Usahay gusto nimo nga tan-awon ang mga mata sa pipila nga magsusulat sa virus ug mangutana: ngano ug ngano? Mahimo natong matubag ang pangutana nga "unsaon" sa atong kaugalingon, apan makapainteres kaayo nga mahibal-an kung unsa ang gihunahuna niini o kana nga tiglalang sa malware. Ilabi na kung makit-an naton ang ingon nga mga "perlas".
Ang bayani sa artikulo karon usa ka makapaikag nga pananglitan sa usa ka cryptographer. Kini dayag nga gipanamkon ingon nga usa lamang ka "ransomware", apan ang teknikal nga pagpatuman niini morag usa ka mapintas nga komedya sa usa ka tawo. Atong hisgutan kini nga pagpatuman karon.
Ikasubo, hapit imposible nga masubay ang siklo sa kinabuhi sa kini nga encoder - gamay ra ang mga estadistika niini, tungod kay, maayo na lang, wala kini kaylap. Busa, atong biyaan ang gigikanan, mga pamaagi sa impeksyon ug uban pang mga pakisayran. Ato na lang hisgotan ang kaso sa atong panagkita Wulfric Ransomware ug giunsa namo pagtabang ang user sa pagluwas sa iyang mga file.
I. Giunsa kini tanan
Ang mga tawo nga nabiktima sa ransomware kanunay nga mokontak sa among anti-virus nga laboratoryo. Naghatag kami tabang bisan unsa pa ang mga produkto nga antivirus nga ilang gi-install. Niining higayona gikontak kami sa usa ka tawo kansang mga file naapektuhan sa wala mailhi nga encoder.
Maayong hapon Ang mga file gi-encrypt sa file storage (samba4) nga walay password nga login. Nagduda ko nga ang impeksyon naggikan sa kompyuter sa akong anak nga babaye (Windows 10 nga adunay standard nga proteksyon sa Windows Defender). Ang kompyuter sa anak nga babaye wala ma-on human niadto. Ang mga file gi-encrypt nag-una .jpg ug .cr2. Ekstensiyon sa file pagkahuman sa pag-encrypt: .aef.
Nakadawat kami gikan sa mga sampol sa tiggamit sa mga naka-encrypt nga file, usa ka nota sa lukat, ug usa ka file nga lagmit ang yawe nga gikinahanglan sa tagsulat sa ransomware aron ma-decrypt ang mga file.
Ania ang tanan natong mga timailhan:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Atong tan-awon ang nota. Pila ka bitcoin karong panahona?
Paghubad:
Atensyon, ang imong mga file gi-encrypt!
Ang password talagsaon sa imong PC.Bayri ang kantidad nga 0.05 BTC sa adres sa Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Human sa pagbayad, ipadala kanako ang usa ka email, ilakip ang pass.key file sa [protektado sa email] uban ang pagpahibalo sa pagbayad.Pagkahuman sa pagkumpirma, padalhan ko ikaw usa ka decryptor alang sa mga file.
Makabayad ka sa mga bitcoin online sa lainlaing paagi:
- pagbayad pinaagi sa bank card
Mahitungod sa Bitcoins:
Kung naa kay pangutana, palihog pagsulat nako sa [protektado sa email]
Isip usa ka bonus, isulti ko kanimo kung giunsa ang pag-hack sa imong computer ug kung giunsa kini pagpanalipod sa umaabot.
Usa ka nagpakaaron-ingnon nga lobo, gidisenyo aron ipakita sa biktima ang kaseryoso sa sitwasyon. Apan, mahimong mas grabe pa.
bugas. 1. -Isip usa ka bonus, sultihan ko ikaw unsaon pagpanalipod sa imong kompyuter sa umaabot. -Murag legit.
