Weithiau rydych chi eisiau edrych i mewn i lygaid rhywun sy'n ysgrifennu firws a gofyn: pam a pham? Gallwn ateb y cwestiwn “sut” ein hunain, ond byddai'n ddiddorol iawn darganfod beth oedd hwn neu'r crëwr malware hwnnw yn ei feddwl. Yn enwedig pan rydyn ni'n dod ar draws “perlau” o'r fath.
Mae arwr erthygl heddiw yn enghraifft ddiddorol o cryptograffydd. Mae'n debyg iddo gael ei ystyried yn “ransomware” arall, ond mae ei weithrediad technegol yn edrych yn debycach i jôc greulon rhywun. Byddwn yn siarad am y gweithrediad hwn heddiw.
Yn anffodus, mae bron yn amhosibl olrhain cylch bywyd yr amgodiwr hwn - nid oes digon o ystadegau arno, oherwydd, yn ffodus, nid yw wedi dod yn eang. Felly, byddwn yn gadael allan y tarddiad, dulliau haint a chyfeiriadau eraill. Gadewch i ni siarad am ein hachos cyfarfod â Wulfric Ransomware a sut y gwnaethom helpu'r defnyddiwr i gadw ei ffeiliau.
I. Pa fodd y dechreuodd y cwbl
Mae pobl sydd wedi dioddef o ransomware yn aml yn cysylltu â'n labordy gwrth-firws. Rydym yn darparu cymorth waeth pa gynhyrchion gwrthfeirws y maent wedi'u gosod. Y tro hwn, cysylltodd person yr effeithiwyd ar ei ffeiliau gan amgodiwr anhysbys â ni.
Prynhawn Da Cafodd ffeiliau eu hamgryptio ar storfa ffeiliau (samba4) gyda mewngofnodi heb gyfrinair. Rwy’n amau bod yr haint wedi dod o gyfrifiadur fy merch (Windows 10 gydag amddiffyniad safonol Windows Defender). Ni chafodd cyfrifiadur y ferch ei droi ymlaen ar ôl hynny. Mae'r ffeiliau wedi'u hamgryptio yn bennaf .jpg a .cr2. Estyniad ffeil ar ôl amgryptio: .aef.
Cawsom samplau gan y defnyddiwr o ffeiliau wedi'u hamgryptio, nodyn pridwerth, a ffeil sy'n debygol o fod yr allwedd yr oedd ei hangen ar yr awdur ransomware i ddadgryptio'r ffeiliau.
Dyma ein holl gliwiau:
- 01c.aef (4481K)
- hacio.jpg (254K)
- hacio.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Gadewch i ni edrych ar y nodyn. Faint o bitcoins y tro hwn?
Cyfieithu:
Sylwch, mae eich ffeiliau wedi'u hamgryptio!
Mae'r cyfrinair yn unigryw i'ch cyfrifiadur personol.Talu'r swm o 0.05 BTC i'r cyfeiriad Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Ar ôl talu, anfonwch e-bost ataf, gan atodi'r ffeil pass.key i [e-bost wedi'i warchod] gyda hysbysiad o daliad.Ar ôl cadarnhad, byddaf yn anfon dadgryptio atoch ar gyfer y ffeiliau.
Gallwch dalu am bitcoins ar-lein mewn gwahanol ffyrdd:
- talu â cherdyn banc
Ynglŷn â Bitcoins:
Os oes gennych unrhyw gwestiynau, ysgrifennwch ataf yn [e-bost wedi'i warchod]
Fel bonws, byddaf yn dweud wrthych sut y cafodd eich cyfrifiadur ei hacio a sut i'w ddiogelu yn y dyfodol.
Blaidd rhodresgar, wedi'i gynllunio i ddangos difrifoldeb y sefyllfa i'r dioddefwr. Fodd bynnag, gallai fod wedi bod yn waeth.
Reis. 1. -Fel bonws, byddaf yn dweud wrthych sut i amddiffyn eich cyfrifiadur yn y dyfodol. - Ymddangos yn gyfreithlon.
