Μερικές φορές θέλετε απλώς να κοιτάξετε στα μάτια κάποιου συγγραφέα ιού και να ρωτήσετε: γιατί και γιατί; Μπορούμε να απαντήσουμε μόνοι μας στην ερώτηση «πώς», αλλά θα ήταν πολύ ενδιαφέρον να μάθουμε τι σκεφτόταν αυτός ή εκείνος ο δημιουργός κακόβουλου λογισμικού. Ειδικά όταν συναντάμε τέτοια «μαργαριτάρια».
Ο ήρωας του σημερινού άρθρου είναι ένα ενδιαφέρον παράδειγμα κρυπτογράφου. Προφανώς είχε συλληφθεί ως απλώς ένα άλλο «ransomware», αλλά η τεχνική του εφαρμογή μοιάζει περισσότερο με το σκληρό αστείο κάποιου. Θα μιλήσουμε για αυτήν την εφαρμογή σήμερα.
Δυστυχώς, είναι σχεδόν αδύνατο να εντοπιστεί ο κύκλος ζωής αυτού του κωδικοποιητή - υπάρχουν πολύ λίγα στατιστικά στοιχεία για αυτόν, καθώς, ευτυχώς, δεν έχει γίνει ευρέως διαδεδομένο. Επομένως, θα παραλείψουμε την προέλευση, τις μεθόδους μόλυνσης και άλλες αναφορές. Ας μιλήσουμε μόνο για την περίπτωση της συνάντησής μας Wulfric Ransomware και πώς βοηθήσαμε τον χρήστη να αποθηκεύσει τα αρχεία του.
Ι. Πώς ξεκίνησαν όλα
Τα άτομα που έχουν πέσει θύματα ransomware επικοινωνούν συχνά με το εργαστήριο προστασίας από ιούς. Παρέχουμε βοήθεια ανεξάρτητα από τα προϊόντα προστασίας από ιούς που έχουν εγκαταστήσει. Αυτή τη φορά ήρθε σε επαφή μαζί μας ένα άτομο του οποίου τα αρχεία επηρεάστηκαν από έναν άγνωστο κωδικοποιητή.
Καλό απόγευμα Τα αρχεία κρυπτογραφήθηκαν σε χώρο αποθήκευσης αρχείων (samba4) με σύνδεση χωρίς κωδικό πρόσβασης. Υποψιάζομαι ότι η μόλυνση προήλθε από τον υπολογιστή της κόρης μου (Windows 10 με τυπική προστασία Windows Defender). Ο υπολογιστής της κόρης δεν άνοιξε μετά από αυτό. Τα αρχεία είναι κρυπτογραφημένα κυρίως .jpg και .cr2. Επέκταση αρχείου μετά την κρυπτογράφηση: .aef.
Λάβαμε από τον χρήστη δείγματα κρυπτογραφημένων αρχείων, μια σημείωση λύτρων και ένα αρχείο που είναι πιθανότατα το κλειδί που χρειαζόταν ο συγγραφέας του ransomware για την αποκρυπτογράφηση των αρχείων.
Εδώ είναι όλες οι ενδείξεις μας:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Ας ρίξουμε μια ματιά στο σημείωμα. Πόσα bitcoin αυτή τη φορά;
Μετάφραση:
Προσοχή, τα αρχεία σας είναι κρυπτογραφημένα!
Ο κωδικός πρόσβασης είναι μοναδικός για τον υπολογιστή σας.Πληρώστε το ποσό των 0.05 BTC στη διεύθυνση Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Μετά την πληρωμή, στείλτε μου ένα email επισυνάπτοντας το αρχείο pass.key στο [προστασία μέσω email] με ειδοποίηση πληρωμής.Μετά την επιβεβαίωση, θα σας στείλω έναν αποκρυπτογραφητή για τα αρχεία.
Μπορείτε να πληρώσετε για bitcoin online με διάφορους τρόπους:
— πληρωμή με τραπεζική κάρτα
Σχετικά με τα Bitcoin:
Εάν έχετε οποιεσδήποτε ερωτήσεις, παρακαλώ γράψτε μου στο [προστασία μέσω email]
Ως μπόνους, θα σας πω πώς παραβιάστηκε ο υπολογιστής σας και πώς να τον προστατεύσετε στο μέλλον.
Ένας επιτηδευμένος λύκος, σχεδιασμένος να δείχνει στο θύμα τη σοβαρότητα της κατάστασης. Ωστόσο, θα μπορούσε να ήταν χειρότερο.
Ρύζι. 1. -Ως μπόνους, θα σας πω πώς να προστατεύσετε τον υπολογιστή σας στο μέλλον. – Φαίνεται νόμιμο.