II. Magsugod na ta
Una sa tanan, among gitan-aw ang istruktura sa gipadala nga sample. Katingad-an, dili kini sama sa usa ka file nga nadaot sa ransomware. Ablihi ang hexadecimal editor ug tan-awa. Ang una nga 4 ka byte adunay orihinal nga gidak-on sa file, ang sunod nga 60 ka byte napuno sa mga zero. Apan ang labing makapaikag nga butang mao ang sa katapusan:
bugas. 2 Analisaha ang nadaot nga file. Unsay nakadani dayon sa imong mata?
Ang tanan nahimo nga makalagot nga yano: 0x40 bytes gikan sa header gibalhin ngadto sa katapusan sa file. Aron mapasig-uli ang datos, ibalik lang kini sa sinugdanan. Ang pag-access sa file gipahiuli, apan ang ngalan nagpabilin nga naka-encrypt, ug ang mga butang labi ka komplikado niini.
bugas. 3. Ang naka-encrypt nga ngalan sa Base64 morag usa ka rambling set sa mga karakter.
Atong sulayan nga masabtan kini pass.key, gisumite sa tiggamit. Diha niini atong makita ang 162-byte nga han-ay sa mga karakter sa ASCII.
bugas. 4. 162 ka karakter ang nahabilin sa PC sa biktima.
Kung tan-awon nimo pag-ayo, imong mamatikdan nga ang mga simbolo gisubli sa usa ka piho nga frequency. Mahimong gipakita niini ang paggamit sa XOR, nga gihulagway sa mga pagbalik-balik, ang frequency niini nagdepende sa yawe nga gitas-on. Sa pagbahin sa string ngadto sa 6 ka mga karakter ug XORed uban sa pipila ka mga variant sa XOR sequence, kami wala makab-ot sa bisan unsa nga makahuluganon nga resulta.
bugas. 5. Tan-awa ang nagbalikbalik nga mga makanunayon sa tunga?
Nakahukom kami nga i-google ang mga kanunay, tungod kay oo, posible usab kana! Ug silang tanan sa katapusan misangpot sa usa ka algorithm - Batch Encryption. Human sa pagtuon sa script, nahimong tin-aw nga ang among linya mao ang resulta sa iyang trabaho. Kinahanglang hisgutan nga dili kini usa ka encryptor, apan usa lamang ka encoder nga nagpuli sa mga karakter nga adunay 6-byte nga mga han-ay. Walay yawe o uban pang sekreto para nimo :)
bugas. 6. Usa ka piraso sa orihinal nga algorithm sa wala mailhi nga awtor.
Ang algorithm dili molihok ingon nga kini kinahanglan kung dili alang sa usa ka detalye:
bugas. 7. Giaprobahan ni Morpheus.
Gamit ang reverse substitution atong usbon ang hilo gikan sa pass.key sa usa ka teksto nga 27 ka karakter. Ang tawo (lagmit) nga teksto nga 'asmodat' angay nga espesyal nga atensyon.
Fig.8. USGFDG=7.
Ang Google motabang kanato pag-usab. Human sa usa ka gamay nga pagpangita, nakakita kami usa ka makapaikag nga proyekto sa GitHub - Folder Locker, gisulat sa .Net ug gigamit ang librarya nga 'asmodat' gikan sa laing Git account.
bugas. 9. Folder Locker interface. Siguruha nga susihon kung adunay malware.
Ang utility usa ka encryptor alang sa Windows 7 ug mas taas, nga giapod-apod ingon bukas nga gigikanan. Atol sa pag-encrypt, usa ka password ang gigamit, nga gikinahanglan alang sa sunod nga pag-decryption. Gitugotan ka nga magtrabaho kauban ang indibidwal nga mga file ug sa tibuuk nga mga direktoryo.
Ang librarya niini naggamit sa Rijndael symmetric encryption algorithm sa CBC mode. Mamatikdan nga ang gidak-on sa block gipili nga 256 bits - sukwahi sa gisagop sa AES standard. Sa ulahi, ang gidak-on limitado sa 128 bits.
