Mõnikord tahaks tõesti mõnele viirusekirjutajale silma vaadata ja küsida: miks ja miks? Küsimusele “kuidas” saame ise vastata, aga väga huvitav oleks teada saada, mida see või teine pahavara looja mõtles. Eriti kui selliste “pärlitega” kokku puutume.
Tänase artikli kangelane on huvitav näide krüptograafist. Ilmselt loodi see lihtsalt järjekordse lunavarana, kuid selle tehniline teostus näeb pigem välja nagu kellegi julm nali. Räägime sellest rakendamisest täna.
Kahjuks on selle kodeerija elutsüklit peaaegu võimatu jälgida - selle kohta on liiga vähe statistikat, kuna õnneks pole see laialt levinud. Seetõttu jätame välja päritolu, nakatumisviisid ja muud viited. Räägime lihtsalt meie kohtumise juhtumist Wulfrici lunavara ja kuidas aitasime kasutajal tema faile salvestada.
I. Kuidas see kõik algas
Lunavara ohvriks langenud inimesed võtavad sageli ühendust meie viirusetõrjelaboriga. Pakume abi olenemata sellest, milliseid viirusetõrjetooteid nad on installinud. Seekord võttis meiega ühendust inimene, kelle faile mõjutas tundmatu kodeerija.
Tere päevast Failid krüpteeriti failimällu (samba4) paroolita sisselogimisega. Ma kahtlustan, et nakkus pärines minu tütre arvutist (Windows 10 standardse Windows Defenderi kaitsega). Tütre arvuti pärast seda sisse ei lülitatud. Failid krüpteeritakse peamiselt .jpg ja .cr2 kujul. Faililaiend pärast krüptimist: .aef.
Saime kasutajatelt krüptitud failide näidised, lunaraha ja faili, mis on tõenäoliselt võti, mida lunavara autor failide dekrüpteerimiseks vajas.
Siin on kõik meie vihjed:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Heidame pilgu märkmele. Kui palju bitcoine seekord?
Tõlge:
Tähelepanu, teie failid on krüpteeritud!
Parool on teie arvuti jaoks ainulaadne.Makske summa 0.05 BTC Bitcoini aadressile: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Pärast maksmist saatke mulle e-kiri, lisades faili pass.key [meiliga kaitstud] koos makseteatisega.Pärast kinnitamist saadan teile failide dekrüpteerija.
Internetis saate bitcoinide eest maksta mitmel viisil:
- tasumine pangakaardiga
Bitcoinide kohta:
Kui teil on küsimusi, kirjutage mulle aadressil [meiliga kaitstud]
Boonusena räägin teile, kuidas teie arvutisse häkiti ja kuidas seda edaspidi kaitsta.
Pretensioonikas hunt, mille eesmärk on näidata ohvrile olukorra tõsidust. Siiski oleks võinud hullemini minna.
Riis. 1. -Boonusena räägin teile, kuidas oma arvutit edaspidi kaitsta. -Tundub legaalne.
II. Alustame
Kõigepealt vaatasime saadetud proovi struktuuri. Kummalisel kombel ei näinud see välja nagu lunavara poolt kahjustatud fail. Avage kuueteistkümnendsüsteemi redaktor ja vaadake. Esimesed 4 baiti sisaldavad algset faili suurust, järgmised 60 baiti on täidetud nullidega. Kuid kõige huvitavam on lõpus:
Riis. 2 Analüüsige kahjustatud faili. Mis sulle kohe silma jääb?
Kõik osutus tüütult lihtsaks: päisest viidi faili lõppu 0x40 baiti. Andmete taastamiseks tagastage need lihtsalt algusesse. Juurdepääs failile on taastatud, kuid nimi jääb krüpteerituks ja asjad lähevad sellega keerulisemaks.
Riis. 3. Base64 krüpteeritud nimi näeb välja nagu hulkuv tähemärkide komplekt.
Proovime selle välja mõelda pass.key, kasutaja esitatud. Selles näeme 162-baidist ASCII-märkide jada.
Riis. 4. Ohvri arvutisse on jäänud 162 tähemärki.
Kui vaatate tähelepanelikult, märkate, et sümbolid korduvad teatud sagedusega. See võib viidata XOR-i kasutamisele, mida iseloomustavad kordused, mille sagedus sõltub klahvi pikkusest. Jagades stringi 6 märgiks ja XOR-i XOR-jada mõne variandiga, ei saavutanud me mingit sisulist tulemust.
Riis. 5. Kas näete keskel korduvaid konstante?
