Parfois, vous avez simplement envie de regarder dans les yeux d’un auteur de virus et de vous demander : pourquoi et pourquoi ? Nous pouvons répondre nous-mêmes à la question « comment », mais il serait très intéressant de savoir ce que pensait tel ou tel créateur de malware. Surtout quand on tombe sur de telles « perles ».
Le héros de l'article d'aujourd'hui est un exemple intéressant de cryptographe. Il a apparemment été conçu comme un simple « ransomware » parmi d’autres, mais sa mise en œuvre technique ressemble davantage à une cruelle blague. Nous parlerons de cette implémentation aujourd’hui.
Malheureusement, il est presque impossible de retracer le cycle de vie de cet encodeur - il existe trop peu de statistiques à son sujet car, heureusement, il n'est pas répandu. Par conséquent, nous laisserons de côté l’origine, les méthodes d’infection et autres références. Parlons simplement de notre cas de rencontre avec Rançongiciel Wulfric et comment nous avons aidé l'utilisateur à sauvegarder ses fichiers.
I. Comment tout a commencé
Les personnes victimes de ransomware contactent souvent notre laboratoire antivirus. Nous fournissons une assistance quels que soient les produits antivirus installés. Cette fois, nous avons été contactés par une personne dont les fichiers étaient affectés par un encodeur inconnu.
Bon après-midi Les fichiers ont été cryptés sur un stockage de fichiers (samba4) avec une connexion sans mot de passe. Je soupçonne que l’infection provient de l’ordinateur de ma fille (Windows 10 avec protection Windows Defender standard). Après cela, l'ordinateur de la fille n'a plus été allumé. Les fichiers sont cryptés principalement .jpg et .cr2. Extension du fichier après cryptage : .aef.
Nous avons reçu de l'utilisateur des échantillons de fichiers cryptés, une demande de rançon et un fichier qui est probablement la clé dont l'auteur du ransomware avait besoin pour décrypter les fichiers.
Voici tous nos indices :
- 01c.aef (4481K)
- piraté.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- clé d'accès (0K)
Jetons un coup d'œil à la note. Combien de bitcoins cette fois ?
Traduction:
Attention, vos fichiers sont cryptés !
Le mot de passe est unique à votre PC.Payez le montant de 0.05 BTC à l'adresse Bitcoin : 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Après le paiement, envoyez-moi un email en joignant le fichier pass.key à [email protected] avec avis de paiement.Après confirmation, je vous enverrai un décrypteur pour les fichiers.
Vous pouvez payer des bitcoins en ligne de différentes manières :
— paiement par carte bancaire
À propos des Bitcoins :
Si vous avez des questions, écrivez-moi à [email protected]
En bonus, je vous expliquerai comment votre ordinateur a été piraté et comment le protéger à l'avenir.
Un loup prétentieux, destiné à montrer à la victime la gravité de la situation. Cependant, cela aurait pu être pire.
Riz. 1. -En bonus, je vous expliquerai comment protéger votre ordinateur à l'avenir. -Semble légitime.
II. Commençons
Tout d’abord, nous avons examiné la structure de l’échantillon envoyé. Curieusement, cela ne ressemblait pas à un fichier endommagé par un ransomware. Ouvrez l'éditeur hexadécimal et regardez. Les 4 premiers octets contiennent la taille du fichier d'origine, les 60 octets suivants sont remplis de zéros. Mais le plus intéressant est à la fin :
Riz. 2 Analysez le fichier endommagé. Qu’est-ce qui attire immédiatement votre attention ?
Tout s'est avéré d'une simplicité ennuyeuse : 0x40 octets de l'en-tête ont été déplacés vers la fin du fichier. Pour restaurer les données, remettez-les simplement au début. L'accès au fichier a été rétabli, mais le nom reste crypté et les choses se compliquent.
Riz. 3. Le nom chiffré en Base64 ressemble à un ensemble de caractères décousus.
Essayons de comprendre clé d'accès, soumis par l'utilisateur. Nous y voyons une séquence de 162 octets de caractères ASCII.
Riz. 4. 162 caractères restants sur le PC de la victime.
Si vous regardez attentivement, vous remarquerez que les symboles se répètent avec une certaine fréquence. Cela peut indiquer l'utilisation de XOR, qui se caractérise par des répétitions dont la fréquence dépend de la longueur de la clé. Après avoir divisé la chaîne en 6 caractères et effectué un XOR avec certaines variantes de séquences XOR, nous n'avons obtenu aucun résultat significatif.
Riz. 5. Vous voyez les constantes répétitives au milieu ?
