Manchmal möchte man einem Virenschreiber wirklich in die Augen schauen und fragen: Warum und warum? Wir können die Frage „wie“ selbst beantworten, aber es wäre sehr interessant herauszufinden, was sich dieser oder jener Malware-Ersteller gedacht hat. Vor allem, wenn wir auf solche „Perlen“ stoßen.
Der Held des heutigen Artikels ist ein interessantes Beispiel eines Kryptographen. Anscheinend war es nur als eine weitere „Ransomware“ konzipiert, aber seine technische Umsetzung sieht eher aus wie jemandes grausamer Scherz. Wir werden heute über diese Implementierung sprechen.
Leider ist es fast unmöglich, den Lebenszyklus dieses Encoders nachzuvollziehen – es gibt zu wenig Statistiken darüber, da er glücklicherweise keine Verbreitung gefunden hat. Daher verzichten wir auf die Herkunft, Infektionsmethoden und andere Hinweise. Lassen Sie uns einfach über unseren Fall des Treffens sprechen Wulfric-Ransomware und wie wir dem Benutzer beim Speichern seiner Dateien geholfen haben.
I. Wie alles begann
Menschen, die Opfer von Ransomware geworden sind, wenden sich häufig an unser Antivirenlabor. Wir bieten Unterstützung unabhängig davon, welche Antivirenprodukte installiert sind. Diesmal wurden wir von einer Person kontaktiert, deren Dateien von einem unbekannten Encoder betroffen waren.
Guten Tag! Dateien wurden auf einem Dateispeicher (Samba4) mit passwortlosem Login verschlüsselt. Ich vermute, dass die Infektion vom Computer meiner Tochter stammt (Windows 10 mit Standard-Windows Defender-Schutz). Der Computer der Tochter war danach nicht mehr eingeschaltet. Die Dateien sind hauptsächlich .jpg und .cr2 verschlüsselt. Dateierweiterung nach der Verschlüsselung: .aef.
Wir haben vom Benutzer Proben verschlüsselter Dateien, einen Lösegeldschein und eine Datei erhalten, bei der es sich wahrscheinlich um den Schlüssel handelt, den der Ransomware-Autor zum Entschlüsseln der Dateien benötigte.
Hier sind alle unsere Hinweise:
- 01c.aef (4481K)
- gehackt.jpg (254K)
- gehackt.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Werfen wir einen Blick auf die Notiz. Wie viele Bitcoins dieses Mal?
Übersetzung:
Achtung, Ihre Dateien sind verschlüsselt!
Das Passwort ist einzigartig für Ihren PC.Zahlen Sie den Betrag von 0.05 BTC an die Bitcoin-Adresse: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Senden Sie mir nach der Zahlung eine E-Mail mit der pass.key-Datei als Anhang [E-Mail geschützt] mit Zahlungsmitteilung.Nach der Bestätigung sende ich Ihnen einen Entschlüsseler für die Dateien.
Sie können Bitcoins online auf verschiedene Arten bezahlen:
— Zahlung per Bankkarte
Über Bitcoins:
Wenn Sie Fragen haben, schreiben Sie mir bitte an [E-Mail geschützt]
Als Bonus erzähle ich Ihnen, wie Ihr Computer gehackt wurde und wie Sie ihn in Zukunft schützen können.
Ein prätentiöser Wolf, der dem Opfer den Ernst der Lage verdeutlichen soll. Allerdings hätte es schlimmer kommen können.
Reis. 1. - Als Bonus erzähle ich Ihnen, wie Sie Ihren Computer in Zukunft schützen können. -Scheint legitim.
II. Lass uns anfangen
Zunächst haben wir uns den Aufbau der eingesandten Probe angeschaut. Seltsamerweise sah es nicht wie eine durch Ransomware beschädigte Datei aus. Öffnen Sie den Hexadezimaleditor und werfen Sie einen Blick darauf. Die ersten 4 Bytes enthalten die ursprüngliche Dateigröße, die nächsten 60 Bytes werden mit Nullen aufgefüllt. Aber das Interessanteste ist zum Schluss:
Reis. 2 Analysieren Sie die beschädigte Datei. Was fällt Ihnen sofort ins Auge?
Es stellte sich heraus, dass alles ärgerlich einfach war: 0x40 Bytes aus dem Header wurden an das Ende der Datei verschoben. Um Daten wiederherzustellen, bringen Sie sie einfach an den Anfang zurück. Der Zugriff auf die Datei wurde wiederhergestellt, der Name bleibt jedoch verschlüsselt und die Sache wird damit immer komplizierter.
Reis. 3. Der verschlüsselte Name in Base64 sieht aus wie ein weitläufiger Zeichensatz.
Versuchen wir es herauszufinden Passschlüssel, eingereicht vom Benutzer. Darin sehen wir eine 162-Byte-Folge von ASCII-Zeichen.
Reis. 4. 162 Zeichen verbleiben auf dem PC des Opfers.
Wenn Sie genau hinsehen, werden Sie feststellen, dass sich die Symbole mit einer bestimmten Häufigkeit wiederholen. Dies kann auf die Verwendung von XOR hinweisen, das durch Wiederholungen gekennzeichnet ist, deren Häufigkeit von der Schlüssellänge abhängt. Nachdem wir die Zeichenfolge in 6 Zeichen aufgeteilt und mit einigen Varianten von XOR-Sequenzen XOR-verknüpft haben, haben wir kein aussagekräftiges Ergebnis erzielt.
Reis. 5. Sehen Sie die sich wiederholenden Konstanten in der Mitte?
