De vegades, realment voleu mirar als ulls d'algun autor de virus i preguntar-vos: per què i per què? Podem respondre a la pregunta "com" nosaltres mateixos, però seria molt interessant esbrinar què estava pensant aquest o aquell creador de programari maliciós. Sobretot quan ens trobem amb aquestes "perles".
L'heroi de l'article d'avui és un exemple interessant de criptògraf. Aparentment, es va concebre com un altre "ransomware", però la seva implementació tècnica s'assembla més a la broma cruel d'algú. Avui parlarem d'aquesta implementació.
Malauradament, és gairebé impossible rastrejar el cicle de vida d'aquest codificador: hi ha poques estadístiques sobre ell, ja que, afortunadament, no s'ha generalitzat. Per tant, deixarem de banda l'origen, els mètodes d'infecció i altres referències. Parlem només del nostre cas de reunió amb Wulfric Ransomware i com vam ajudar l'usuari a desar els seus fitxers.
I. Com va començar tot
Les persones que han estat víctimes de ransomware solen contactar amb el nostre laboratori antivirus. Oferim assistència independentment dels productes antivirus que tinguin instal·lats. Aquesta vegada ens va contactar una persona els fitxers de la qual estaven afectats per un codificador desconegut.
Bona tarda Els fitxers es van xifrar en un emmagatzematge de fitxers (samba4) amb un inici de sessió sense contrasenya. Sospito que la infecció prové de l'ordinador de la meva filla (Windows 10 amb protecció estàndard de Windows Defender). L'ordinador de la filla no es va encendre després d'això. Els fitxers estan xifrats principalment .jpg i .cr2. Extensió de fitxer després del xifratge: .aef.
Vam rebre de l'usuari mostres de fitxers xifrats, una nota de rescat i un fitxer que probablement és la clau que l'autor del ransomware necessitava per desxifrar els fitxers.
Aquí teniu totes les nostres pistes:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- clau de pas (0K)
Fem una ullada a la nota. Quants bitcoins aquesta vegada?
Traducció:
Atenció, els vostres fitxers estan xifrats!
La contrasenya és única per al vostre ordinador.Pagueu la quantitat de 0.05 BTC a l'adreça de Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Després del pagament, envieu-me un correu electrònic adjuntant el fitxer pass.key a [protegit per correu electrònic] amb notificació de pagament.Després de la confirmació, us enviaré un desxifrador dels fitxers.
Podeu pagar bitcoins en línia de diferents maneres:
- pagament amb targeta bancària
Sobre Bitcoins:
Si teniu cap pregunta, si us plau, escriu-me a [protegit per correu electrònic]
Com a avantatge, us explicaré com es va piratejar el vostre ordinador i com protegir-lo en el futur.
Un llop pretensiós, dissenyat per mostrar a la víctima la gravetat de la situació. Tanmateix, podria haver estat pitjor.
Arròs. 1. -Com a bonus, t'explicaré com protegir el teu ordinador en el futur. -Sembla de fiar.
II. Comencem
En primer lloc, vam observar l'estructura de la mostra enviada. Curiosament, no semblava un fitxer que hagués estat danyat per ransomware. Obriu l'editor hexadecimal i feu una ullada. Els primers 4 bytes contenen la mida del fitxer original, els 60 bytes següents s'omplen de zeros. Però el més interessant és al final:
Arròs. 2 Analitzeu el fitxer danyat. Què et crida immediatament l'atenció?
Tot va resultar molestament senzill: 0x40 bytes de la capçalera es van traslladar al final del fitxer. Per restaurar les dades, simplement torneu-les al principi. S'ha restaurat l'accés al fitxer, però el nom continua encriptat i les coses es compliquen més.
Arròs. 3. El nom xifrat a Base64 sembla un conjunt de caràcters divagats.
Intentem esbrinar-ho clau de pas, enviat per l'usuari. Hi veiem una seqüència de 162 bytes de caràcters ASCII.
Arròs. 4. Queden 162 caràcters al PC de la víctima.
Si us fixeu bé, notareu que els símbols es repeteixen amb una freqüència determinada. Això pot indicar l'ús de XOR, que es caracteritza per repeticions, la freqüència de les quals depèn de la longitud de la tecla. Després d'haver dividit la cadena en 6 caràcters i XOR amb algunes variants de seqüències XOR, no vam aconseguir cap resultat significatiu.
Arròs. 5. Vegeu les constants que es repeteixen al mig?
