Ponekad samo poželite da pogledate u oči nekog pisca virusa i pitate: zašto i zašto? Na pitanje "kako" možemo odgovoriti i sami, ali bi bilo vrlo zanimljivo saznati o čemu razmišlja ovaj ili onaj kreator zlonamjernog softvera. Pogotovo kada naiđemo na takve “bisere”.
Junak današnjeg članka je zanimljiv primjer kriptografa. Očigledno je zamišljen kao samo još jedan "ransomware", ali njegova tehnička implementacija više liči na nečiju okrutnu šalu. Danas ćemo razgovarati o ovoj implementaciji.
Nažalost, gotovo je nemoguće pratiti životni ciklus ovog enkodera - premalo je statistike o njemu, jer, srećom, nije postao široko rasprostranjen. Stoga ćemo izostaviti porijeklo, metode zaraze i druge reference. Hajde da pričamo o našem slučaju sastanka sa Wulfric Ransomware i kako smo pomogli korisniku da sačuva svoje fajlove.
I. Kako je sve počelo
Ljudi koji su bili žrtve ransomwarea često kontaktiraju naš antivirusni laboratorij. Pružamo pomoć bez obzira na to koje antivirusne proizvode su instalirali. Ovaj put nas je kontaktirala osoba na čije fajlove je uticao nepoznati koder.
Dobar dan Fajlovi su šifrirani na skladištu datoteka (samba4) uz prijavu bez lozinke. Pretpostavljam da je infekcija došla sa kompjutera moje kćeri (Windows 10 sa standardnom zaštitom Windows Defender). Kćerkin kompjuter nakon toga nije bio uključen. Datoteke su šifrirane uglavnom .jpg i .cr2. Ekstenzija datoteke nakon šifriranja: .aef.
Dobili smo od korisnika uzorke šifriranih datoteka, napomenu o otkupnini i datoteku koja je vjerovatno ključ koji je autor ransomwarea trebao da dešifruje datoteke.
Evo svih naših tragova:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Hajde da pogledamo bilješku. Koliko bitcoina ovaj put?
Prevod:
Pažnja, vaši fajlovi su šifrirani!
Lozinka je jedinstvena za vaš računar.Uplatite iznos od 0.05 BTC na Bitcoin adresu: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Nakon uplate, pošaljite mi e-mail uz prilaganje pass.key fajla [email zaštićen] sa obavještenjem o uplati.Nakon potvrde, poslat ću vam dešifriranje datoteka.
Bitcoine možete platiti online na različite načine:
— plaćanje bankovnom karticom
O Bitcoinima:
Ako imate bilo kakvih pitanja, pišite mi na [email zaštićen]
Kao bonus, reći ću vam kako je vaš računar hakovan i kako ga zaštititi u budućnosti.
Pretenciozni vuk, dizajniran da žrtvi pokaže ozbiljnost situacije. Međutim, moglo je biti i gore.
Rice. 1. -Kao bonus, reći ću vam kako da zaštitite svoj računar u budućnosti. -Izgleda legitimno.
II. Hajde da počnemo
Prije svega, pogledali smo strukturu poslanog uzorka. Začudo, nije izgledalo kao datoteka koju je oštetio ransomware. Otvorite heksadecimalni uređivač i pogledajte. Prva 4 bajta sadrže originalnu veličinu datoteke, sljedećih 60 bajtova je popunjeno nulama. Ali najzanimljivije je na kraju:
Rice. 2 Analizirajte oštećeni fajl. Šta vam odmah upada u oči?
Ispostavilo se da je sve dosadno jednostavno: 0x40 bajtova iz zaglavlja premješteno je na kraj datoteke. Da biste vratili podatke, jednostavno ih vratite na početak. Pristup datoteci je vraćen, ali ime ostaje šifrirano i stvari se s njime sve više komplikuju.
Rice. 3. Šifrirano ime u Base64 izgleda kao zbrkani skup znakova.
Pokušajmo to shvatiti pass.key, poslao korisnik. U njemu vidimo niz od 162 bajta ASCII karaktera.
Rice. 4. 162 karaktera preostalo na žrtvinom računaru.
Ako pažljivo pogledate, primijetit ćete da se simboli ponavljaju s određenom frekvencijom. To može ukazivati na korištenje XOR-a, koje karakteriziraju ponavljanja, čija učestalost ovisi o dužini ključa. Nakon što smo string podijelili na 6 znakova i XOR spojili s nekim varijantama XOR sekvenci, nismo postigli nikakav značajan rezultat.
Rice. 5. Vidite konstante koje se ponavljaju u sredini?
