Joskus haluat todella katsoa jotakin virustentekijää silmiin ja kysyä: miksi ja miksi? Käsittelemme vastauksen kysymykseen "miten" itse, mutta olisi erittäin mielenkiintoista tietää, mistä tämä tai toinen haittaohjelmien luoja on ohjannut. Varsinkin kun törmäämme sellaisiin "helmiin".
Tämän päivän artikkelin sankari on mielenkiintoinen kopio kiristysohjelmasta. Se suunniteltiin ilmeisesti toiseksi "kiristäjäksi", mutta sen tekninen toteutus on enemmän kuin jonkun julma vitsi. Puhumme tästä toteutuksesta tänään.
Valitettavasti tämän kooderin elinkaaren jäljittäminen on lähes mahdotonta - siitä on jo liian vähän tilastoja, koska onneksi se ei ole saanut jakelua. Siksi jätämme pois alkuperän, tartuntatavat ja muut viittaukset. Puhumme vain tutustumistapauksestamme Wulfric ransomware ja kuinka auttoimme käyttäjää tallentamaan tiedostonsa.
I. Kuinka kaikki alkoi
Virustentorjuntalaboratorioimme ottavat usein yhteyttä kiristysohjelmista kärsivät ihmiset. Tarjoamme apua riippumatta siitä, mitä virustorjuntatuotteita he ovat asentaneet. Tällä kertaa meihin otti yhteyttä henkilö, jonka tiedostoihin oli vaikuttanut tuntematon enkooderi.
Hyvää iltapäivää Tiedostot salattiin tiedostomuistissa (samba4) salasanattomalla kirjautumisella. Epäilen, että tartunta tuli tyttäreni tietokoneesta (Windows 10, jossa on tavallinen Windows Defender -suojaus). Tyttären tietokonetta ei käynnistetty sen jälkeen. Tiedostot ovat pääosin .jpg- ja .cr2-salattuja. Tiedostotunniste salauksen jälkeen: .aef.
Saimme käyttäjiltä näytteitä salatuista tiedostoista, lunnaita koskevan huomautuksen ja tiedoston, joka on todennäköisesti avain, jonka kiristysohjelmien tekijä tarvitsee tiedostojen salauksen purkamiseen.
Tässä ovat kaikki liidimme:
- 01c.aef (4481K)
- hacked.jpg (254 kt)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Katsotaanpa muistiinpanoa. Kuinka monta bitcoinia tällä kertaa?
Käännös:
Huomio, tiedostosi on salattu!
salasana on yksilöllinen tietokoneellesi.Maksa 0.05 BTC bitcoin-osoitteeseen: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Maksun jälkeen lähetä minulle sähköposti liittämällä pass.key-tiedosto osoitteeseen [sähköposti suojattu] maksuilmoituksella.Vahvistuksen jälkeen lähetän sinulle tiedostojen salauksen purkuohjelman.
Voit maksaa bitcoineja verkossa monella tavalla:
- maksu luottokortilla
Tietoja bitcoineista:
Jos sinulla on kysyttävää, kirjoita minulle osoitteeseen [sähköposti suojattu]
Bonuksena kerron kuinka tietokoneellesi hakkeroitiin ja kuinka se voidaan suojata tulevaisuudessa.
Teeskentelevä susi, joka on suunniteltu näyttämään uhrille tilanteen vakavuus. Se olisi kuitenkin voinut olla huonomminkin.
Riisi. 1. -Bonuksena kerron kuinka voit suojata tietokoneesi tulevaisuudessa. -Vaikuttaa uskottavalta.
II. Päästä alkuun
Ensinnäkin tarkastelimme lähetetyn näytteen rakennetta. Kummallista kyllä, se ei näyttänyt tiedostolta, jonka kiristysohjelma oli vahingoittanut. Avaa hex-editori ja katso. Ensimmäiset 4 tavua sisältävät alkuperäisen tiedoston koon, seuraavat 60 tavua on täytetty nolilla. Mutta mielenkiintoisin on lopussa:
Riisi. 2 Analysoi vaurioitunut tiedosto. Mikä pistää heti silmään?
Kaikki osoittautui loukkaavan yksinkertaiseksi: 0x40 tavua otsikosta siirrettiin tiedoston loppuun. Palauta tiedot yksinkertaisesti palauttamalla ne alkuun. Pääsy tiedostoon on palautettu, mutta nimi pysyy salattuna, ja kaikki on sen kanssa monimutkaisempaa.
Riisi. 3. Base64:n salattu nimi näyttää epäjohdonmukaiselta merkkijoukolta.
Yritetään jäsentää pass.key, käyttäjän lähettämä. Siinä näemme 162-tavuisen ASCII-merkkijonon.
Riisi. 4. Uhrin tietokoneella on jäljellä 162 merkkiä.
Jos katsot tarkasti, voit nähdä, että merkit toistuvat säännöllisin väliajoin. Tämä voi viitata XOR:n käyttöön, jossa toistot ovat luontaisia ja joiden taajuus riippuu näppäimen pituudesta. Merkkijonon jakamisen jälkeen 6 merkkiin ja XOR:n suorittamisen jälkeen joillakin XOR-sekvenssien muunnelmilla emme saavuttaneet merkityksellistä tulosta.
