Certe volte vulete veramente fighjà in l'ochji di qualchì scrittore di virus è dumandate: perchè è perchè? Pudemu risponde à a quistione "cumu" noi stessi, ma saria assai interessante per sapè ciò chì pensava questu o quellu creatore di malware. In particulare quandu avemu incontratu tali "perle".
L'eroi di l'articulu d'oghje hè un esempiu interessante di un criptu. Hè statu apparentemente cuncipitu cum'è un altru "ransomware", ma a so implementazione tecnica s'assumiglia più à una burla crudele di qualcunu. Avemu da parlà di sta implementazione oghje.
Sfurtunatamente, hè quasi impussibile di traccia di u ciculu di vita di stu codificatore - ci sò troppu pocu statistiche nantu à questu, postu chì, per furtuna, ùn hè micca diventatu generalizatu. Dunque, lasceremu fora l'urigine, i metudi di infezzione è altre referenze. Parlemu solu di u nostru casu di riunione cù Wulfric Ransomware è cumu avemu aiutatu l'utilizatori à salvà i so schedari.
I. Cumu tuttu principia
E persone chì sò state vittime di ransomware spessu cuntattate u nostru laboratoriu antivirus. Fornemu assistenza indipendentemente da i prudutti antivirus chì anu stallatu. Sta volta ci sò stati cuntattati da una persona chì i schedari sò stati affettati da un codificatore scunnisciutu.
Bonghjornu I schedari sò stati criptati nantu à un archiviu di schedari (samba4) cù login senza password. Sospettate chì l'infezzione hè vinuta da l'urdinatore di a mo figliola (Windows 10 cù a prutezzione standard di Windows Defender). L'urdinatore di a figliola ùn hè micca attivatu dopu. I schedari sò criptati principalmente .jpg è .cr2. Estensione di u schedariu dopu a criptografia: .aef.
Avemu ricevutu da l'utilizatori campioni di fugliali criptati, una nota di riscattu, è un schedariu chì hè prubabilmente a chjave chì l'autore di ransomware avia bisognu per decifrare i schedari.
Eccu tutti i nostri indizi:
- 01c.aef (4481K)
- pirate.jpg (254K)
- pirate.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Fighjemu a nota. Quantu bitcoins sta volta?
Traduzione:
Attenzione, i vostri fugliali sò criptati!
A password hè unica per u vostru PC.Pagate a quantità di 0.05 BTC à l'indirizzu Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Dopu u pagamentu, mandami un email, attachendu u schedariu pass.key à [email prutettu] cù notificazione di pagamentu.Dopu a cunferma, vi manderaghju un decryptor per i schedari.
Pudete pagà per i bitcoins in linea in diverse manere:
- pagamentu per carta bancaria
À propositu di Bitcoins:
Sì avete qualchì quistione, per piacè scrivitemi à [email prutettu]
Cum'è un bonus, vi dicu cumu u vostru urdinatore hè statu piratatu è cumu a prutezzione in u futuru.
Un lupu pretenziosu, pensatu per mustrà à a vittima a gravità di a situazione. Tuttavia, puderia esse peghju.
Risu. 1. -Com'è un bonus, vi dicu cumu a prutezzione di u vostru urdinatore in u futuru. - Sembra legittimu.
II. Cuminciamu
Prima di tuttu, avemu vistu a struttura di a mostra mandata. Curiosamente, ùn pareva micca un schedariu chì era statu danatu da ransomware. Aprite l'editore esadecimale è fate un ochju. I primi 4 byte cuntenenu a dimensione di u schedariu originale, i prossimi 60 byte sò pieni di zeri. Ma u più interessante hè à a fine:
Risu. 2 Analizà u schedariu dannatu. Chì ti attira subitu l'ochju ?
Tuttu hè diventatu fastidiosu simplice: 0x40 bytes da l'intestazione sò stati spustati à a fine di u schedariu. Per restaurà i dati, basta à vultà à u principiu. L'accessu à u schedariu hè statu restauratu, ma u nome resta criptatu, è e cose sò diventate più complicate.
Risu. 3. U nome criptatu in Base64 s'assumiglia à un inseme rambling di caratteri.
Pruvemu di capisce pass.key, sottumessu da l'utilizatori. In questu vedemu una sequenza di 162 byte di caratteri ASCII.
Risu. 4. 162 caratteri lasciati in u PC di a vittima.
Sè vo circate attente, vi vede chì i simboli sò ripetuti cù una certa freccia. Questu pò indicà l'usu di XOR, chì hè carattarizatu da ripetizioni, a freccia di quale dipende da a lunghezza chjave. Dopu avè divisu a stringa in 6 caratteri è XORed cù alcune varianti di sequenze XOR, ùn avemu micca ottenutu alcun risultatu significativu.
Risu. 5. Vede i custanti ripetuti in u mezu ?
