Foje vi vere volas rigardi en la okulojn de iu virusverkisto kaj demandi: kial kaj kial? Ni mem povas respondi la demandon "kiel", sed estus tre interese ekscii, kion pensis tiu aŭ alia kreinto de malware. Precipe kiam ni renkontas tiajn "perlojn".
La heroo de la hodiaŭa artikolo estas interesa ekzemplo de kriptografo. Ĝi estis ŝajne konceptita kiel nur alia "elaĉetomono", sed ĝia teknika efektivigo aspektas pli kiel ies kruela ŝerco. Ni parolos pri ĉi tiu efektivigo hodiaŭ.
Bedaŭrinde, estas preskaŭ neeble spuri la vivociklon de ĉi tiu kodilo - estas tro malmultaj statistikoj pri ĝi, ĉar, feliĉe, ĝi ne disvastiĝis. Tial ni forlasos la originon, metodojn de infekto kaj aliajn referencojn. Ni nur parolu pri nia kazo de renkontiĝo kun Wulfric Ransomware kaj kiel ni helpis la uzanton konservi siajn dosierojn.
I. Kiel ĉio komenciĝis
Homoj, kiuj estis viktimoj de ransomware, ofte kontaktas nian kontraŭvirusan laboratorion. Ni provizas helpon sendepende de kiaj antivirusaj produktoj ili instalis. Ĉi-foje nin kontaktis persono, kies dosieroj estis tuŝitaj de nekonata kodilo.
Bonan posttagmezon Dosieroj estis ĉifritaj sur dosierstokado (samba4) kun senpasvorta ensaluto. Mi suspektas, ke la infekto venis de la komputilo de mia filino (Windows 10 kun norma protekto de Windows Defender). La komputilo de la filino ne estis ŝaltita post tio. La dosieroj estas ĉifritaj ĉefe .jpg kaj .cr2. Dosiera etendo post ĉifrado: .aef.
Ni ricevis de la uzanto specimenojn de ĉifritaj dosieroj, elaĉetomonon kaj dosieron, kiu verŝajne estas la ŝlosilo, kiun la aŭtoro de ransomware bezonis por deĉifri la dosierojn.
Jen ĉiuj niaj indikoj:
- 01c.aef (4481K)
- hakita.jpg (254K)
- hakita.txt (0K)
- 04c.aef (6540K)
- pasklavo (0K)
Ni rigardu la noton. Kiom da bitcoins ĉi-foje?
Tradukado:
Atentu, viaj dosieroj estas ĉifritaj!
La pasvorto estas unika por via komputilo.Pagu la kvanton de 0.05 BTC al la Bitcoin-adreso: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Post pago, sendu al mi retmesaĝon, aldonante la pass.key-dosieron al [retpoŝte protektita] kun sciigo pri pago.Post konfirmo, mi sendos al vi malĉifrilon por la dosieroj.
Vi povas pagi bitcoins interrete en malsamaj manieroj:
— pago per bankkarto
Pri Bitcoins:
Se vi havas demandojn, bonvolu skribi al mi ĉe [retpoŝte protektita]
Kiel gratifiko, mi rakontos al vi kiel via komputilo estis hakita kaj kiel protekti ĝin estonte.
Malmodesta lupo, dizajnita por montri al la viktimo la gravecon de la situacio. Tamen, ĝi povus esti pli malbona.
Rizo. 1. -Kiel gratifiko, mi rakontos al vi kiel protekti vian komputilon estonte. – Ŝajnas legitime.
II. Ni komencu
Antaŭ ĉio, ni rigardis la strukturon de la sendita specimeno. Sufiĉe strange, ĝi ne aspektis kiel dosiero, kiu estis difektita de ransomware. Malfermu la deksesuma redaktilon kaj rigardu. La unuaj 4 bajtoj enhavas la originalan dosiergrandecon, la sekvaj 60 bajtoj estas plenigitaj per nuloj. Sed la plej interesa afero estas ĉe la fino:
Rizo. 2 Analizu la difektitan dosieron. Kio tuj kaptas vian atenton?
Ĉio montriĝis ĝene simpla: 0x40 bajtoj de la kaplinio estis movitaj al la fino de la dosiero. Por restarigi datumojn, simple redonu ĝin al la komenco. Aliro al la dosiero estis restarigita, sed la nomo restas ĉifrita, kaj aferoj fariĝas pli komplikitaj kun ĝi.
Rizo. 3. La ĉifrita nomo en Base64 aspektas kiel divaga aro de signoj.
Ni provu eltrovi ĝin pasi.ŝlosilo, sendita de uzanto. En ĝi ni vidas 162-bajtan sekvencon de ASCII-signoj.
Rizo. 4. Restas 162 signoj sur la komputilo de la viktimo.
Se vi rigardas atente, vi rimarkos, ke la simboloj ripetiĝas kun certa ofteco. Ĉi tio povas indiki la uzon de XOR, kiu estas karakterizita per ripetoj, kies ofteco dependas de la ŝlosila longo. Dividinte la ŝnuron en 6 signojn kaj XORed kun iuj variantoj de XOR-sekvencoj, ni ne atingis ajnan signifan rezulton.
Rizo. 5. Vidu la ripetantajn konstantojn en la mezo?
