Soms wolle jo ien of oare firusskriuwer gewoan yn de eagen sjen en freegje: wêrom en wêrom? Wy kinne sels de fraach "hoe" beäntwurdzje, mar it soe heul ynteressant wêze om út te finen wat dizze of dy malware-skepper tocht. Benammen as wy sokke "pearels" tsjinkomme.
De held fan it hjoeddeiske artikel is in nijsgjirrich foarbyld fan in kryptograaf. It waard blykber betocht as gewoan in oare "ransomware", mar de technyske ymplemintaasje liket mear op ien syn wrede grap. Wy sille hjoed oer dizze ymplemintaasje prate.
Spitigernôch is it hast ûnmooglik om de libbenssyklus fan dizze encoder te spoaren - d'r binne te min statistiken oer, om't it, gelokkich, net wiidferspraat is. Dêrom sille wy de oarsprong, metoaden fan ynfeksje en oare referinsjes ferlitte. Litte wy gewoan prate oer ús gefal fan moeting mei Wulfric Ransomware en hoe't wy de brûker holpen syn bestannen opslaan.
I. Hoe't it allegear begûn
Minsken dy't it slachtoffer wurden binne fan ransomware nimme faaks kontakt op mei ús anty-firuslaboratoarium. Wy leverje assistinsje nettsjinsteande hokker antivirusprodukten se hawwe ynstalleare. Dizze kear waarden wy kontakt opnommen troch in persoan waans bestannen waarden beynfloede troch in ûnbekende encoder.
Goeiemiddei Bestannen waarden fersifere op in triem opslach (samba4) mei wachtwurdleaze oanmelding. Ik tink dat de ynfeksje kaam fan 'e kompjûter fan myn dochter (Windows 10 mei standert Windows Defender-beskerming). De kompjûter fan de dochter stie dêrnei net oan. De triemmen binne fersifere benammen .jpg en .cr2. Triem tafoeging nei fersifering: .aef.
Wy krigen fan de brûker samples fan fersifere bestannen, in losjildnota, en in bestân dat wierskynlik de kaai is dy't de ransomware-auteur nedich wie om de bestannen te ûntsiferjen.
Hjir binne al ús oanwizings:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Litte wy nei de notysje sjen. Hoefolle bitcoins dizze kear?
Oersetting:
Oandacht, jo bestannen binne fersifere!
It wachtwurd is unyk foar jo PC.Betelje it bedrach fan 0.05 BTC oan it Bitcoin-adres: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Nei betelling, stjoer my in e-mail, hechtsje de pass.key triem oan [e-post beskerme] mei melding fan betelling.Nei befêstiging sil ik jo in decryptor foar de bestannen stjoere.
Jo kinne op ferskate manieren foar bitcoins online betelje:
- betelling mei bankkaart
Oer Bitcoins:
As jo fragen hawwe, skriuw dan nei my op [e-post beskerme]
As bonus sil ik jo fertelle hoe't jo kompjûter is hacked en hoe't jo it yn 'e takomst kinne beskermje.
In pretensieuze wolf, ûntwurpen om it slachtoffer de earnst fan 'e situaasje sjen te litten. It koe lykwols slimmer.
Rys. 1. -As in bonus, Ik sil fertelle jo hoe te beskermjen jo kompjûter yn 'e takomst. - It liket legit.
II. Litte wy begjinne
Earst hawwe wy sjoen nei de struktuer fan 'e ferstjoerde stekproef. Geweldich genôch, it like net op in bestân dat wie skansearre troch ransomware. Iepenje de heksadesimale bewurker en sjoch ris. De earste 4 bytes befetsje de orizjinele triemgrutte, de folgjende 60 bytes binne fol mei nullen. Mar it meast nijsgjirrige is oan 'e ein:
Rys. 2 Analysearje de skansearre triem. Wat falt jo daliks yn it each?
Alles blykte ferfelend ienfâldich te wêzen: 0x40 bytes fan 'e koptekst waarden ferpleatst nei it ein fan it bestân. Om gegevens te herstellen, werom it gewoan nei it begjin. Tagong ta it bestân is weromset, mar de namme bliuwt fersifere, en dingen wurde der yngewikkelder mei.
Rys. 3. De fersifere namme yn Base64 liket in rambling set fan tekens.
Litte wy besykje it út te finen pass.key, yntsjinne troch brûker. Dêryn sjogge wy in 162-byte folchoarder fan ASCII-tekens.
Rys. 4. 162 tekens oerbleaun op it slachtoffer syn PC.
As jo sjogge goed, do silst merken dat de symboalen wurde werhelle mei in bepaalde frekwinsje. Dit kin it gebrûk fan XOR oanjaan, dat wurdt karakterisearre troch werhellingen, wêrfan de frekwinsje hinget ôf fan 'e kaailange. Neidat wy de tekenrige hawwe splitst yn 6 karakters en XORed mei guon farianten fan XOR-sekwinsjes, hawwe wy gjin sinfol resultaat berikt.
Rys. 5. Sjoch de werheljende konstanten yn 'e midden?
