گاهی اوقات شما واقعاً می خواهید به چشمان یک ویروس نویس نگاه کنید و بپرسید: چرا و چرا؟ ما میتوانیم به این سؤال «چگونه» پاسخ دهیم، اما بسیار جالب است که بفهمیم این یا آن سازنده بدافزار به چه فکر میکرده است. به خصوص هنگامی که با چنین "مرواریدهایی" روبرو می شویم.
قهرمان مقاله امروز نمونه جالبی از رمزنگار است. ظاهراً این فقط به عنوان یک «باجافزار» دیگر در نظر گرفته شده بود، اما اجرای فنی آن بیشتر شبیه شوخی بیرحمانه یک نفر است. ما امروز در مورد این پیاده سازی صحبت خواهیم کرد.
متأسفانه، ردیابی چرخه زندگی این رمزگذار تقریبا غیرممکن است - آمار بسیار کمی در مورد آن وجود دارد، زیرا، خوشبختانه، گسترده نشده است. بنابراین، منشاء، روش های عفونت و سایر مراجع را حذف می کنیم. بیایید فقط در مورد مورد ملاقات خود صحبت کنیم باج افزار Wulfric و چگونه به کاربر کمک کردیم تا فایل های خود را ذخیره کند.
I. چگونه همه چیز شروع شد
افرادی که قربانی باج افزار شده اند اغلب با آزمایشگاه آنتی ویروس ما تماس می گیرند. ما بدون توجه به آنتی ویروس هایی که آنها نصب کرده اند، کمک می کنیم. این بار فردی با ما تماس گرفت که فایل هایش تحت تاثیر یک رمزگذار ناشناس قرار گرفته بود.
عصر بخیر فایل ها در یک ذخیره سازی فایل (samba4) با ورود بدون رمز عبور رمزگذاری شدند. من گمان می کنم که عفونت از رایانه دخترم (ویندوز 10 با محافظ استاندارد Windows Defender) ناشی شده است. بعد از آن کامپیوتر دخترش روشن نشد. فایل ها عمدتاً jpg و cr2. رمزگذاری می شوند. پسوند فایل پس از رمزگذاری: .aef.
ما از کاربر نمونههایی از فایلهای رمزگذاریشده، یادداشت باجگیری و فایلی دریافت کردیم که احتمالاً کلیدی است که نویسنده باجافزار برای رمزگشایی فایلها به آن نیاز داشته است.
در اینجا تمام سرنخ های ما وجود دارد:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
بیایید نگاهی به یادداشت بیندازیم. این بار چند بیت کوین؟
ترجمه:
توجه، فایل های شما رمزگذاری شده است!
رمز عبور برای رایانه شخصی شما منحصر به فرد است.مبلغ 0.05 BTC را به آدرس بیت کوین پرداخت کنید: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
پس از پرداخت، یک ایمیل برای من ارسال کنید و فایل pass.key را به آن پیوست کنید [ایمیل محافظت شده] با اطلاع از پرداختپس از تایید، برای شما یک رمزگشا برای فایل ها ارسال می کنم.
شما می توانید به روش های مختلف برای بیت کوین آنلاین پرداخت کنید:
- پرداخت با کارت بانکی
درباره بیت کوین:
اگر سوالی دارید، لطفا برای من بنویسید [ایمیل محافظت شده]
به عنوان یک امتیاز، من به شما خواهم گفت که چگونه رایانه شما هک شده است و چگونه از آن در آینده محافظت کنید.
یک گرگ پرمدعا که برای نشان دادن جدی بودن وضعیت به قربانی طراحی شده است. با این حال، می توانست بدتر باشد.