Ang among yawe gihimo sumala sa sumbanan sa PBKDF2. Sa kini nga kaso, ang password mao ang SHA-256 gikan sa string nga gisulod sa utility. Ang nahabilin mao ang pagpangita niini nga hilo aron makamugna ang yawe sa pag-decryption.
Aw, balik ta sa atong na-decode na pass.key. Hinumdumi kana nga linya nga adunay usa ka hugpong sa mga numero ug ang teksto nga 'asmodat'? Atong sulayan nga gamiton ang unang 20 ka bytes sa string isip password sa Folder Locker.
Tan-awa, kini molihok! Ang code nga pulong migawas, ug ang tanan nahubad sa hingpit. Paghukom sa mga karakter sa password, kini usa ka HEX nga representasyon sa usa ka piho nga pulong sa ASCII. Atong sulayan nga ipakita ang code nga pulong sa porma sa teksto. Atong makuha'shadowwolf'. Gibati na ang mga sintomas sa lycanthropy?
Atong tan-awon ang lain nga istruktura sa naapektuhan nga file, karon nahibal-an kung giunsa ang paglihok sa locker:
- 02 00 00 00 - mode sa pag-encrypt sa ngalan;
- 58 00 00 00 – gitas-on sa naka-encrypt ug base64 nga naka-encode nga ngalan sa file;
- 40 00 00 00 - gidak-on sa gibalhin nga header.
Ang naka-encrypt nga ngalan mismo ug ang gibalhin nga header gipasiugda sa pula ug dalag, matag usa.
bugas. 10. Ang naka-encrypt nga ngalan gi-highlight sa pula, ang gibalhin nga header gi-highlight sa yellow.
Karon atong itandi ang na-encrypt ug gi-decrypt nga mga ngalan sa hexadecimal nga representasyon.
Istruktura sa decrypted data:
- 78 B9 B8 2E – basura nga gihimo sa utility (4 bytes);
- 0С 00 00 00 – gitas-on sa decrypted nga ngalan (12 bytes);
- Sunod moabut ang aktwal nga ngalan sa file ug padding nga adunay mga sero sa gikinahanglan nga gitas-on sa block (padding).
bugas. 11. IMG_4114 mas nindot tan-awon.
III. Mga Konklusyon ug Konklusyon
Balik sa sinugdanan. Wala kami mahibal-an kung unsa ang nagdasig sa tagsulat sa Wulfric.Ransomware ug unsa nga katuyoan ang iyang gipadayon. Siyempre, alang sa kasagaran nga tiggamit, ang resulta sa trabaho bisan sa ingon nga usa ka encryptor ingon og usa ka dako nga katalagman. Ang mga file dili maablihan. Wala na ang tanang ngalan. Imbis sa naandan nga litrato, adunay usa ka lobo sa screen. Gipugos ka nila sa pagbasa bahin sa mga bitcoin.
Tinuod, niining panahona ubos sa pagtago sa usa ka "makalilisang nga encoder" adunay gitago nga usa ka kataw-anan ug binuang nga pagsulay sa pagpangilkil, diin ang tig-atake naggamit sa andam nga mga programa ug gibiyaan ang mga yawe diha mismo sa crime scene.
Pinaagi sa dalan, mahitungod sa mga yawe. Wala kami usa ka malisyoso nga script o Trojan nga makatabang kanamo nga masabtan kung giunsa kini nahitabo. pass.key – ang mekanismo diin ang file makita sa usa ka nataptan nga PC nagpabilin nga wala mailhi. Apan, nahinumdom ko, sa iyang nota ang tagsulat naghisgot sa pagkatalagsaon sa password. Busa, ang code nga pulong alang sa decryption kay talagsaon sama sa username shadow wolf kay talagsaon :)
Ug bisan pa, anino nga lobo, ngano ug ngano?
Source: www.habr.com