II. Ας αρχίσουμε
Πρώτα απ 'όλα, εξετάσαμε τη δομή του αποσταλμένου δείγματος. Παραδόξως, δεν έμοιαζε με αρχείο που είχε καταστραφεί από ransomware. Ανοίξτε το δεκαεξαδικό πρόγραμμα επεξεργασίας και ρίξτε μια ματιά. Τα πρώτα 4 byte περιέχουν το αρχικό μέγεθος αρχείου, τα επόμενα 60 byte είναι γεμάτα με μηδενικά. Το πιο ενδιαφέρον όμως είναι στο τέλος:
Ρύζι. 2 Αναλύστε το κατεστραμμένο αρχείο. Τι σου τραβάει αμέσως το μάτι;
Όλα αποδείχθηκαν ενοχλητικά απλά: 0x40 byte από την κεφαλίδα μετακινήθηκαν στο τέλος του αρχείου. Για να επαναφέρετε δεδομένα, απλώς επιστρέψτε τα στην αρχή. Η πρόσβαση στο αρχείο έχει αποκατασταθεί, αλλά το όνομα παραμένει κρυπτογραφημένο και τα πράγματα γίνονται πιο περίπλοκα με αυτό.
Ρύζι. 3. Το κρυπτογραφημένο όνομα στο Base64 μοιάζει με ένα περίπλοκο σύνολο χαρακτήρων.
Ας προσπαθήσουμε να το καταλάβουμε αντικλείδι, που υποβλήθηκε από τον χρήστη. Σε αυτό βλέπουμε μια ακολουθία 162 byte χαρακτήρων ASCII.
Ρύζι. 4. Απομένουν 162 χαρακτήρες στον υπολογιστή του θύματος.
Αν κοιτάξετε προσεκτικά, θα παρατηρήσετε ότι τα σύμβολα επαναλαμβάνονται με μια συγκεκριμένη συχνότητα. Αυτό μπορεί να υποδεικνύει τη χρήση XOR, η οποία χαρακτηρίζεται από επαναλήψεις, η συχνότητα των οποίων εξαρτάται από το μήκος του κλειδιού. Έχοντας χωρίσει τη συμβολοσειρά σε 6 χαρακτήρες και το XOR με ορισμένες παραλλαγές ακολουθιών XOR, δεν πετύχαμε κάποιο ουσιαστικό αποτέλεσμα.
Ρύζι. 5. Δείτε τις επαναλαμβανόμενες σταθερές στη μέση;
Αποφασίσαμε να αναζητήσουμε σταθερές στο google, γιατί ναι, είναι επίσης δυνατό! Και όλοι τελικά οδήγησαν σε έναν αλγόριθμο - την κρυπτογράφηση παρτίδας. Μετά τη μελέτη του σεναρίου, έγινε σαφές ότι η γραμμή μας δεν είναι τίποτα άλλο από το αποτέλεσμα της δουλειάς της. Θα πρέπει να αναφερθεί ότι δεν πρόκειται για κρυπτογραφητή, αλλά απλώς για έναν κωδικοποιητή που αντικαθιστά χαρακτήρες με ακολουθίες 6 byte. Δεν υπάρχουν κλειδιά ή άλλα μυστικά για εσάς :)
Ρύζι. 6. Ένα κομμάτι του αρχικού αλγορίθμου άγνωστης συγγραφής.
Ο αλγόριθμος δεν θα λειτουργούσε όπως θα έπρεπε αν δεν υπήρχε μια λεπτομέρεια:
Ρύζι. 7. Ο Μορφέας ενέκρινε.
Χρησιμοποιώντας αντίστροφη αντικατάσταση μετασχηματίζουμε τη συμβολοσειρά από αντικλείδι σε ένα κείμενο 27 χαρακτήρων. Το ανθρώπινο (πιθανότατα) κείμενο «asmodat» αξίζει ιδιαίτερης προσοχής.
Εικ.8. USGFDG=7.
Η Google θα μας βοηθήσει ξανά. Μετά από λίγο ψάξιμο, βρίσκουμε ένα ενδιαφέρον έργο στο GitHub - Folder Locker, γραμμένο σε .Net και χρησιμοποιώντας τη βιβλιοθήκη 'asmodat' από άλλο λογαριασμό Git.
Ρύζι. 9. Διασύνδεση θυρίδας φακέλων. Φροντίστε να ελέγξετε για κακόβουλο λογισμικό.
Το βοηθητικό πρόγραμμα είναι ένας κρυπτογραφητής για Windows 7 και νεότερες εκδόσεις, ο οποίος διανέμεται ως ανοιχτού κώδικα. Κατά την κρυπτογράφηση, χρησιμοποιείται ένας κωδικός πρόσβασης, ο οποίος είναι απαραίτητος για την επακόλουθη αποκρυπτογράφηση. Σας επιτρέπει να εργάζεστε τόσο με μεμονωμένα αρχεία όσο και με ολόκληρους καταλόγους.
Η βιβλιοθήκη του χρησιμοποιεί τον αλγόριθμο συμμετρικής κρυπτογράφησης Rijndael σε λειτουργία CBC. Αξίζει να σημειωθεί ότι το μέγεθος του μπλοκ επιλέχθηκε να είναι 256 bit - σε αντίθεση με αυτό που υιοθετείται στο πρότυπο AES. Στο τελευταίο, το μέγεθος περιορίζεται στα 128 bit.