II. Gadewch i ni ddechrau
Yn gyntaf oll, edrychom ar strwythur y sampl a anfonwyd. Yn rhyfedd ddigon, nid oedd yn edrych fel ffeil a oedd wedi'i difrodi gan ransomware. Agorwch y golygydd hecsadegol ac edrychwch. Mae'r 4 beit cyntaf yn cynnwys maint y ffeil wreiddiol, mae'r 60 beit nesaf wedi'u llenwi â sero. Ond y peth mwyaf diddorol yw ar y diwedd:
Reis. 2 Dadansoddwch y ffeil sydd wedi'i difrodi. Beth sy'n dal eich llygad ar unwaith?
Trodd popeth yn annifyr o syml: symudwyd 0x40 beit o'r pennawd i ddiwedd y ffeil. Er mwyn adfer data, dychwelwch ef i'r dechrau. Mae mynediad i'r ffeil wedi'i adfer, ond mae'r enw yn parhau i fod wedi'i amgryptio, ac mae pethau'n mynd yn fwy cymhleth ag ef.
Reis. 3. Mae'r enw wedi'i amgryptio yn Base64 yn edrych fel set grwydro o nodau.
Gadewch i ni geisio ei chyfrifo pas.key, a gyflwynwyd gan ddefnyddiwr. Ynddo fe welwn ddilyniant 162-beit o nodau ASCII.
Reis. 4. 162 nod ar ôl ar gyfrifiadur personol y dioddefwr.
Os edrychwch yn ofalus, fe sylwch fod y symbolau'n cael eu hailadrodd gydag amledd penodol. Gall hyn ddangos y defnydd o XOR, sy'n cael ei nodweddu gan ailadroddiadau, y mae eu hamlder yn dibynnu ar hyd yr allwedd. Ar ôl rhannu'r llinyn yn 6 nod ac XORed â rhai amrywiadau o ddilyniannau XOR, ni wnaethom gyflawni unrhyw ganlyniad ystyrlon.
Reis. 5. Gweld y cysonion ailadroddus yn y canol?
Fe wnaethon ni benderfynu google cysonion, oherwydd ydy, mae hynny'n bosibl hefyd! Ac maent i gyd yn y pen draw yn arwain at un algorithm - Swp Encryption. Ar ôl astudio'r sgript, daeth yn amlwg nad yw ein llinell yn ddim mwy na chanlyniad ei waith. Dylid crybwyll nad amgryptio yw hwn o gwbl, ond dim ond amgodiwr sy'n disodli cymeriadau â dilyniannau 6-beit. Dim allweddi na chyfrinachau eraill i chi :)
Reis. 6. Darn o'r algorithm gwreiddiol o awduraeth anhysbys.
Ni fyddai'r algorithm yn gweithio fel y dylai oni bai am un manylyn:
Reis. 7. Morpheus cymmeradwy.
Gan ddefnyddio amnewidiad o chwith rydym yn trawsnewid y llinyn o pas.key mewn testun o 27 nod. Mae’r testun dynol (mwyaf tebygol) ‘asmodat’ yn haeddu sylw arbennig.
Ffig.8. USGFDG=7.
Bydd Google yn ein helpu eto. Ar ôl ychydig o chwilio, rydym yn dod o hyd i brosiect diddorol ar GitHub - Folder Locker, wedi'i ysgrifennu yn .Net ac yn defnyddio'r llyfrgell 'asmodat' o gyfrif Git arall.
Reis. 9. Ffolder Locker rhyngwyneb. Byddwch yn siwr i wirio am malware.
Mae'r cyfleustodau yn amgryptio ar gyfer Windows 7 ac uwch, sy'n cael ei ddosbarthu fel ffynhonnell agored. Yn ystod amgryptio, defnyddir cyfrinair, sy'n angenrheidiol ar gyfer dadgryptio dilynol. Yn eich galluogi i weithio gyda ffeiliau unigol a gyda chyfeiriaduron cyfan.
Mae ei lyfrgell yn defnyddio algorithm amgryptio cymesur Rijndael yn y modd CBS. Mae'n werth nodi bod maint y bloc wedi'i ddewis i fod yn 256 did - yn wahanol i'r hyn a fabwysiadwyd yn y safon AES. Yn yr olaf, mae'r maint wedi'i gyfyngu i 128 did.
