Někdy se opravdu chcete podívat do očí nějakého viru a zeptat se: proč a proč? Na otázku „jak“ si můžeme odpovědět sami, ale bylo by velmi zajímavé zjistit, co si ten či onen tvůrce malwaru myslel. Zvlášť, když narazíme na takové „perly“.
Hrdina dnešního článku je zajímavým příkladem kryptografa. Zjevně byl koncipován jako další „ransomware“, ale jeho technická implementace vypadá spíše jako něčí krutý vtip. O této implementaci si dnes povíme.
Bohužel je téměř nemožné vysledovat životní cyklus tohoto kodéru - existuje o něm příliš málo statistik, protože se naštěstí nerozšířil. Vynecháme proto původ, způsoby infekce a další odkazy. Pojďme si jen promluvit o našem případu setkání s Wulfric Ransomware a jak jsme pomohli uživateli uložit jeho soubory.
I. Jak to všechno začalo
Lidé, kteří se stali obětí ransomwaru, často kontaktují naši antivirovou laboratoř. Poskytujeme pomoc bez ohledu na to, jaké antivirové produkty mají nainstalované. Tentokrát nás kontaktoval člověk, jehož soubory byly ovlivněny neznámým kodérem.
Dobré odpoledne Soubory byly šifrovány na úložišti souborů (samba4) s přihlášením bez hesla. Mám podezření, že infekce pochází z počítače mé dcery (Windows 10 se standardní ochranou Windows Defender). Počítač dcery poté nebyl zapnutý. Soubory jsou šifrovány hlavně .jpg a .cr2. Přípona souboru po zašifrování: .aef.
Od uživatelů jsme obdrželi vzorky zašifrovaných souborů, výkupné a soubor, který je pravděpodobně klíčem, který autor ransomwaru potřeboval k dešifrování souborů.
Zde jsou všechny naše indicie:
- 01c.aef (4481K)
- hacked.jpg (254 kB)
- hacked.txt (0 kB)
- 04c.aef (6540K)
- pass.key (0K)
Pojďme se podívat na poznámku. Kolik bitcoinů tentokrát?
Překlad:
Pozor, vaše soubory jsou šifrované!
Heslo je jedinečné pro váš počítač.Zaplaťte částku 0.05 BTC na bitcoinovou adresu: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Po zaplacení mi pošlete e-mail se souborem pass.key [chráněno e-mailem] s oznámením o platbě.Po potvrzení vám pošlu dešifrovací nástroj pro soubory.
Za bitcoiny můžete platit online různými způsoby:
- platba bankovní kartou
O bitcoinech:
Pokud máte nějaké dotazy, napište mi prosím na [chráněno e-mailem]
Jako bonus vám řeknu, jak byl váš počítač hacknut a jak jej v budoucnu chránit.
Nápaditý vlk, navržený tak, aby oběti ukázal vážnost situace. Mohlo to však být horší.
Rýže. 1. -Jako bonus vám řeknu, jak chránit váš počítač v budoucnu. -Vypadá to legitimně.
II. Začněme
Nejprve jsme se podívali na strukturu zaslaného vzorku. Kupodivu to nevypadalo jako soubor, který byl poškozen ransomwarem. Otevřete hexadecimální editor a podívejte se. První 4 bajty obsahují původní velikost souboru, dalších 60 bajtů je vyplněno nulami. Ale to nejzajímavější je na konci:
Rýže. 2 Analyzujte poškozený soubor. Co vám hned padne do oka?
Všechno se ukázalo být nepříjemně jednoduché: 0x40 bajtů z hlavičky bylo přesunuto na konec souboru. Chcete-li data obnovit, jednoduše je vraťte na začátek. Přístup k souboru byl obnoven, ale název zůstává zašifrovaný a věci se s ním komplikují.
Rýže. 3. Zašifrované jméno v Base64 vypadá jako nesourodá sada znaků.
Zkusme na to přijít pass.key, zadané uživatelem. V něm vidíme 162bajtovou sekvenci ASCII znaků.
Rýže. 4. Zbývá 162 znaků na PC oběti.
Když se podíváte pozorně, všimnete si, že se symboly opakují s určitou frekvencí. To může naznačovat použití XOR, který se vyznačuje opakováním, jehož frekvence závisí na délce klíče. Po rozdělení řetězce na 6 znaků a XORed s některými variantami XOR sekvencí jsme nedosáhli žádného smysluplného výsledku.
Rýže. 5. Vidíte opakující se konstanty uprostřed?