Wy besletten om konstanten te googlejen, want ja, dat kin ek! En se liede úteinlik allegear ta ien algoritme - Batch Encryption. Nei it studearjen fan it skript waard dúdlik dat ús line net mear is as it resultaat fan har wurk. Dêrby moat opmurken wurde dat dit is net in encryptor hielendal, mar gewoan in encoder dy't ferfangt tekens mei 6-byte sekwinsjes. Gjin kaaien of oare geheimen foar jo :)
Rys. 6. In stik fan it orizjinele algoritme fan ûnbekend auteurskip.
It algoritme soe net wurkje sa't it moat as net foar ien detail:
Rys. 7. Morpheus goedkard.
Mei help fan omkearde substitúsje transformearje wy de tekenrige fan pass.key yn in tekst fan 27 karakters. De minsklike (wierskynlik) tekst 'asmodat' fertsjinnet spesjaal omtinken.
Fig.8. USGFDG=7.
Google sil ús wer helpe. Nei in bytsje sykjen fine wy in nijsgjirrich projekt op GitHub - Folder Locker, skreaun yn .Net en mei de 'asmodat'-bibleteek fan in oar Git-akkount.
Rys. 9. Map Locker ynterface. Soargje derfoar dat jo kontrolearje op malware.
It hulpprogramma is in encryptor foar Windows 7 en heger, dy't ferspraat wurdt as iepen boarne. By fersifering wurdt in wachtwurd brûkt, dat nedich is foar folgjende ûntsifering. Hjirmei kinne jo wurkje sawol mei yndividuele bestannen as mei folsleine mappen.
De bibleteek brûkt it symmetryske fersiferingsalgoritme fan Rijndael yn CBC-modus. It is opmerklik dat de blokgrutte waard keazen om 256 bits te wêzen - yn tsjinstelling ta dat oannommen yn 'e AES-standert. Yn de lêste is de grutte beheind ta 128 bits.
Us kaai wurdt generearre neffens de PBKDF2 standert. Yn dit gefal is it wachtwurd SHA-256 fan 'e tekenrige ynfierd yn it hulpprogramma. Alles wat oerbliuwt is dizze tekenrige te finen om de dekodearringskaai te generearjen.
No, lit ús weromgean nei ús al dekodearre pass.key. Unthâld dy rigel mei in set sifers en de tekst 'asmodat'? Litte wy besykje de earste 20 bytes fan 'e tekenrige te brûken as wachtwurd foar Folder Locker.
Sjoch, it wurket! It koade wurd kaam op, en alles waard ûntsifere perfekt. Beoardielje troch de tekens yn it wachtwurd, it is in HEX-fertsjintwurdiging fan in spesifyk wurd yn ASCII. Litte wy besykje it koadewurd yn tekstfoarm wer te jaan. Wy krije 'shadowwolf'. Al fiel de symptomen fan lycanthropy?
Litte wy nochris sjen nei de struktuer fan it troffen bestân, no wittende hoe't de locker wurket:
- 02 00 00 00 - namme fersifering modus;
- 58 00 00 00 - lingte fan de fersifere en base64 kodearre triemnamme;
- 40 00 00 00 - grutte fan 'e oerdroegen koptekst.
De fersifere namme sels en de oerdroegen koptekst wurde markearre yn read en giel, respektivelik.
Rys. 10. De fersifere namme wurdt markearre yn read, de oerdroegen koptekst wurdt markearre yn giel.
Litte wy no de fersifere en ûntsifere nammen fergelykje yn heksadesimale fertsjintwurdiging.
Struktuer fan ûntsifere gegevens:
- 78 B9 B8 2E - jiskefet makke troch it hulpprogramma (4 bytes);
- 0С 00 00 00 - lingte fan de ûntsifere namme (12 bytes);
- Dêrnei komt de eigentlike triemnamme en padding mei nullen nei de fereaske bloklingte (padding).
Rys. 11. IMG_4114 sjocht der folle better.
III. Konklúzjes en konklúzje
Werom nei it begjin. Wy witte net wat de skriuwer fan Wulfric.Ransomware motivearre en hokker doel hy neistribbe. Fansels, foar de gemiddelde brûker, it resultaat fan it wurk fan sels sa'n fersifer sil lykje as in grutte ramp. Bestannen net iepenje. Alle nammen binne fuort. Ynstee fan it gewoane byld is der in wolf op it skerm. Se twinge jo om te lêzen oer bitcoins.
Wier, dizze kear wie d'r ûnder it mom fan in "ferskriklike encoder" sa'n bespotlike en domme poging ta afpersing ferburgen, wêrby't de oanfaller ready-made programma's brûkt en de kaaien direkt op it plak fan misdied ferlit.
Trouwens, oer de kaaien. Wy hiene gjin kwea-aardich skript of Trojan dat ús koe helpe te begripen hoe't dit barde. pass.key - it meganisme wêrmei't it bestân ferskynt op in ynfekteare PC bliuwt ûnbekend. Mar, ik wit noch, yn syn notysje neamde de skriuwer de unykheid fan it wachtwurd. Dat, it koadewurd foar ûntsifering is sa unyk as de brûkersnamme shadow wolf unyk is :)
En dochs, skaadwolf, wêrom en wêrom?
Boarne: www.habr.com