Wir haben uns entschieden, Konstanten zu googeln, denn ja, das ist auch möglich! Und sie alle führten letztlich zu einem einzigen Algorithmus – der Batch-Verschlüsselung. Nach dem Studium des Drehbuchs wurde klar, dass unsere Linie nichts anderes als das Ergebnis ihrer Arbeit ist. Es sollte erwähnt werden, dass es sich hierbei überhaupt nicht um einen Verschlüsseler handelt, sondern lediglich um einen Encoder, der Zeichen durch 6-Byte-Sequenzen ersetzt. Keine Schlüssel oder andere Geheimnisse für dich :)
Reis. 6. Ein Teil des ursprünglichen Algorithmus unbekannter Urheberschaft.
Ohne ein Detail würde der Algorithmus nicht so funktionieren, wie er sollte:
Reis. 7. Morpheus genehmigt.
Mithilfe der umgekehrten Substitution transformieren wir die Zeichenfolge von Passschlüssel in einen Text von 27 Zeichen umwandeln. Besondere Aufmerksamkeit verdient der (höchstwahrscheinlich) menschliche Text „asmodat“.
Abb.8. USGFDG=7.
Google wird uns wieder helfen. Nach ein wenig Suchen finden wir auf GitHub ein interessantes Projekt – Folder Locker, geschrieben in .Net und unter Verwendung der „asmodat“-Bibliothek eines anderen Git-Kontos.
Reis. 9. Folder Locker-Schnittstelle. Überprüfen Sie unbedingt, ob Malware vorhanden ist.
Das Dienstprogramm ist ein Verschlüsselungsprogramm für Windows 7 und höher, das als Open Source vertrieben wird. Bei der Verschlüsselung wird ein Passwort verwendet, das für die spätere Entschlüsselung notwendig ist. Ermöglicht das Arbeiten sowohl mit einzelnen Dateien als auch mit ganzen Verzeichnissen.
Seine Bibliothek verwendet den symmetrischen Rijndael-Verschlüsselungsalgorithmus im CBC-Modus. Bemerkenswert ist, dass die Blockgröße – im Gegensatz zum AES-Standard – mit 256 Bit gewählt wurde. Bei letzterem ist die Größe auf 128 Bit begrenzt.
Unser Schlüssel wird nach dem PBKDF2-Standard generiert. In diesem Fall lautet das Passwort SHA-256 aus der im Dienstprogramm eingegebenen Zeichenfolge. Es bleibt nur noch, diese Zeichenfolge zu finden, um den Entschlüsselungsschlüssel zu generieren.
Nun, kehren wir zu unserem bereits entschlüsselten Zustand zurück Passschlüssel. Erinnern Sie sich an die Zeile mit einer Reihe von Zahlen und dem Text „asmodat“? Versuchen wir, die ersten 20 Bytes der Zeichenfolge als Passwort für Folder Locker zu verwenden.
Schauen Sie, es funktioniert! Das Codewort wurde gefunden und alles wurde perfekt entschlüsselt. Den Zeichen im Passwort nach zu urteilen, handelt es sich um eine HEX-Darstellung eines bestimmten Wortes in ASCII. Versuchen wir, das Codewort in Textform anzuzeigen. Wir bekommen 'Schattenwolf'. Spüren Sie bereits die Symptome einer Lykanthropie?
Werfen wir noch einmal einen Blick auf die Struktur der betroffenen Datei und wissen nun, wie der Locker funktioniert:
- 02 00 00 00 – Namensverschlüsselungsmodus;
- 58 00 00 00 – Länge des verschlüsselten und Base64-kodierten Dateinamens;
- 40 00 00 00 – Größe des übertragenen Headers.
Der verschlüsselte Name selbst und der übertragene Header werden rot bzw. gelb hervorgehoben.
Reis. 10. Der verschlüsselte Name wird rot hervorgehoben, der übertragene Header wird gelb hervorgehoben.
Vergleichen wir nun die verschlüsselten und entschlüsselten Namen in hexadezimaler Darstellung.
Struktur der entschlüsselten Daten:
- 78 B9 B8 2E – vom Dienstprogramm erzeugter Müll (4 Bytes);
- 0С 00 00 00 – Länge des entschlüsselten Namens (12 Bytes);
- Als nächstes folgt der eigentliche Dateiname und das Auffüllen mit Nullen auf die erforderliche Blocklänge (Padding).
Reis. 11. IMG_4114 sieht viel besser aus.
III. Schlussfolgerungen und Schlussfolgerung
Zurück zum Anfang. Wir wissen nicht, was den Autor von Wulfric.Ransomware motivierte und welches Ziel er verfolgte. Natürlich wird das Ergebnis selbst eines solchen Verschlüsselers für den Durchschnittsbenutzer wie eine große Katastrophe erscheinen. Dateien werden nicht geöffnet. Alle Namen sind verschwunden. Anstelle des üblichen Bildes ist ein Wolf auf dem Bildschirm zu sehen. Sie zwingen Sie, etwas über Bitcoins zu lesen.
Allerdings wurde dieses Mal unter dem Deckmantel eines „schrecklichen Encoders“ ein so lächerlicher und dummer Erpressungsversuch versteckt, bei dem der Angreifer vorgefertigte Programme verwendet und die Schlüssel direkt am Tatort zurücklässt.
Übrigens, was die Schlüssel angeht. Wir hatten kein bösartiges Skript oder Trojaner, der uns helfen könnte zu verstehen, wie das passiert ist. Passschlüssel – Der Mechanismus, durch den die Datei auf einem infizierten PC erscheint, bleibt unbekannt. Aber ich erinnere mich, dass der Autor in seiner Notiz die Einzigartigkeit des Passworts erwähnte. Das Codewort für die Entschlüsselung ist also genauso einzigartig wie der Benutzername „Shadow Wolf“ einzigartig ist :)
Und doch, Schattenwolf, warum und warum?
Source: habr.com