A veces solo quieres mirar a los ojos a algún creador de virus y preguntar: ¿por qué y por qué? Podemos responder a la pregunta "cómo" nosotros mismos, pero sería muy interesante saber qué estaba pensando tal o cual creador de malware. Especialmente cuando nos topamos con este tipo de “perlas”.
El héroe del artículo de hoy es un ejemplo interesante de criptógrafo. Aparentemente fue concebido como un “ransomware” más, pero su implementación técnica parece más bien una broma cruel. Hablaremos de esta implementación hoy.
Desafortunadamente, es casi imposible rastrear el ciclo de vida de este codificador; hay muy pocas estadísticas al respecto, ya que, afortunadamente, no se ha generalizado. Por tanto, omitiremos el origen, métodos de infección y otras referencias. Hablemos simplemente de nuestro caso de reunión con Wulfric ransomware y cómo ayudamos al usuario a guardar sus archivos.
I. Cómo empezó todo
Las personas que han sido víctimas de ransomware suelen ponerse en contacto con nuestro laboratorio antivirus. Brindamos asistencia independientemente de los productos antivirus que tengan instalados. Esta vez nos contactó una persona cuyos archivos fueron afectados por un codificador desconocido.
Buenas tardes Los archivos se cifraron en un almacenamiento de archivos (samba4) con inicio de sesión sin contraseña. Sospecho que la infección provino de la computadora de mi hija (Windows 10 con protección estándar de Windows Defender). La computadora de la hija no se encendió después de eso. Los archivos están cifrados principalmente .jpg y .cr2. Extensión del archivo después del cifrado: .aef.
Recibimos del usuario muestras de archivos cifrados, una nota de rescate y un archivo que probablemente sea la clave que el autor del ransomware necesitaba para descifrar los archivos.
Aquí están todas nuestras pistas:
- 01c.aef (4481K)
- pirateado.jpg (254K)
- hackeado.txt (0K)
- 04c.aef (6540K)
- clave.de.contraseña (0K)
Echemos un vistazo a la nota. ¿Cuántos bitcoins esta vez?
Traducción:
¡Atención, tus archivos están cifrados!
La contraseña es única para su PC.Pague la cantidad de 0.05 BTC a la dirección de Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Después del pago, envíeme un correo electrónico adjuntando el archivo pass.key a [email protected] con notificación de pago.Después de la confirmación, le enviaré un descifrador de los archivos.
Puedes pagar bitcoins online de diferentes formas:
— pago con tarjeta bancaria
Acerca de Bitcoins:
Si tienes alguna pregunta, por favor escríbeme a [email protected]
Como beneficio adicional, te diré cómo piratearon tu computadora y cómo protegerla en el futuro.
Un lobo pretencioso, diseñado para mostrarle a la víctima la gravedad de la situación. Sin embargo, podría haber sido peor.
Arroz. 1. -Como beneficio adicional, te diré cómo proteger tu computadora en el futuro. -Parece legitimo.
II. Empecemos
En primer lugar, analizamos la estructura de la muestra enviada. Curiosamente, no parecía un archivo dañado por un ransomware. Abre el editor hexadecimal y echa un vistazo. Los primeros 4 bytes contienen el tamaño del archivo original, los siguientes 60 bytes están llenos de ceros. Pero lo más interesante está al final:
Arroz. 2 Analice el archivo dañado. ¿Qué te llama inmediatamente la atención?
Todo resultó ser irritantemente simple: 0x40 bytes del encabezado se movieron al final del archivo. Para restaurar datos, simplemente regréselo al principio. Se ha restablecido el acceso al archivo, pero el nombre permanece cifrado y las cosas se están volviendo más complicadas.
Arroz. 3. El nombre cifrado en Base64 parece un conjunto de caracteres confusos.
Intentemos resolverlo llave maestra, enviado por el usuario. En él vemos una secuencia de caracteres ASCII de 162 bytes.
Arroz. 4. Quedan 162 caracteres en la PC de la víctima.
Si miras de cerca, notarás que los símbolos se repiten con cierta frecuencia. Esto puede indicar el uso de XOR, que se caracteriza por repeticiones cuya frecuencia depende de la longitud de la clave. Después de dividir la cadena en 6 caracteres y aplicar XOR con algunas variantes de secuencias XOR, no logramos ningún resultado significativo.
Arroz. 5. ¿Ves las constantes que se repiten en el medio?