برنج. 1. -به عنوان یک امتیاز، به شما خواهم گفت که چگونه در آینده از رایانه خود محافظت کنید. -مشروع به نظر می رسد
II. بیا شروع کنیم
ابتدا ساختار نمونه ارسالی را بررسی کردیم. به اندازه کافی عجیب، به نظر نمی رسید فایلی باشد که توسط باج افزار آسیب دیده باشد. ویرایشگر هگزادسیمال را باز کنید و نگاهی بیندازید. 4 بایت اول شامل اندازه فایل اصلی است، 60 بایت بعدی با صفر پر می شود. اما جالب ترین چیز در پایان این است:
برنج. 2 فایل آسیب دیده را آنالیز کنید. چه چیزی بلافاصله توجه شما را جلب می کند؟
همه چیز به طرز آزاردهنده ای ساده بود: 0x40 بایت از هدر به انتهای فایل منتقل شد. برای بازیابی اطلاعات کافی است آن را به ابتدا بازگردانید. دسترسی به فایل بازیابی شده است، اما نام رمزگذاری شده باقی می ماند و همه چیز با آن پیچیده تر می شود.
برنج. 3. نام رمزگذاری شده در Base64 مانند مجموعه ای از کاراکترها به نظر می رسد.
بیایید سعی کنیم آن را بفهمیم پاس.کلید، ارسال شده توسط کاربر در آن ما یک دنباله 162 بایتی از کاراکترهای ASCII را می بینیم.
برنج. 4. 162 کاراکتر در رایانه شخصی قربانی باقی مانده است.
اگر دقت کنید متوجه می شوید که علامت ها با فرکانس خاصی تکرار می شوند. این ممکن است نشان دهنده استفاده از XOR باشد که با تکرارها مشخص می شود که فرکانس آن به طول کلید بستگی دارد. با تقسیم رشته به 6 کاراکتر و XOR با برخی از انواع توالی های XOR، به هیچ نتیجه معنی داری نرسیدیم.
برنج. 5. ثابت های تکرار شونده در وسط را ببینید؟
ما تصمیم گرفتیم ثابتها را در گوگل جستجو کنیم، زیرا بله، این نیز امکانپذیر است! و همه آنها در نهایت به یک الگوریتم منجر شدند - رمزگذاری دسته ای. پس از مطالعه فیلمنامه مشخص شد که خط ما حاصل کار آن نیست. لازم به ذکر است که این به هیچ وجه یک رمزگذار نیست، بلکه فقط یک رمزگذار است که کاراکترها را با دنباله های 6 بایتی جایگزین می کند. هیچ کلید یا راز دیگری برای شما وجود ندارد :)
برنج. 6. قطعه ای از الگوریتم اصلی نویسنده ناشناخته.
الگوریتم آنطور که باید کار نمی کند اگر یک جزئیات نبود:
برنج. 7. مورفیوس تایید کرد.
با استفاده از جایگزینی معکوس، رشته را تبدیل می کنیم پاس.کلید در متنی 27 کاراکتری متن انسانی (به احتمال زیاد) 'asmodat' سزاوار توجه ویژه است.
شکل 8. USGFDG=7.
گوگل دوباره به ما کمک خواهد کرد. پس از کمی جستجو، پروژه جالبی را در GitHub پیدا کردیم - Folder Locker که در .Net و با استفاده از کتابخانه 'asmodat' از یک حساب Git دیگر نوشته شده است.
برنج. 9. رابط قفل پوشه. حتما بدافزار را بررسی کنید.
این ابزار یک رمزگذار برای ویندوز 7 و بالاتر است که به عنوان منبع باز توزیع می شود. در هنگام رمزگذاری، از رمز عبور استفاده می شود که برای رمزگشایی بعدی ضروری است. به شما امکان می دهد هم با فایل های فردی و هم با کل دایرکتوری ها کار کنید.
کتابخانه آن از الگوریتم رمزگذاری متقارن Rijndael در حالت CBC استفاده می کند. قابل توجه است که اندازه بلوک 256 بیت انتخاب شده است - برخلاف آنچه در استاندارد AES اتخاذ شده است. در دومی، اندازه به 128 بیت محدود شده است.
