Batzuetan benetan nahi duzu birus idazle baten begietara begiratu eta galdetu: zergatik eta zergatik? “Nola” galderari guk geuk erantzun diezaiokegu, baina oso interesgarria litzateke malware sortzaile honek edo besteek zer pentsatzen zuen jakitea. Batez ere, halako “perlak” topatzen ditugunean.
Gaurko artikuluaren heroia kriptografo baten adibide interesgarria da. Itxuraz beste "ransomware" bat bezala pentsatu zen, baina bere ezarpen teknikoak norbaiten txantxa krudelaren antza du. Inplementazio honi buruz hitz egingo dugu gaur.
Zoritxarrez, ia ezinezkoa da kodetzaile honen bizi-zikloaren jarraipena egitea - estatistikak gutxiegi daude, zorionez, ez baita hedatu. Hori dela eta, jatorria, infekzio metodoak eta bestelako erreferentziak kanpoan utziko ditugu. Hitz egin dezagun gure bilera kasuaz Wulfric ransomwarea eta nola lagundu diogun erabiltzaileari bere fitxategiak gordetzen.
I. Nola hasi zen dena
Ransomwarearen biktima izan diren pertsonak maiz gure birusen aurkako laborategiarekin harremanetan jartzen dira. Laguntza ematen dugu instalatutako birusen aurkako produktuak edozein direla ere. Oraingoan kodetzaile ezezagun batek artatu zituen fitxategiak pertsona batekin jarri ginen harremanetan.
Arratsalde on Fitxategiak fitxategien biltegiratze batean (samba4) enkriptatu ziren pasahitz gabeko saioarekin. Susmoa dut infekzioa nire alabaren ordenagailutik etorri zela (Windows 10 Windows Defender babes estandarrarekin). Alabaren ordenagailua ez zen piztu ondoren. Fitxategiak batez ere .jpg eta .cr2 zifratzen dira. Fitxategiaren luzapena zifratu ondoren: .aef.
Erabiltzaileengandik enkriptatutako fitxategien laginak, erreskate-ohar bat eta fitxategiak deszifratzeko ransomware egileak behar zuen gakoa den fitxategi bat jaso ditugu.
Hona hemen gure pista guztiak:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pasa.giltza (0K)
Ikus dezagun oharra. Zenbat bitcoin oraingoan?
itzulpena:
Kontuz, zure fitxategiak zifratuta daude!
Pasahitza zure ordenagailurako bakarra da.Ordaindu 0.05 BTC-ko zenbatekoa Bitcoin helbidera: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Ordaindu ondoren, bidali mezu elektroniko bat, pass.key fitxategia erantsiz [posta elektroniko bidez babestua] ordainketaren jakinarazpenarekin.Berrespenaren ondoren, fitxategien deszifratzaile bat bidaliko dizut.
Bitcoins-ak linean ordaindu ditzakezu hainbat modutan:
— Banku-txartelaren bidez ordaintzea
Bitcoins buruz:
Galderarik baduzu, idatzi iezadazu helbide honetara [posta elektroniko bidez babestua]
Hobari gisa, zure ordenagailua nola pirateatu den eta etorkizunean nola babestu esango dizut.
Otso itxurako bat, biktimari egoeraren larritasuna erakusteko pentsatua. Hala ere, okerragoa izan zitekeen.
Arroza. 1. -Hori gisa, etorkizunean zure ordenagailua nola babestu esango dizut. – Zilegia dirudi.
II. Has gaitezen
Lehenik eta behin, bidalitako laginaren egitura aztertu dugu. Bitxia bada ere, ez zuen ransomwareak kaltetutako fitxategi baten itxurarik. Ireki hamaseitar editorea eta begiratu. Lehenengo 4 byteek jatorrizko fitxategiaren tamaina dute, hurrengo 60 byteek zeroz betetzen dituzte. Baina interesgarriena amaieran dago:
Arroza. 2 Aztertu kaltetutako fitxategia. Zerk harrapatzen dizu berehala begia?
Dena gogaikarri sinplea izan zen: goiburutik 0x40 byte fitxategiaren amaierara eraman ziren. Datuak leheneratzeko, hasierara itzuli besterik ez duzu. Fitxategirako sarbidea berrezarri da, baina izenak zifratuta jarraitzen du, eta gauzak gero eta zailagoak dira.
Arroza. 3. Base64-n enkriptatutako izenak karaktere multzo bat dirudi.
Saia gaitezen asmatzen pasa.giltza, erabiltzaileak bidalia. Bertan ASCII karaktereen 162 byteko sekuentzia bat ikusten dugu.
Arroza. 4. 162 karaktere geratzen dira biktimaren ordenagailuan.
Ondo begiratuz gero, sinboloak maiztasun jakin batekin errepikatzen direla ohartuko zara. Honek XOR-en erabilera adieraz dezake, errepikapenen ezaugarria dena, zeinaren maiztasuna gako-luzeraren araberakoa baita. Katea 6 karakteretan banatuta eta XOR sekuentzien aldaera batzuekin XOR eginda, ez dugu emaitza esanguratsurik lortu.
Arroza. 5. Ikusi erdian errepikatzen diren konstanteak?