Cynhyrchir ein allwedd yn unol â safon PBKDF2. Yn yr achos hwn, y cyfrinair yw SHA-256 o'r llinyn a gofnodwyd yn y cyfleustodau. Y cyfan sydd ar ôl yw dod o hyd i'r llinyn hwn i gynhyrchu'r allwedd dadgryptio.
Wel, gadewch i ni ddychwelyd at ein datgodio eisoes pas.key. Cofiwch y llinell honno gyda set o rifau a’r testun ‘asmodat’? Gadewch i ni geisio defnyddio 20 beit cyntaf y llinyn fel cyfrinair ar gyfer Folder Locker.
Edrychwch, mae'n gweithio! Daeth y gair cod i fyny, ac roedd popeth wedi'i ddehongli'n berffaith. A barnu yn ôl y nodau yn y cyfrinair, mae'n gynrychiolaeth HEX o air penodol yn ASCII. Gadewch i ni geisio arddangos y gair cod ar ffurf testun. Rydyn ni'n cael 'cysgodlys’. Eisoes yn teimlo symptomau lycanthropy?
Gadewch i ni edrych eto ar strwythur y ffeil yr effeithir arni, gan wybod nawr sut mae'r locer yn gweithio:
- 02 00 00 00 – modd amgryptio enw;
- 58 00 00 00 – hyd yr enw ffeil wedi'i amgryptio a base64 wedi'i amgodio;
- 40 00 00 00 – maint y pennawd a drosglwyddwyd.
Mae'r enw wedi'i amgryptio ei hun a'r pennawd a drosglwyddwyd wedi'u hamlygu mewn coch a melyn, yn y drefn honno.
Reis. 10. Mae'r enw wedi'i amgryptio wedi'i amlygu mewn coch, mae'r pennawd a drosglwyddwyd wedi'i amlygu mewn melyn.
Nawr, gadewch i ni gymharu'r enwau wedi'u hamgryptio a'u dadgryptio mewn cynrychiolaeth hecsadegol.
Strwythur data wedi'i ddadgryptio:
- 78 B9 B8 2E – sothach a grëwyd gan y cyfleustodau (4 beit);
- 0С 00 00 00 - hyd yr enw wedi'i ddadgryptio (12 beit);
- Nesaf daw'r enw ffeil gwirioneddol a'r padin gyda sero i'r hyd bloc gofynnol (padin).
Reis. 11. Mae IMG_4114 yn edrych yn llawer gwell.
III. Casgliadau a Diweddglo
Yn ôl i'r dechrau. Ni wyddom beth a ysgogodd awdur Wulfric.Ransomware a pha nod a ddilynodd. Wrth gwrs, i'r defnyddiwr cyffredin, bydd canlyniad gwaith hyd yn oed amgryptio o'r fath yn ymddangos fel trychineb mawr. Nid yw ffeiliau'n agor. Mae pob enw wedi mynd. Yn lle'r llun arferol, mae blaidd ar y sgrin. Maent yn eich gorfodi i ddarllen am bitcoins.
Yn wir, y tro hwn, dan gochl “amgodiwr ofnadwy,” cuddiwyd ymgais mor chwerthinllyd a dwp i gribddeiliaeth, lle mae'r ymosodwr yn defnyddio rhaglenni parod ac yn gadael yr allweddi yn union yn lleoliad y drosedd.
Gyda llaw, am yr allweddi. Nid oedd gennym sgript maleisus neu Trojan a allai ein helpu i ddeall sut y digwyddodd hyn. pas.key – mae'r mecanwaith y mae'r ffeil yn ymddangos ar gyfrifiadur personol heintiedig yn parhau i fod yn anhysbys. Ond, cofiaf, yn ei nodyn soniodd yr awdur am unigrywiaeth y cyfrinair. Felly, mae'r gair cod ar gyfer dadgryptio mor unigryw ag y mae'r enw defnyddiwr cysgodol blaidd yn unigryw :)
Ac eto, blaidd cysgodol, pam a pham?
Ffynhonnell: hab.com