کلید ما بر اساس استاندارد PBKDF2 تولید می شود. در این مورد، رمز عبور SHA-256 از رشته وارد شده در برنامه کاربردی است. تنها چیزی که باقی می ماند یافتن این رشته برای تولید کلید رمزگشایی است.
خوب، بیایید به رمزگشایی قبلی خود برگردیم پاس.کلید. آن خط را با مجموعه ای از اعداد و متن "asmodat" به خاطر دارید؟ بیایید سعی کنیم از 20 بایت اول رشته به عنوان رمز عبور برای Folder Locker استفاده کنیم.
ببین، کار می کند! کلمه رمز آمد و همه چیز کاملاً رمزگشایی شد. با قضاوت بر اساس کاراکترهای رمز عبور، این یک نمایش HEX از یک کلمه خاص در ASCII است. بیایید سعی کنیم کلمه کد را به صورت متن نمایش دهیم. ما گرفتیم 'سایه گرگ'. آیا قبلاً علائم لیکانتروپی را احساس می کنید؟
بیایید نگاهی دیگر به ساختار فایل آسیبدیده بیندازیم و اکنون میدانیم قفل چگونه کار میکند:
- 02 00 00 00 – حالت رمزگذاری نام؛
- 58 00 00 00 - طول نام فایل رمزگذاری شده و کدگذاری شده base64.
- 40 00 00 00 – اندازه سربرگ منتقل شده.
خود نام رمزگذاری شده و هدر منتقل شده به ترتیب با رنگ قرمز و زرد برجسته می شوند.
برنج. 10. نام رمزگذاری شده با رنگ قرمز، سربرگ منتقل شده با رنگ زرد مشخص شده است.
اکنون اجازه دهید نام های رمزگذاری شده و رمزگشایی شده را در نمایش هگزادسیمال مقایسه کنیم.
ساختار داده های رمزگشایی شده:
- 78 B9 B8 2E - زباله ایجاد شده توسط ابزار (4 بایت)؛
- 0С 00 00 00 - طول نام رمزگشایی شده (12 بایت)؛
- سپس نام فایل واقعی و padding با صفر به طول بلوک مورد نیاز (padding) می آید.
برنج. 11. IMG_4114 خیلی بهتر به نظر می رسد.
III. نتیجه گیری و نتیجه گیری
بازگشت به ابتدا. ما نمی دانیم که نویسنده Wulfric.Ransomware چه انگیزه ای داشته و چه هدفی را دنبال کرده است. البته، برای یک کاربر معمولی، نتیجه کار حتی چنین رمزگذاری مانند یک فاجعه بزرگ به نظر می رسد. فایل ها باز نمی شوند همه نام ها از بین رفته است. به جای تصویر معمول، یک گرگ روی صفحه نمایش وجود دارد. آنها شما را مجبور می کنند در مورد بیت کوین بخوانید.
درست است، این بار، تحت پوشش یک "رمزگذار وحشتناک"، چنین تلاش مضحک و احمقانه ای برای اخاذی پنهان شد، جایی که مهاجم از برنامه های آماده استفاده می کند و کلیدها را درست در صحنه جرم رها می کند.
به هر حال، در مورد کلیدها. ما یک اسکریپت یا تروجان مخرب نداشتیم که بتواند به ما در درک چگونگی این اتفاق کمک کند. پاس.کلید - مکانیسم ظاهر شدن فایل در رایانه آلوده ناشناخته باقی می ماند. اما، به یاد دارم، نویسنده در یادداشت خود به منحصر به فرد بودن رمز عبور اشاره کرد. بنابراین، کلمه رمز برای رمزگشایی به همان اندازه منحصر به فرد است که نام کاربری shadow wolf منحصر به فرد است :)
و با این حال، گرگ سایه، چرا و چرا؟
منبع: www.habr.com