Το κλειδί μας δημιουργείται σύμφωνα με το πρότυπο PBKDF2. Σε αυτήν την περίπτωση, ο κωδικός πρόσβασης είναι SHA-256 από τη συμβολοσειρά που έχει εισαχθεί στο βοηθητικό πρόγραμμα. Το μόνο που μένει είναι να βρείτε αυτή τη συμβολοσειρά για να δημιουργήσετε το κλειδί αποκρυπτογράφησης.
Λοιπόν, ας επιστρέψουμε στα ήδη αποκωδικοποιημένα μας αντικλείδι. Θυμάστε αυτή τη γραμμή με ένα σύνολο αριθμών και το κείμενο «asmodat»; Ας προσπαθήσουμε να χρησιμοποιήσουμε τα πρώτα 20 byte της συμβολοσειράς ως κωδικό πρόσβασης για το Folder Locker.
Κοίτα, λειτουργεί! Η κωδική λέξη εμφανίστηκε και όλα αποκρυπτογραφήθηκαν τέλεια. Κρίνοντας από τους χαρακτήρες του κωδικού πρόσβασης, είναι μια αναπαράσταση HEX μιας συγκεκριμένης λέξης στο ASCII. Ας προσπαθήσουμε να εμφανίσουμε την κωδική λέξη σε μορφή κειμένου. Παίρνουμε 'σκιώδης λύκος'. Νιώθετε ήδη τα συμπτώματα της λυκαντροπίας;
Ας ρίξουμε μια άλλη ματιά στη δομή του επηρεαζόμενου αρχείου, γνωρίζοντας τώρα πώς λειτουργεί το ντουλάπι:
- 02 00 00 00 – λειτουργία κρυπτογράφησης ονόματος.
- 58 00 00 00 – μήκος του κρυπτογραφημένου και κωδικοποιημένου ονόματος αρχείου base64.
- 40 00 00 00 – μέγεθος της μεταφερόμενης κεφαλίδας.
Το ίδιο το κρυπτογραφημένο όνομα και η μεταφερόμενη κεφαλίδα επισημαίνονται με κόκκινο και κίτρινο χρώμα, αντίστοιχα.
Ρύζι. 10. Το κρυπτογραφημένο όνομα επισημαίνεται με κόκκινο, η μεταφερόμενη κεφαλίδα επισημαίνεται με κίτρινο.
Τώρα ας συγκρίνουμε τα κρυπτογραφημένα και αποκρυπτογραφημένα ονόματα σε δεκαεξαδική αναπαράσταση.
Δομή αποκρυπτογραφημένων δεδομένων:
- 78 B9 B8 2E – σκουπίδια που δημιουργούνται από το βοηθητικό πρόγραμμα (4 byte).
- 0С 00 00 00 – μήκος του αποκρυπτογραφημένου ονόματος (12 byte).
- Στη συνέχεια ακολουθεί το πραγματικό όνομα του αρχείου και η συμπλήρωση με μηδενικά στο απαιτούμενο μήκος μπλοκ (επένδυση).
Ρύζι. 11. Το IMG_4114 φαίνεται πολύ καλύτερο.
III. Συμπεράσματα και Συμπέρασμα
Επιστροφή στην αρχή. Δεν γνωρίζουμε τι παρακίνησε τον συγγραφέα του Wulfric.Ransomware και ποιον στόχο επεδίωξε. Φυσικά, για τον μέσο χρήστη, το αποτέλεσμα της δουλειάς ακόμη και ενός τέτοιου κρυπτογραφητή θα φαίνεται μεγάλη καταστροφή. Τα αρχεία δεν ανοίγουν. Όλα τα ονόματα έχουν φύγει. Αντί για τη συνηθισμένη εικόνα, υπάρχει ένας λύκος στην οθόνη. Σας αναγκάζουν να διαβάσετε για τα bitcoin.
Είναι αλήθεια ότι αυτή τη φορά, υπό το πρόσχημα ενός "τρομερού κωδικοποιητή", κρύφτηκε μια τέτοια γελοία και ανόητη απόπειρα εκβιασμού, όπου ο εισβολέας χρησιμοποιεί έτοιμα προγράμματα και αφήνει τα κλειδιά ακριβώς στον τόπο του εγκλήματος.
Παρεμπιπτόντως, για τα κλειδιά. Δεν είχαμε κακόβουλο σενάριο ή Trojan που θα μπορούσε να μας βοηθήσει να καταλάβουμε πώς συνέβη αυτό. αντικλείδι – ο μηχανισμός με τον οποίο εμφανίζεται το αρχείο σε μολυσμένο υπολογιστή παραμένει άγνωστος. Όμως, θυμάμαι, στο σημείωμά του ο συγγραφέας ανέφερε τη μοναδικότητα του κωδικού πρόσβασης. Έτσι, η κωδική λέξη για την αποκρυπτογράφηση είναι τόσο μοναδική όσο μοναδικό είναι το όνομα χρήστη shadow wolf :)
Κι όμως, σκιά λύκος, γιατί και γιατί;
Πηγή: www.habr.com