Google konstanteak google egitea erabaki dugu, bai, hori ere posible baita! Eta denek, azken finean, algoritmo bat ekarri zuten - Batch Encryption. Gidoia aztertu ondoren, argi geratu zen gure ildoa bere lanaren emaitza baino ez dela. Aipatu beharra dago hau ez dela inondik inora zifratzailea, karaktereak 6 byteko sekuentziarekin ordezkatzen dituen kodetzailea baizik. Ez dago gakorik edo bestelako sekreturik zuretzat :)
Arroza. 6. Egile ezezaguneko jatorrizko algoritmoaren zati bat.
Algoritmoak ez luke funtzionatuko beharko lukeen bezala xehetasun batengatik ez balitz:
Arroza. 7. Morfeok onartu zuen.
Alderantzizko ordezkapena erabiliz katea eraldatzen dugu pasa.giltza 27 karaktereko testu batean. 'Asmodat' giza testuak (ziurrenik) arreta berezia merezi du.
8. irudia. USGFDG=7.
Googlek berriro lagunduko digu. Pixka bat bilatu ondoren, GitHub-en - Folder Locker-en proiektu interesgarri bat aurkitzen dugu, .Net-en idatzia eta beste Git kontu bateko 'asmodat' liburutegia erabiliz.
Arroza. 9. Karpeta Locker interfazea. Ziurtatu malwarerik dagoen egiaztatzea.
Utilitatea kode ireki gisa banatzen den Windows 7rako enkriptatzaile bat da. Zifratzean, pasahitz bat erabiltzen da, beharrezkoa dena gero deszifratzeko. Fitxategi indibidualekin zein direktorio osoekin lan egiteko aukera ematen du.
Bere liburutegiak Rijndael zifratze algoritmo simetrikoa erabiltzen du CBC moduan. Azpimarratzekoa da blokearen tamaina 256 bit izateko aukeratu zela - AES estandarrean onartutakoaren aldean. Azken honetan, tamaina 128 bitetara mugatzen da.
Gure gakoa PBKDF2 estandarraren arabera sortzen da. Kasu honetan, pasahitza SHA-256 da utilitatean sartutako katearen arabera. Deszifratzeko gakoa sortzeko kate hori aurkitzea besterik ez da geratzen.
Tira, itzul gaitezen dagoeneko deskodetuta dagoenera pasa.giltza. Gogoratzen al duzu lerro hori zenbaki multzo batekin eta 'asmodat' testuarekin? Saia gaitezen katearen lehen 20 byteak Folder Locker-en pasahitz gisa erabiltzen.
Begira, funtzionatzen du! Kode hitza sortu zen, eta dena primeran deszifratu zen. Pasahitzaren karaktereen arabera, ASCII-n hitz zehatz baten HEX irudikapena da. Saia gaitezen kode-hitza testu moduan bistaratzen. Lortzen duguitzal-otsoa'. Dagoeneko likantropiaren sintomak sentitzen al dituzu?
Ikus dezagun beste begirada bat kaltetutako fitxategiaren egiturari, orain aldagelak nola funtzionatzen duen jakinda:
- 02 00 00 00 - izena enkriptatzeko modua;
- 58 00 00 00 - enkriptatutako eta base64 kodetutako fitxategiaren izenaren luzera;
- 40 00 00 00 - transferitutako goiburuaren tamaina.
Enkriptatutako izena bera eta transferitutako goiburua gorriz eta horiz nabarmentzen dira, hurrenez hurren.
Arroza. 10. Enkriptatutako izena gorriz nabarmentzen da, transferitutako goiburua horiz nabarmenduta.
Orain konparatu ditzagun enkriptatutako eta deszifratutako izenak irudikapen hamaseimalean.
Deszifratutako datuen egitura:
- 78 B9 B8 2E – utilitateak sortutako zaborra (4 byte);
- 0С 00 00 00 - deszifratutako izenaren luzera (12 byte);
- Ondoren, benetako fitxategi-izena eta zeroekin betetzea dator behar den blokearen luzera (betegarria).
Arroza. 11. IMG_4114 itxura askoz hobea da.
III. Ondorioak eta Ondorioa
Hasierara itzuli. Ez dakigu zerk bultzatu zuen Wulfric.Ransomware-ren egilea eta zein helburu lortu zuen. Jakina, erabiltzaile arruntarentzat, enkriptatzaile baten lanaren emaitza hondamendi handia dela irudituko zaio. Fitxategiak ez dira irekitzen. Izen guztiak desagertu dira. Ohiko irudiaren ordez, otso bat dago pantailan. Bitcoins-ei buruz irakurtzera behartzen zaituzte.
Egia da, oraingoan "kodetzaile ikaragarri" baten azpian estortsio saiakera barregarri eta ergel bat ezkutatu zen, non erasotzaileak prest egindako programak erabiltzen dituen eta giltzak krimenaren lekuan uzten dituen.
Bide batez, giltzei buruz. Ez genuen hau nola gertatu zen ulertzen lagun ginezakeen script edo troiako gaiztorik. pasa.giltza – Fitxategia kutsatutako PC batean agertzen den mekanismoa ezezaguna izaten jarraitzen du. Baina, gogoan dut, bere oharrean egileak pasahitzaren berezitasuna aipatu zuela. Beraz, deszifratzeko kode-hitza bakarra da erabiltzaile-izena itzal-otsoa bakarra den :)
Eta hala ere, itzal otsoa, zergatik eta zergatik?
Iturria: www.habr.com