Rozhodli jsme se vygooglovat konstanty, protože ano, i to je možné! A všechny nakonec vedly k jednomu algoritmu – dávkovému šifrování. Po prostudování scénáře se ukázalo, že naše linie není nic jiného než výsledek její práce. Je třeba zmínit, že se vůbec nejedná o šifrovač, ale pouze o kodér, který nahrazuje znaky 6bajtovými sekvencemi. Žádné klíče ani jiná tajemství pro tebe :)
Rýže. 6. Část původního algoritmu neznámého autorství.
Algoritmus by nefungoval tak, jak by měl, nebýt jednoho detailu:
Rýže. 7. Morpheus schválen.
Pomocí zpětné substituce transformujeme řetězec z pass.key do textu o 27 znacích. Lidský (s největší pravděpodobností) text 'asmodat' si zaslouží zvláštní pozornost.
Obr.8. USGFDG=7.
Google nám opět pomůže. Po troše hledání najdeme na GitHubu zajímavý projekt - Folder Locker, napsaný v .Netu a využívající knihovnu 'asmodat' z jiného Git účtu.
Rýže. 9. Rozhraní Folder Locker. Nezapomeňte zkontrolovat malware.
Nástroj je šifrovací nástroj pro Windows 7 a vyšší, který je distribuován jako open source. Při šifrování se používá heslo, které je nutné pro následné dešifrování. Umožňuje pracovat jak s jednotlivými soubory, tak s celými adresáři.
Jeho knihovna používá Rijndaelův symetrický šifrovací algoritmus v režimu CBC. Je pozoruhodné, že velikost bloku byla zvolena na 256 bitů - na rozdíl od velikosti přijaté ve standardu AES. V druhém případě je velikost omezena na 128 bitů.
Náš klíč je generován podle standardu PBKDF2. V tomto případě je heslo SHA-256 z řetězce zadaného v obslužném programu. Zbývá pouze najít tento řetězec pro vygenerování dešifrovacího klíče.
No, vraťme se k našemu již dekódovanému pass.key. Pamatujete si ten řádek se sadou čísel a textem 'asmodat'? Zkusme použít prvních 20 bajtů řetězce jako heslo pro Folder Locker.
Podívej, funguje to! Objevilo se kódové slovo a vše bylo dokonale dešifrováno. Soudě podle znaků v hesle se jedná o HEX reprezentaci konkrétního slova v ASCII. Zkusme zobrazit kódové slovo v textové podobě. Dostaneme 'stínový vlk'. Pociťujete již příznaky lykantropie?
Podívejme se znovu na strukturu postiženého souboru a nyní víme, jak skříňka funguje:
- 02 00 00 00 – režim šifrování jména;
- 58 00 00 00 – délka názvu zašifrovaného a zakódovaného souboru base64;
- 40 00 00 00 – velikost přenášené hlavičky.
Samotné zašifrované jméno a přenesená hlavička jsou zvýrazněny červeně a žlutě.
Rýže. 10. Šifrované jméno je zvýrazněno červeně, přenášená hlavička je zvýrazněna žlutě.
Nyní porovnejme zašifrovaná a dešifrovaná jména v hexadecimálním vyjádření.
Struktura dešifrovaných dat:
- 78 B9 B8 2E – odpad vytvořený obslužným programem (4 bajty);
- 0С 00 00 00 – délka dešifrovaného jména (12 bajtů);
- Následuje vlastní název souboru a výplň nulami na požadovanou délku bloku (výplň).
Rýže. 11. IMG_4114 vypadá mnohem lépe.
III. Závěry a závěr
Zpět na začátek. Nevíme, co autora Wulfric.Ransomware motivovalo a jaký cíl sledoval. Samozřejmě, že pro běžného uživatele bude výsledek práce i takového šifrovače vypadat jako velká katastrofa. Soubory se neotevírají. Všechna jména jsou pryč. Místo obvyklého obrázku je na obrazovce vlk. Nutí vás číst o bitcoinech.
Pravda, tentokrát se pod rouškou „strašného kodéru“ skrýval takový směšný a hloupý pokus o vydírání, kdy útočník používá hotové programy a klíče nechává přímo na místě činu.
Mimochodem, o klíčích. Neměli jsme škodlivý skript ani trojského koně, který by nám pomohl pochopit, jak se to stalo. pass.key – mechanismus, kterým se soubor objeví na infikovaném počítači, zůstává neznámý. Ale pamatuji si, že autor ve své poznámce zmínil jedinečnost hesla. Takže kódové slovo pro dešifrování je stejně jedinečné, jako je jedinečné uživatelské jméno stínový vlk :)
A přesto, stínový vlku, proč a proč?
Zdroj: www.habr.com