Avemu decisu di google custanti, perchè sì, hè ancu pussibule! È tutti in ultimamente anu purtatu à un algoritmu - Batch Encryption. Dopu avè studiatu u script, hè diventatu chjaru chì a nostra linea ùn hè più cà u risultatu di u so travagliu. Hè da esse citatu chì questu ùn hè micca un encryptor in tuttu, ma solu un codificatore chì rimpiazza i caratteri cù sequenze di 6 byte. Nisuna chjave o altri secreti per voi :)
Risu. 6. Un pezzu di l'algoritmu originale di l'autore scunnisciutu.
L'algoritmu ùn funziona micca cum'è duverebbe s'ellu ùn hè micca per un dettu:
Risu. 7. Morpheus appruvatu.
Utilizendu a sustituzione inversa trasfurmemu a stringa da pass.key in un testu di 27 caratteri. U testu umanu (probabilmente) "asmodat" meriteghja una attenzione particulari.
Fig.8. USGFDG = 7.
Google ci aiuterà di novu. Dopu un pocu di ricerca, truvamu un prughjettu interessante nantu à GitHub - Folder Locker, scrittu in .Net è utilizendu a libreria "asmodat" da un altru contu Git.
Risu. 9. Interfaccia Folder Locker. Assicuratevi di verificà per u malware.
L'utilità hè un encryptor per Windows 7 è più altu, chì hè distribuitu cum'è open source. Durante a criptografia, una password hè aduprata, chì hè necessariu per a decryption successiva. Permette di travaglià sia cù schedarii individuali sia cù cartulari interi.
A so biblioteca usa l'algoritmu di criptografia simmetrica Rijndael in modu CBC. Hè nutate chì a dimensione di u bloccu hè stata scelta per esse 256 bits - in cuntrastu à quellu aduttatu in u standard AES. In l'ultimi, a dimensione hè limitata à 128 bits.
A nostra chjave hè generata secondu u standard PBKDF2. In questu casu, a password hè SHA-256 da a stringa inserita in l'utilità. Tuttu ciò chì resta hè di truvà sta stringa per generà a chjave di decryption.
Ebbè, andemu à vultà à i nostri digià decodificati pass.key. Ricurdativi di quella linea cù un inseme di numeri è u testu "asmodat"? Pruvemu d'utilizà i primi 20 bytes di a stringa cum'è password per Folder Locker.
Fighjate, funziona! A parolla codice hè ghjunta, è tuttu hè statu decifratu perfettamente. A ghjudicà da i caratteri in a password, hè una rappresentazione HEX di una parolla specifica in ASCII. Pruvemu di vede a parolla di codice in forma di testu. avemu 'lupu d'ombra'. Sentu digià i sintomi di a licantropia?
Fighjemu un altru sguardu à a struttura di u schedariu affettatu, avà sapendu cumu funziona u locker:
- 02 00 00 00 - modu di criptografia di nome;
- 58 00 00 00 - lunghezza di u nome di u schedariu criptatu è codificatu in base64;
- 40 00 00 00 - dimensione di l'intestazione trasferita.
U nome criptatu stessu è l'intestazione trasferita sò evidenziati in rossu è giallu, rispettivamente.
Risu. 10. U nome criptatu hè evidenziatu in rossu, l'intestazione trasferita hè evidenziata in giallu.
Avà paragunemu i nomi criptati è decifrati in rapprisentazione esadecimale.
Struttura di dati decriptati:
- 78 B9 B8 2E - basura creata da l'utilità (4 bytes);
- 0С 00 00 00 - lunghezza di u nome decriptatu (12 bytes);
- Dopu vene u nome di u schedariu attuale è u padding cù zeri à a lunghezza di u bloccu necessariu (padding).
Risu. 11. IMG_4114 pare assai megliu.
III. Cunclusioni è cunclusioni
Torna à u principiu. Ùn sapemu micca ciò chì hà motivatu l'autore di Wulfric.Ransomware è quale scopu hà perseguitu. Di sicuru, per l'usu mediu, u risultatu di u travagliu ancu di un tali encryptor parerà un grande disastru. I schedari ùn si apre. Tutti i nomi sò andati. Invece di u solitu stampa, ci hè un lupu nantu à u screnu. Vi forzanu à leghje nantu à i bitcoins.
True, sta volta, sottu u guise di un "codificatore terribili", ci era oculatu un tentativu cusì ridiculu è stupidu d'estorsione, induve l'attaccante usa prugrammi pronti è lascia i chjavi ghjustu à a scena di u crimine.
A propositu di e chjave. Ùn avemu micca un script maliziusu o Trojan chì puderia aiutà à capisce cumu hè accadutu. pass.key - u mecanismu da quale u schedariu appare nantu à un PC infettatu resta scunnisciutu. Ma, mi ricordu, in a so nota l'autore hà mintuatu l'unicità di a password. Dunque, a parolla di codice per a decifrazione hè unica quant'è u nome d'utilizatore shadow wolf hè unicu :)
Eppuru, lupu d'ombra, perchè è perchè ?
Source: www.habr.com