Vam decidir buscar constants a Google, perquè sí, això també és possible! I, finalment, tots van conduir a un algorisme: el xifratge per lots. Després d'estudiar el guió, va quedar clar que la nostra línia no és més que el resultat del seu treball. Cal esmentar que no es tracta d'un encriptador en absolut, sinó només d'un codificador que substitueix caràcters per seqüències de 6 bytes. No hi ha claus ni altres secrets per a tu :)
Arròs. 6. Una peça de l'algorisme original d'autoria desconeguda.
L'algorisme no funcionaria com hauria de ser si no fos per un detall:
Arròs. 7. Morfeu aprovat.
Utilitzant la substitució inversa transformem la cadena de clau de pas en un text de 27 caràcters. El text humà (molt probable) 'asmodat' mereix una atenció especial.
Fig.8. USGFDG=7.
Google ens tornarà a ajudar. Després d'una mica de recerca, trobem un projecte interessant a GitHub - Folder Locker, escrit en .Net i utilitzant la biblioteca 'asmodat' d'un altre compte de Git.
Arròs. 9. Interfície Folder Locker. Assegureu-vos de comprovar si hi ha programari maliciós.
La utilitat és un xifrador per a Windows 7 i superior, que es distribueix com a codi obert. Durant el xifratge, s'utilitza una contrasenya, que és necessària per al desxifrat posterior. Permet treballar tant amb fitxers individuals com amb directoris sencers.
La seva biblioteca utilitza l'algorisme de xifratge simètric Rijndael en mode CBC. Cal destacar que la mida del bloc es va triar per ser de 256 bits, en contrast amb l'adoptat a l'estàndard AES. En aquest últim, la mida està limitada a 128 bits.
La nostra clau es genera segons l'estàndard PBKDF2. En aquest cas, la contrasenya és SHA-256 de la cadena introduïda a la utilitat. Només queda trobar aquesta cadena per generar la clau de desxifrat.
Bé, tornem al nostre ja descodificat clau de pas. Recordeu aquella línia amb un conjunt de números i el text "asmodat"? Intentem utilitzar els primers 20 bytes de la cadena com a contrasenya per a Folder Locker.
Mira, funciona! Va sorgir la paraula en codi i tot es va desxifrar perfectament. A jutjar pels caràcters de la contrasenya, és una representació HEX d'una paraula específica en ASCII. Intentem mostrar la paraula codi en forma de text. Obtenim 'llop ombra'. Ja sents els símptomes de la licantropia?
Fem una altra ullada a l'estructura del fitxer afectat, ara sabent com funciona l'armari:
- 02 00 00 00 – mode de xifratge de noms;
- 58 00 00 00: longitud del nom del fitxer xifrat i codificat en base64;
- 40 00 00 00: mida de la capçalera transferida.
El propi nom xifrat i la capçalera transferida es destaquen en vermell i groc, respectivament.
Arròs. 10. El nom xifrat es ressalta en vermell, la capçalera transferida es destaca en groc.
Ara comparem els noms xifrats i desxifrats en representació hexadecimal.
Estructura de les dades desxifrades:
- 78 B9 B8 2E – escombraries creades per la utilitat (4 bytes);
- 0С 00 00 00 – longitud del nom desxifrat (12 bytes);
- A continuació, ve el nom del fitxer real i el farciment amb zeros fins a la longitud de bloc requerida (encoixinat).
Arròs. 11. IMG_4114 es veu molt millor.
III. Conclusions i Conclusió
Tornar al principi. No sabem què va motivar l'autor de Wulfric.Ransomware i quin objectiu va perseguir. Per descomptat, per a l'usuari mitjà, el resultat del treball fins i tot d'aquest xifrador semblarà un gran desastre. Els fitxers no s'obren. Tots els noms han desaparegut. En lloc de la imatge habitual, hi ha un llop a la pantalla. Us obliguen a llegir sobre bitcoins.
És cert que aquesta vegada, sota l'aparença d'un "codificador terrible", s'amagava un intent d'extorsió tan ridícul i estúpid, on l'atacant utilitza programes ja preparats i deixa les claus just a l'escena del crim.
Per cert, sobre les claus. No teníem cap script o troià maliciós que ens pogués ajudar a entendre com va passar això. clau de pas – el mecanisme pel qual apareix el fitxer en un ordinador infectat segueix sent desconegut. Però, recordo, a la seva nota l'autor esmentava la singularitat de la contrasenya. Per tant, la paraula de codi per al desxifrat és tan única com el nom d'usuari shadow wolf és únic :)
I tanmateix, llop d'ombra, per què i per què?
Font: www.habr.com