Riisi. 5. Näetkö toistuvat vakiot keskellä?
Päätimme googlettaa vakiot, koska kyllä, tämäkin on mahdollista! Ja ne kaikki johtivat lopulta yhteen algoritmiin - eräsalaukseen. Käsikirjoituksen tutkimisen jälkeen kävi selväksi, että merkkijonomme on vain sen työn tulos. On syytä mainita, että tämä ei ole lainkaan salaus, vaan vain kooderi, joka korvaa merkit 6-tavuisilla sarjoilla. Ei avaimia tai muita salaisuuksia sinulle 🙁
Riisi. 6. Pala alkuperäistä algoritmia, jonka tekijä on tuntematon.
Algoritmi ei toimisi niin kuin sen pitäisi ilman yhtä yksityiskohtaa:
Riisi. 7. Morpheus hyväksytty.
Käyttämällä takaisinkorvausta käännämme merkkijonon pass.key 27 merkin pituiseksi tekstiksi. Erityisen huomionarvoista on (todennäköisimmin) ihmisteksti "asmodat".
Kuva 8. USGFG = 7.
Google auttaa meitä taas. Pienen etsinnän jälkeen löydämme GitHubista mielenkiintoisen projektin - Folder Locker, joka on kirjoitettu .Netissä ja jossa käytetään "asmodat"-kirjastoa toiselta Gita-tililtä.
Riisi. 9. Folder Locker -käyttöliittymä. Muista tarkistaa mahdolliset haitat.
Apuohjelma on avoimen lähdekoodin salausohjelma Windows 7:lle ja uudemmille. Salaus käyttää salasanaa, joka tarvitaan myöhempään salauksen purkamiseen. Voit työskennellä sekä yksittäisten tiedostojen että kokonaisten hakemistojen kanssa.
Hänen kirjastonsa käyttää Rijndaelin symmetristä salausalgoritmia CBC-tilassa. On huomionarvoista, että lohkokooksi valittiin 256 bittiä - toisin kuin AES-standardi. Jälkimmäisessä koko on rajoitettu 128 bittiin.
Avaimemme on luotu PBKDF2-standardin mukaisesti. Tässä tapauksessa salasana on SHA-256 apuohjelmassa syötetystä merkkijonosta. Jää vain löytää tämä merkkijono salauksenpurkuavaimen muodostamiseksi.
No, takaisin jo dekoodattuihimme pass.key. Muistatko sen rivin, jossa on numeromerkkijono ja teksti "asmodat"? Yritämme käyttää 20 ensimmäistä merkkijonoa Folder Lockerin salasanana.
Katso, se toimii! Koodisana ilmestyi, ja kaikki oli täydellisesti tulkittu. Salasanan merkeistä päätellen tämä on tietyn sanan HEX-esitys ASCII:ssa. Yritetään näyttää koodisana tekstimuodossa. Saada 'varjosusi'. Tunnetko jo lykantropian oireita?
Katsotaanpa uudelleen vaikutuksen alaisen tiedoston rakennetta, nyt tiedämme kuinka lokero toimii:
- 02 00 00 00 – nimen salaustila;
- 58 00 00 00 – tiedostonimen pituus salattu ja koodattu base64:ssä;
- 40 00 00 00 on siirretyn otsikon koko.
Itse salattu nimi ja siirretty otsikko on korostettu punaisella ja keltaisella.
Riisi. 10. Salattu nimi on korostettu punaisella, siirretty otsikko on korostettu keltaisella.
Ja nyt verrataan salattuja ja salattuja nimiä heksadesimaalimuodossa.
Puretun tiedon rakenne:
- 78 B9 B8 2E - apuohjelman luoma roska (4 tavua);
- 0С 00 00 00 – puretun nimen pituus (12 tavua);
- sitten tulee itse asiassa tiedoston nimi ja täyttö nollilla haluttuun lohkon pituuteen.
Riisi. 11. IMG_4114 näyttää paljon paremmalta.
III. Päätelmät ja päätelmät
Palatakseni alkuun. Emme tiedä, mitä Wulfric.Ransomwaren kirjoittajaa ohjasi ja mihin tarkoitukseen hän pyrki. Tietysti tavalliselle käyttäjälle jopa tällaisen salaajan työn tulos näyttää suurelta katastrofilta. Tiedostot eivät avaudu. Kaikki nimet ovat poissa. Tavallisen kuvan sijaan - susi näytöllä. Pakko lukea bitcoineista.
Totta, tällä kertaa "kauhean kooderin" varjolla piiloutui sellainen absurdi ja typerä kiristysyritys, jossa hyökkääjä käyttää valmiita ohjelmia ja jättää avaimet suoraan rikospaikalle.
Muuten, avaimista. Meillä ei ollut haitallista komentosarjaa tai troijalaista, joka auttaisi meitä selvittämään, miten tämä syntyi. pass.key – mekanismi, jolla tiedosto ilmestyi tartunnan saaneelle tietokoneelle, on tuntematon. Mutta muistan, että kirjoittaja mainitsi muistiinpanossaan salasanan ainutlaatuisuuden. Joten salauksen purkamisen koodisana on yhtä ainutlaatuinen kuin shadow wolf -käyttäjätunnus 🙂
Ja silti, varjosusi, miksi ja miksi?
Lähde: will.com