Nous avons décidé de rechercher des constantes sur Google, car oui, c'est possible aussi ! Et ils ont tous finalement abouti à un seul algorithme : le cryptage par lots. Après avoir étudié le scénario, il est devenu clair que notre scénario n'est rien d'autre que le résultat de son travail. Il convient de mentionner qu'il ne s'agit pas du tout d'un chiffreur, mais simplement d'un encodeur qui remplace les caractères par des séquences de 6 octets. Pas de clés ou autres secrets pour vous :)
Riz. 6. Un morceau de l’algorithme original d’auteur inconnu.
L’algorithme ne fonctionnerait pas comme il le devrait sans un détail :
Riz. 7. Morpheus a approuvé.
En utilisant la substitution inverse, nous transformons la chaîne de clé d'accès en un texte de 27 caractères. Le texte humain (le plus probable) « asmodat » mérite une attention particulière.
Figure 8. USGFDG=7.
Google nous aidera à nouveau. Après une petite recherche, nous trouvons un projet intéressant sur GitHub - Folder Locker, écrit en .Net et utilisant la bibliothèque 'asmodat' d'un autre compte Git.
Riz. 9. Interface du casier de dossiers. Assurez-vous de vérifier les logiciels malveillants.
L'utilitaire est un chiffreur pour Windows 7 et supérieur, distribué en open source. Lors du cryptage, un mot de passe est utilisé, nécessaire au décryptage ultérieur. Vous permet de travailler à la fois avec des fichiers individuels et avec des répertoires entiers.
Sa bibliothèque utilise l'algorithme de chiffrement symétrique Rijndael en mode CBC. Il est à noter que la taille des blocs a été choisie à 256 bits, contrairement à celle adoptée dans la norme AES. Dans ce dernier, la taille est limitée à 128 bits.
Notre clé est générée selon la norme PBKDF2. Dans ce cas, le mot de passe est SHA-256 issu de la chaîne saisie dans l'utilitaire. Il ne reste plus qu'à retrouver cette chaîne pour générer la clé de déchiffrement.
Eh bien, revenons à notre déjà décodé clé d'accès. Vous vous souvenez de cette ligne avec un ensemble de chiffres et le texte « asmodat » ? Essayons d'utiliser les 20 premiers octets de la chaîne comme mot de passe pour Folder Locker.
Regardez, ça marche ! Le mot de code est apparu et tout a été parfaitement déchiffré. À en juger par les caractères du mot de passe, il s'agit d'une représentation HEX d'un mot spécifique en ASCII. Essayons d'afficher le mot de code sous forme de texte. On a 'Loup d'ombre'. Vous ressentez déjà les symptômes de la lycanthropie ?
Regardons à nouveau la structure du fichier concerné, sachant maintenant comment fonctionne le casier :
- 02 00 00 00 – mode de cryptage du nom ;
- 58 00 00 00 – longueur du nom du fichier crypté et codé en base64 ;
- 40 00 00 00 – taille de l'en-tête transféré.
Le nom crypté lui-même et l'en-tête transféré sont surlignés respectivement en rouge et en jaune.
Riz. 10. Le nom crypté est surligné en rouge, l'en-tête transféré est surligné en jaune.
Comparons maintenant les noms cryptés et déchiffrés en représentation hexadécimale.
Structure des données décryptées :
- 78 B9 B8 2E – déchets créés par l'utilitaire (4 octets) ;
- 0С 00 00 00 – longueur du nom déchiffré (12 octets) ;
- Vient ensuite le nom réel du fichier et le remplissage avec des zéros jusqu'à la longueur de bloc requise (remplissage).
Riz. 11. IMG_4114 est bien meilleur.
III. Conclusions et conclusions
Retour au début. Nous ne savons pas ce qui a motivé l'auteur de Wulfric.Ransomware et quel objectif il poursuivait. Bien sûr, pour l'utilisateur moyen, le résultat du travail d'un tel chiffreur semblera être un grand désastre. Les fichiers ne s'ouvrent pas. Tous les noms ont disparu. Au lieu de l’image habituelle, un loup apparaît à l’écran. Ils vous obligent à en savoir plus sur les bitcoins.
Certes, cette fois, sous le couvert d'un «terrible encodeur», se cachait une tentative d'extorsion aussi ridicule et stupide, où l'attaquant utilise des programmes prêts à l'emploi et laisse les clés directement sur les lieux du crime.
Au fait, à propos des clés. Nous n'avions pas de script malveillant ou de cheval de Troie qui pourrait nous aider à comprendre comment cela s'est produit. clé d'accès – le mécanisme par lequel le fichier apparaît sur un PC infecté reste inconnu. Mais je me souviens que dans sa note, l'auteur mentionnait le caractère unique du mot de passe. Ainsi, le mot de code pour le décryptage est aussi unique que le nom d'utilisateur Shadow Wolf est unique :)
Et pourtant, loup de l'ombre, pourquoi et pourquoi ?
Source: habr.com