, че този път под прикритието на „ужасен енкодер“ беше скрит такъв нелеп и глупав опит за изнудване, при който нападателят използва готови програми и оставя ключовете точно на местопрестъплението.
Между другото, за ключовете. Нямахме злонамерен скрипт или троянски кон, който да ни помогне да разберем как се е случило това. pass.key – остава неизвестен механизмът, по който файлът се появява на заразен компютър. Но, помня, в бележката си авторът спомена уникалността на паролата. И така, кодовата дума за дешифриране е толкова уникална, колкото е уникално потребителското име shadow wolf :)
И все пак, вълк сянка, защо и защо?
Източник: www.habr.com