Ni decidis guglo-konstantojn, ĉar jes, ankaŭ tio eblas! Kaj ili ĉiuj finfine kondukis al unu algoritmo - Batch Encryption. Studinte la skripton, evidentiĝis, ke nia linio estas nenio alia ol la rezulto de sia laboro. Menciindas, ke ĉi tio tute ne estas ĉifrilo, sed nur kodilo, kiu anstataŭigas signojn per 6-bajtaj sekvencoj. Neniuj ŝlosiloj aŭ aliaj sekretoj por vi :)
Rizo. 6. Peco de la originala algoritmo de nekonata aŭtoreco.
La algoritmo ne funkcius kiel ĝi devus se ne por unu detalo:
Rizo. 7. Morfeo aprobis.
Uzante inversan anstataŭigon ni transformas la ŝnuron de pasi.ŝlosilo en tekston de 27 signoj. La homa (plej verŝajne) teksto 'asmodat' meritas specialan atenton.
Fig.8. USGFDG=7.
Guglo helpos nin denove. Post iom da serĉado, ni trovas interesan projekton en GitHub - Folder Locker, skribitan en .Net kaj uzante la bibliotekon 'asmodat' el alia Git-konto.
Rizo. 9. Dosierujo Locker interfaco. Nepre kontrolu por malware.
La utileco estas ĉifrilo por Vindozo 7 kaj pli alta, kiu estas distribuita kiel malferma fonto. Dum ĉifrado, pasvorto estas uzata, kiu estas necesa por posta malĉifrado. Ebligas al vi labori kaj kun individuaj dosieroj kaj kun tutaj dosierujoj.
Ĝia biblioteko uzas la Rijndael-simetrian ĉifrad-algoritmon en CBC-reĝimo. Estas rimarkinde, ke la blokgrandeco estis elektita por esti 256 bitoj - kontraste al tio adoptita en la AES-normo. En ĉi-lasta, la grandeco estas limigita al 128 bitoj.
Nia ŝlosilo estas generita laŭ la normo PBKDF2. En ĉi tiu kazo, la pasvorto estas SHA-256 de la ĉeno enigita en la ilo. Restas nur trovi ĉi tiun ŝnuron por generi la deĉifradan ŝlosilon.
Nu, ni revenu al nia jam malkodita pasi.ŝlosilo. Ĉu vi memoras tiun linion kun aro da nombroj kaj la teksto 'asmodat'? Ni provu uzi la unuajn 20 bajtojn de la ĉeno kiel pasvorton por Folder Locker.
Rigardu, ĝi funkcias! La kodvorto aperis, kaj ĉio estis perfekte deĉifrita. Juĝante laŭ la signoj en la pasvorto, ĝi estas HEX-reprezento de specifa vorto en ASCII. Ni provu montri la kodvorton en tekstformo. Ni ricevas 'ombrolupo'. Jam sentas la simptomojn de likantropio?
Ni rigardu alian la strukturon de la tuŝita dosiero, nun sciante kiel funkcias la ŝranko:
- 02 00 00 00 - reĝimo de ĉifrado de nomoj;
- 58 00 00 00 - longeco de la ĉifrita kaj base64 kodita dosiernomo;
- 40 00 00 00 - grandeco de la transdonita kaplinio.
La ĉifrita nomo mem kaj la transdonita kaplinio estas emfazitaj en ruĝa kaj flava, respektive.
Rizo. 10. La ĉifrita nomo estas emfazita en ruĝa, la transdonita kaplinio estas emfazita flava.
Nun ni komparu la ĉifritajn kaj malĉifritajn nomojn en deksesuma reprezentado.
Strukturo de deĉifritaj datumoj:
- 78 B9 B8 2E – rubo kreita de la utileco (4 bajtoj);
- 0С 00 00 00 – longeco de la deĉifrita nomo (12 bajtoj);
- Poste venas la fakta dosiernomo kaj kompletigo kun nuloj al la bezonata bloklongo (plenigo).
Rizo. 11. IMG_4114 aspektas multe pli bone.
III. Konkludoj kaj Konkludo
Reen al la komenco. Ni ne scias, kio motivigis la aŭtoron de Wulfric.Ransomware kaj kian celon li persekutis. Kompreneble, por la averaĝa uzanto, la rezulto de la laboro de eĉ tia ĉifrilo ŝajnos kiel granda katastrofo. Dosieroj ne malfermiĝas. Ĉiuj nomoj malaperis. Anstataŭ la kutima bildo, estas lupo sur la ekrano. Ili devigas vin legi pri bitcoins.
Vere, ĉi-foje, sub la aspekto de "terura kodilo", estis kaŝita tia ridinda kaj stulta provo de eldevigo, kie la atakanto uzas pretajn programojn kaj lasas la ŝlosilojn ĝuste ĉe la krimloko.
Cetere, pri la ŝlosiloj. Ni ne havis malican skripton aŭ trojanon kiu povus helpi nin kompreni kiel tio okazis. pasi.ŝlosilo – la mekanismo per kiu la dosiero aperas sur infektita komputilo restas nekonata. Sed, mi memoras, en sia noto la aŭtoro menciis la unikecon de la pasvorto. Do, la kodvorto por deĉifrado estas tiel unika kiel la uzantnomo ombra lupo estas unika :)
Kaj tamen, ombrolupo, kial kaj kial?
fonto: www.habr.com