Decidimos buscar constantes en Google porque sí, ¡eso también es posible! Y, en última instancia, todos condujeron a un algoritmo: el cifrado por lotes. Después de estudiar el guión, quedó claro que nuestra línea no es más que el resultado de su trabajo. Cabe mencionar que este no es un cifrador en absoluto, sino simplemente un codificador que reemplaza caracteres con secuencias de 6 bytes. No hay claves ni otros secretos para ti :)
Arroz. 6. Una pieza del algoritmo original de autoría desconocida.
El algoritmo no funcionaría como debería si no fuera por un detalle:
Arroz. 7. Morfeo aprobó.
Usando sustitución inversa transformamos la cadena de llave maestra en un texto de 27 caracteres. El texto humano (muy probablemente) 'asmodat' merece especial atención.
Fig.8. USGFDG=7.
Google nos ayudará de nuevo. Después de buscar un poco, encontramos un proyecto interesante en GitHub: Folder Locker, escrito en .Net y utilizando la biblioteca 'asmodat' de otra cuenta de Git.
Arroz. 9. Interfaz de Carpeta Locker. Asegúrese de buscar malware.
La utilidad es un cifrador para Windows 7 y superior, que se distribuye como código abierto. Durante el cifrado se utiliza una contraseña, que es necesaria para el descifrado posterior. Le permite trabajar tanto con archivos individuales como con directorios completos.
Su biblioteca utiliza el algoritmo de cifrado simétrico Rijndael en modo CBC. Cabe destacar que se eligió un tamaño de bloque de 256 bits, a diferencia del estándar AES. En este último, el tamaño está limitado a 128 bits.
Nuestra clave se genera según el estándar PBKDF2. En este caso, la contraseña es SHA-256 de la cadena ingresada en la utilidad. Todo lo que queda es encontrar esta cadena para generar la clave de descifrado.
Bueno, volvamos a nuestro ya decodificado. llave maestra. ¿Recuerdas esa línea con un conjunto de números y el texto 'asmodat'? Intentemos utilizar los primeros 20 bytes de la cadena como contraseña para Folder Locker.
¡Mira, funciona! Surgió la palabra clave y todo se descifró perfectamente. A juzgar por los caracteres de la contraseña, es una representación HEX de una palabra específica en ASCII. Intentemos mostrar la palabra clave en forma de texto. Obtenemos 'Lobo de sombra'. ¿Ya sientes los síntomas de la licantropía?
Echemos otro vistazo a la estructura del archivo afectado, sabiendo ahora cómo funciona el casillero:
- 02 00 00 00 – modo de cifrado de nombre;
- 58 00 00 00 – longitud del nombre del archivo cifrado y codificado en base64;
- 40 00 00 00 – tamaño del encabezado transferido.
El nombre cifrado y el encabezado transferido se resaltan en rojo y amarillo, respectivamente.
Arroz. 10. El nombre cifrado está resaltado en rojo, el encabezado transferido está resaltado en amarillo.
Ahora comparemos los nombres cifrados y descifrados en representación hexadecimal.
Estructura de datos descifrados:
- 78 B9 B8 2E – basura creada por la utilidad (4 bytes);
- 0С 00 00 00 – longitud del nombre descifrado (12 bytes);
- Luego viene el nombre del archivo real y el relleno con ceros hasta la longitud de bloque requerida (relleno).
Arroz. 11. IMG_4114 luce mucho mejor.
III. Conclusiones y Conclusión
De regreso al principio. No sabemos qué motivó al autor de Wulfric.Ransomware y qué objetivo perseguía. Por supuesto, para el usuario medio, el resultado del trabajo de incluso un cifrador de este tipo parecerá un gran desastre. Los archivos no se abren. Todos los nombres han desaparecido. En lugar de la imagen habitual, en la pantalla aparece un lobo. Te obligan a leer sobre bitcoins.
Es cierto que esta vez, bajo la apariencia de un "codificador terrible", se ocultó un intento de extorsión tan ridículo y estúpido, en el que el atacante utiliza programas ya preparados y deja las llaves directamente en la escena del crimen.
Por cierto, sobre las llaves. No teníamos ningún script malicioso ni troyano que pudiera ayudarnos a comprender cómo sucedió esto. llave maestra – Se desconoce el mecanismo por el cual el archivo aparece en una PC infectada. Pero recuerdo que en su nota el autor mencionó la unicidad de la contraseña. Entonces, la palabra clave para el descifrado es tan única como lo es el nombre de usuario Shadow Wolf :)
Y sin embargo, lobo de las sombras, ¿por qué y por qué?
Fuente: habr.com