Otsustasime konstante googeldada, sest jah, ka see on võimalik! Ja need kõik viisid lõpuks ühe algoritmi - pakkkrüpteerimiseni. Pärast stsenaariumi uurimist sai selgeks, et meie rida pole midagi muud kui selle töö tulemus. Peab mainima, et see pole üldse krüpteerija, vaid lihtsalt kodeerija, mis asendab märgid 6-baidiste jadadega. Ei mingeid võtmeid ega muid saladusi sulle :)
Riis. 6. Tükike tundmatu autorsusega originaalalgoritmi.
Algoritm ei töötaks nii nagu peaks, kui mitte üks detail:
Riis. 7. Morpheus heaks kiidetud.
Kasutades pöördasendust, teisendame stringi pass.key 27 tähemärgi pikkuseks tekstiks. Inimlik (kõige tõenäolisemalt) tekst 'asmodat' väärib erilist tähelepanu.
Joonis 8. USGFDG=7.
Google aitab meid jälle. Pärast väikest otsimist leiame GitHubist huvitava projekti – Folder Locker, mis on kirjutatud .Netis ja kasutab teise Giti konto 'asmodat' teeki.
Riis. 9. Folder Lockeri liides. Kontrollige kindlasti pahavara olemasolu.
Utiliit on krüpteerija Windows 7 ja uuemate versioonide jaoks, mida levitatakse avatud lähtekoodiga. Krüpteerimisel kasutatakse parooli, mis on vajalik järgnevaks dekrüpteerimiseks. Võimaldab töötada nii üksikute failide kui ka tervete kataloogidega.
Selle teek kasutab CBC-režiimis Rijndaeli sümmeetrilist krüpteerimisalgoritmi. Tähelepanuväärne on see, et ploki suuruseks valiti 256 bitti – erinevalt AES-i standardis omast. Viimases on suurus piiratud 128 bitiga.
Meie võti on loodud PBKDF2 standardi järgi. Sel juhul on parool SHA-256 utiliidi sisestatud stringist. Jääb üle vaid see string dekrüpteerimisvõtme genereerimiseks üles leida.
Noh, pöördume tagasi meie juba dekodeeritud juurde pass.key. Kas mäletate seda rida numbrite komplekti ja tekstiga "asmodat"? Proovime kasutada stringi esimest 20 baiti Folder Lockeri paroolina.
Vaata, see töötab! Tuli välja koodsõna ja kõik oli suurepäraselt dešifreeritud. Paroolis olevate märkide järgi otsustades on see konkreetse sõna HEX-esitus ASCII-vormingus. Proovime kuvada koodsõna teksti kujul. Saame 'varjuhunt'. Kas tunnete juba lükantroopia sümptomeid?
Vaatame veel kord mõjutatud faili struktuuri, teades nüüd, kuidas kapp töötab:
- 02 00 00 00 – nimede krüpteerimisrežiim;
- 58 00 00 00 – krüptitud ja base64 kodeeringuga failinime pikkus;
- 40 00 00 00 – ülekantud päise suurus.
Krüpteeritud nimi ise ja ülekantud päis on vastavalt punase ja kollasega esile tõstetud.
Riis. 10. Krüpteeritud nimi on punasega esile tõstetud, ülekantud päis kollasega.
Nüüd võrdleme krüptitud ja dekrüpteeritud nimesid kuueteistkümnendsüsteemis.
Dekrüpteeritud andmete struktuur:
- 78 B9 B8 2E – utiliidi tekitatud prügi (4 baiti);
- 0С 00 00 00 – dekrüpteeritud nime pikkus (12 baiti);
- Järgmiseks tuleb tegelik failinimi ja polsterdus nullidega kuni vajaliku ploki pikkuseni (padding).
Riis. 11. IMG_4114 näeb palju parem välja.
III. Järeldused ja järeldus
Tagasi algusesse. Me ei tea, mis ajendas Wulfric.Ransomware autorit ja millist eesmärki ta taotles. Muidugi tundub tavakasutajale isegi sellise krüpteerija töö tulemus suure katastroofina. Failid ei avane. Kõik nimed on kadunud. Tavapildi asemel on ekraanil hunt. Nad sunnivad sind bitcoinide kohta lugema.
Tõsi, seekord oli “kohutava kodeerija” varjus peidetud selline naeruväärne ja rumal väljapressimiskatse, kus ründaja kasutab valmisprogramme ja jätab võtmed otse kuriteopaigale.
Muide, võtmete kohta. Meil ei olnud pahatahtlikku skripti ega troojalast, mis aitaks meil mõista, kuidas see juhtus. pass.key – mehhanism, mille abil fail nakatunud arvutisse ilmub, jääb teadmata. Kuid mäletan, et autor mainis oma märkuses parooli ainulaadsust. Niisiis, dekrüpteerimise koodsõna on sama unikaalne kui kasutajanimi shadow wolf :)
Ja veel, varjuhunt, miks ja miks?
Allikas: www.habr.com