Odlučili smo guglati konstante, jer da, i to je moguće! I svi su oni na kraju doveli do jednog algoritma - batch enkripcije. Nakon proučavanja scenarija, postalo je jasno da naša linija nije ništa drugo do rezultat njenog rada. Treba napomenuti da ovo uopće nije enkriptor, već samo enkoder koji zamjenjuje znakove sekvencama od 6 bajta. Nema ključeva ili drugih tajni za vas :)
Rice. 6. Dio originalnog algoritma nepoznatog autorstva.
Algoritam ne bi funkcionisao kako bi trebao da nema jednog detalja:
Rice. 7. Morpheus je odobrio.
Koristeći obrnutu zamjenu transformiramo niz iz pass.key u tekst od 27 karaktera. Ljudski (najvjerovatnije) tekst 'asmodat' zaslužuje posebnu pažnju.
Fig.8. USGFDG=7.
Google će nam ponovo pomoći. Nakon malo traženja, na GitHub-u nalazimo zanimljiv projekat - Folder Locker, napisan u .Net-u i koji koristi 'asmodat' biblioteku sa drugog Git naloga.
Rice. 9. Interfejs Folder Locker. Obavezno provjerite ima li zlonamjernog softvera.
Uslužni program je enkriptor za Windows 7 i novije verzije, koji se distribuira kao open source. Prilikom šifriranja koristi se lozinka koja je neophodna za naknadno dešifriranje. Omogućava vam rad i sa pojedinačnim datotekama i sa cijelim direktorijima.
Njegova biblioteka koristi Rijndael simetrični algoritam šifriranja u CBC modu. Važno je napomenuti da je veličina bloka odabrana na 256 bita - za razliku od one usvojene u AES standardu. U potonjem, veličina je ograničena na 128 bita.
Naš ključ je generiran prema PBKDF2 standardu. U ovom slučaju, lozinka je SHA-256 iz niza unesenog u uslužni program. Sve što ostaje je pronaći ovaj niz za generiranje ključa za dešifriranje.
Pa, vratimo se na naše već dekodirane pass.key. Sjećate li se tog reda sa skupom brojeva i tekstom 'asmodat'? Pokušajmo koristiti prvih 20 bajtova niza kao lozinku za Folder Locker.
Vidi, radi! Šifra se pojavila i sve je savršeno dešifrovano. Sudeći po znakovima u lozinki, to je HEX prikaz određene riječi u ASCII-u. Pokušajmo prikazati kodnu riječ u tekstualnom obliku. Dobijamo 'shadowwolf'. Već osjećate simptome likantropije?
Pogledajmo još jednom strukturu zahvaćene datoteke, sada znajući kako ormarić radi:
- 02 00 00 00 – način šifriranja imena;
- 58 00 00 00 – dužina šifrovanog i base64 kodiranog imena datoteke;
- 40 00 00 00 – veličina prenesenog zaglavlja.
Samo šifrirano ime i preneseno zaglavlje su istaknuti crvenom, odnosno žutom bojom.
Rice. 10. Šifrirano ime je istaknuto crvenom bojom, a preneseno zaglavlje je istaknuto žutom.
Sada uporedimo šifrovana i dešifrovana imena u heksadecimalnom prikazu.
Struktura dešifrovanih podataka:
- 78 B9 B8 2E – smeće koje je kreirao uslužni program (4 bajta);
- 0S 00 00 00 – dužina dešifrovanog imena (12 bajtova);
- Sljedeće dolazi stvarno ime datoteke i dopuna nulama do potrebne dužine bloka (padding).
Rice. 11. IMG_4114 izgleda mnogo bolje.
III. Zaključci i Zaključak
Povratak na početak. Ne znamo šta je motivisalo autora Wulfric.Ransomware-a i kojem je cilju težio. Naravno, za prosječnog korisnika, rezultat rada čak i takvog enkriptora će izgledati kao velika katastrofa. Fajlovi se ne otvaraju. Sva imena su nestala. Umjesto uobičajene slike, na ekranu je vuk. Prisiljavaju vas da čitate o bitcoinima.
Istina, ovaj put je pod maskom "strašnog kodera" bio sakriven tako smiješan i glup pokušaj iznude, gdje napadač koristi gotove programe i ostavlja ključeve na mjestu zločina.
Usput, o ključevima. Nismo imali zlonamjernu skriptu ili trojanac koji bi nam mogao pomoći da shvatimo kako se to dogodilo. pass.key – mehanizam kojim se datoteka pojavljuje na zaraženom računaru ostaje nepoznat. Ali, sjećam se, autor je u svojoj bilješci spomenuo jedinstvenost lozinke. Dakle, kodna riječ za dešifriranje je jedinstvena koliko je jedinstveno korisničko ime shadow wolf :)
Pa ipak, vuko senka, zašto i zašto?
izvor: www.habr.com