Nogle gange vil du bare kigge ind i øjnene på en virusskribent og spørge: hvorfor og hvorfor? Vi kan selv svare på spørgsmålet "hvordan", men det ville være meget interessant at finde ud af, hvad denne eller hin malware-skaber tænkte. Især når vi støder på sådanne "perler".
Helten i dagens artikel er et interessant eksempel på en kryptograf. Det var tilsyneladende udtænkt som blot endnu en "ransomware", men dens tekniske implementering ligner mere en persons grusomme joke. Vi vil tale om denne implementering i dag.
Desværre er det næsten umuligt at spore livscyklussen for denne encoder - der er for få statistikker på den, da den heldigvis ikke er blevet udbredt. Derfor vil vi udelade oprindelsen, infektionsmetoder og andre referencer. Lad os lige tale om vores sag om møde med Wulfric Ransomware og hvordan vi hjalp brugeren med at gemme sine filer.
I. Hvordan det hele begyndte
Folk, der har været ofre for ransomware, kontakter ofte vores antiviruslaboratorium. Vi yder assistance uanset hvilke antivirusprodukter de har installeret. Denne gang blev vi kontaktet af en person, hvis filer var påvirket af en ukendt indkoder.
God eftermiddag Filer blev krypteret på et fillager (samba4) med login uden adgangskode. Jeg formoder, at infektionen kom fra min datters computer (Windows 10 med standard Windows Defender-beskyttelse). Datterens computer var ikke tændt derefter. Filerne krypteres hovedsageligt .jpg og .cr2. Filtypenavn efter kryptering: .aef.
Vi modtog fra brugeren prøver af krypterede filer, en løsesumseddel og en fil, der sandsynligvis er den nøgle, ransomware-forfatteren havde brug for for at dekryptere filerne.
Her er alle vores ledetråde:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Lad os tage et kig på noten. Hvor mange bitcoins denne gang?
Oversættelse:
Bemærk, dine filer er krypteret!
Adgangskoden er unik for din pc.Betal beløbet på 0.05 BTC til Bitcoin-adressen: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Efter betaling, send mig en e-mail, vedhæft filen pass.key til [e-mail beskyttet] med meddelelse om betaling.Efter bekræftelse sender jeg dig en dekryptering til filerne.
Du kan betale for bitcoins online på forskellige måder:
- betaling med bankkort
Om Bitcoins:
Hvis du har spørgsmål, så skriv til mig på [e-mail beskyttet]
Som en bonus vil jeg fortælle dig, hvordan din computer blev hacket, og hvordan du beskytter den i fremtiden.
En prætentiøs ulv, designet til at vise offeret alvoren af situationen. Det kunne dog have været værre.
Ris. 1. -Som en bonus vil jeg fortælle dig, hvordan du beskytter din computer i fremtiden. – Det virker lovligt.
II. Lad os komme igang
Først og fremmest så vi på strukturen af den sendte prøve. Mærkeligt nok lignede det ikke en fil, der var blevet beskadiget af ransomware. Åbn den hexadecimale editor og tag et kig. De første 4 bytes indeholder den originale filstørrelse, de næste 60 bytes er fyldt med nuller. Men det mest interessante er til sidst:
Ris. 2 Analyser den beskadigede fil. Hvad fanger dit øje med det samme?
Alt viste sig at være irriterende enkelt: 0x40 bytes fra headeren blev flyttet til slutningen af filen. For at gendanne data skal du blot returnere dem til begyndelsen. Adgangen til filen er blevet genoprettet, men navnet forbliver krypteret, og tingene bliver mere komplicerede med det.
Ris. 3. Det krypterede navn i Base64 ligner et vandresæt af tegn.
Lad os prøve at finde ud af det adgangsnøgle, indsendt af brugeren. I den ser vi en 162-byte sekvens af ASCII-tegn.
Ris. 4. 162 tegn tilbage på offerets pc.
Hvis du ser godt efter, vil du bemærke, at symbolerne gentages med en vis frekvens. Dette kan indikere brugen af XOR, som er karakteriseret ved gentagelser, hvis frekvens afhænger af nøglelængden. Efter at have opdelt strengen i 6 tegn og XORed med nogle varianter af XOR-sekvenser, opnåede vi ikke noget meningsfuldt resultat.
Ris. 5. Se de gentagne konstanter i midten?
Vi besluttede at google konstanter, for ja, det er også muligt! Og de førte alle i sidste ende til én algoritme - Batch Encryption. Efter at have studeret manuskriptet blev det klart, at vores linje ikke er andet end resultatet af dens arbejde. Det skal nævnes, at dette slet ikke er en kryptering, men blot en encoder, der erstatter tegn med 6-byte sekvenser. Ingen nøgler eller andre hemmeligheder for dig :)
Ris. 6. Et stykke af den originale algoritme af ukendt forfatterskab.
Algoritmen ville ikke fungere, som den burde, hvis ikke for en detalje:
Ris. 7. Morpheus godkendt.
Ved at bruge omvendt substitution transformerer vi strengen fra adgangsnøgle til en tekst på 27 tegn. Den menneskelige (mest sandsynlige) tekst 'asmodat' fortjener særlig opmærksomhed.
Fig. 8. USGFDG=7.
Google hjælper os igen. Efter lidt søgning finder vi et interessant projekt på GitHub - Folder Locker, skrevet i .Net og ved hjælp af 'asmodat'-biblioteket fra en anden Git-konto.
Ris. 9. Folder Locker-grænseflade. Sørg for at tjekke for malware.
Hjælpeprogrammet er en kryptering til Windows 7 og nyere, som distribueres som open source. Under kryptering anvendes en adgangskode, som er nødvendig for efterfølgende dekryptering. Giver dig mulighed for at arbejde både med individuelle filer og med hele mapper.
Dets bibliotek bruger Rijndael symmetrisk krypteringsalgoritme i CBC-tilstand. Det er bemærkelsesværdigt, at blokstørrelsen blev valgt til at være 256 bit - i modsætning til den, der er vedtaget i AES-standarden. I sidstnævnte er størrelsen begrænset til 128 bit.
Vores nøgle er genereret i henhold til PBKDF2-standarden. I dette tilfælde er adgangskoden SHA-256 fra den streng, der er indtastet i hjælpeprogrammet. Det eneste, der er tilbage, er at finde denne streng for at generere dekrypteringsnøglen.
Nå, lad os vende tilbage til vores allerede afkodede adgangsnøgle. Kan du huske den linje med et sæt tal og teksten 'asmodat'? Lad os prøve at bruge de første 20 bytes af strengen som en adgangskode til Folder Locker.
Se, det virker! Kodeordet kom frem, og alt blev dechifreret perfekt. At dømme efter tegnene i adgangskoden er det en HEX-repræsentation af et specifikt ord i ASCII. Lad os prøve at vise kodeordet i tekstform. Vi får 'skyggeulv'. Føler du allerede symptomerne på lycanthropy?
Lad os tage et nyt kig på strukturen af den berørte fil, nu ved, hvordan skabet fungerer:
- 02 00 00 00 – navnekrypteringstilstand;
- 58 00 00 00 – længden af det krypterede og base64-kodede filnavn;
- 40 00 00 00 – størrelsen af den overførte header.
Selve det krypterede navn og den overførte overskrift er fremhævet med henholdsvis rødt og gult.
Ris. 10. Det krypterede navn er fremhævet med rødt, den overførte overskrift er fremhævet med gult.
Lad os nu sammenligne de krypterede og dekrypterede navne i hexadecimal repræsentation.
Struktur af dekrypterede data:
- 78 B9 B8 2E – skrald skabt af værktøjet (4 bytes);
- 0С 00 00 00 – længden af det dekrypterede navn (12 bytes);
- Dernæst kommer det faktiske filnavn og udfyldning med nuller til den nødvendige bloklængde (udfyldning).
Ris. 11. IMG_4114 ser meget bedre ud.
III. Konklusioner og konklusion
Tilbage til begyndelsen. Vi ved ikke, hvad der motiverede forfatteren til Wulfric.Ransomware, og hvilket mål han forfulgte. For den gennemsnitlige bruger vil resultatet af arbejdet med selv en sådan kryptering selvfølgelig virke som en stor katastrofe. Filer åbnes ikke. Alle navne er væk. I stedet for det sædvanlige billede er der en ulv på skærmen. De tvinger dig til at læse om bitcoins.
Sandt nok, denne gang, under dække af en "forfærdelig indkoder", var der gemt et så latterligt og dumt forsøg på afpresning, hvor angriberen bruger færdige programmer og efterlader nøglerne lige på gerningsstedet.
Forresten om nøglerne. Vi havde ikke et ondsindet script eller trojaner, der kunne hjælpe os med at forstå, hvordan dette skete. adgangsnøgle – den mekanisme, hvorved filen vises på en inficeret pc, forbliver ukendt. Men jeg husker, at forfatteren i sin note nævnte adgangskodens unikke karakter. Så kodeordet for dekryptering er lige så unikt, som brugernavnet shadow wolf er unikt :)
Og dog, skyggeulv, hvorfor og hvorfor?
Kilde: www.habr.com