Uaireanta ní theastaíonn uait ach féachaint isteach i súile scríbhneora víreas éigin agus fiafraí de: cén fáth agus cén fáth? Is féidir linn an cheist “conas” a fhreagairt sinn féin, ach bheadh sé an-suimiúil a fháil amach cad a bhí sé seo nó an cruthaitheoir malware sin ag smaoineamh. Go háirithe nuair a thagann muid trasna ar a leithéid de “péarlaí”.
Is sampla suimiúil de chripteagrafóir é laoch alt an lae inniu. Ceapadh é de réir dealraimh mar “earraí fuascailte” eile, ach tá cuma níos mó ar a chur i bhfeidhm teicniúil le magadh cruálach duine éigin. Labhróimid faoin gcur i bhfeidhm seo inniu.
Ar an drochuair, tá sé beagnach dodhéanta saolré an ionchódóra seo a rianú - níl mórán staitisticí ann, ós rud é, go fortunately, níor tháinig sé go forleathan. Dá bhrí sin, fágfaimid amach an bunús, modhanna ionfhabhtaithe agus tagairtí eile. A ligean ar labhairt díreach faoi ár gcás cruinnithe le Wulfric Ransomware agus conas a chabhraigh muid leis an úsáideoir a chuid comhad a shábháil.
I. Conas a thosaigh sé ar fad
Is minic a théann daoine a bhí ina n-íospartaigh earraí ransom i dteagmháil lenár saotharlann frithvíreas. Cuirimid cúnamh ar fáil beag beann ar na táirgí frithvíreas atá suiteáilte acu. An uair seo rinne duine a raibh tionchar ag ionchódóir anaithnid ar a chomhaid i dteagmháil linn.
Tráthnóna maith Criptíodh comhaid ar stóras comhad (samba4) le logáil isteach gan pasfhocal. Tá amhras orm gur tháinig an ionfhabhtú ó ríomhaire m’iníne (Windows 10 le cosaint chaighdeánach Windows Defender). Níor cuireadh ríomhaire na hiníne ar siúl ina dhiaidh sin. Tá na comhaid criptithe go príomha .jpg agus .cr2. Síneadh comhaid tar éis criptithe: .aef.
Fuaireamar samplaí ón úsáideoir de chomhaid criptithe, nóta fuascailte, agus comhad ar dócha gurb é an eochair a bhí ag teastáil ón údar ransomware chun na comhaid a dhíchriptiú.
Seo ár leideanna go léir:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pas.key (0K)
A ligean ar ghlacadh le breathnú ar an nóta. Cé mhéad bitcoins an uair seo?
Aistriúchán:
Tabhair aire, tá do chuid comhad criptithe!
Tá an focal faire uathúil do do ríomhaire.Íoc an méid 0.05 BTC chuig an seoladh Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Tar éis íocaíocht a dhéanamh, seol ríomhphost chugam, ag gabháil leis an gcomhad pass.key [ríomhphost faoi chosaint] le fógra íocaíochta.Tar éis daingnithe, seolfaidh mé díchriptiúr chugat le haghaidh na gcomhad.
Is féidir leat íoc as bitcoins ar líne ar bhealaí éagsúla:
— íocaíocht le cárta bainc
Maidir le Bitcoins:
Má tá aon cheist agat, scríobh chugam ag [ríomhphost faoi chosaint]
Mar bhónas, inseoidh mé duit conas a hacked do ríomhaire agus conas é a chosaint sa todhchaí.
Mac tíre pretentious, deartha chun a thaispeáint don íospartach tromchúis an staid. Mar sin féin, d'fhéadfadh sé a bheith níos measa.
Rís. 1. -Mar bónas, beidh mé ag insint duit conas a chosaint do ríomhaire sa todhchaí. - Dealraíonn sé legit.
II. Ar aghaidh linn
Ar an gcéad dul síos, d'fhéachamar ar struchtúr an tsampla seolta. Go leor aisteach, níor fhéach sé cosúil le comhad a ndearna ransomware damáiste dó. Oscail an t-eagarthóir heicsidheachúlach agus féach. Cuimsíonn an chéad 4 beart méid an chomhaid bhunaidh, líontar na 60 beart eile le nialais. Ach tá an rud is suimiúla ag an deireadh:
Rís. 2 Déan anailís ar an gcomhad damáiste. Cad a mheallann do shúil láithreach?
Bhí gach rud an-simplí: bogadh 0x40 beart ón gceanntásc go dtí deireadh an chomhaid. Chun sonraí a chur ar ais, níl le déanamh ach é a chur ar ais go dtí an tús. Tá rochtain ar an gcomhad athchóirithe, ach tá an t-ainm criptithe fós, agus tá rudaí ag éirí níos casta leis.
Rís. 3. Breathnaíonn an t-ainm criptithe i Base64 cosúil le sraith fánaíochta de charachtair.
Déanaimis iarracht é a dhéanamh amach pas.eochair, arna chur isteach ag an úsáideoir. Feicimid seicheamh 162 beart de charachtair ASCII ann.
Rís. 4. 162 carachtar fágtha ar ríomhaire an íospartaigh.
Má fhéachann tú go dlúth, tabharfaidh tú faoi deara go ndéantar na siombailí arís agus arís eile le minicíocht áirithe. Féadfaidh sé seo úsáid XOR a léiriú, arb é is sainairíonna é athrá, a bhfuil a mhinicíocht ag brath ar fhad na heochrach. Tar éis dúinn an teaghrán a roinnt ina 6 charachtar agus XORed le roinnt leaganacha de sheichimh XOR, níor bhaineamar amach aon toradh fiúntach.
Rís. 5. Féach ar na tairisigh athfhillteacha sa lár?
Shocraigh muid tairisigh google a dhéanamh, mar tá, is féidir sin freisin! Agus tháinig siad go léir i ndeireadh na dála algartam amháin - Criptiú Baisc. Tar éis staidéar a dhéanamh ar an script, ba léir nach bhfuil ár líne rud ar bith níos mó ná toradh a chuid oibre. Ba chóir a lua nach cripteoir é seo ar chor ar bith, ach ionchódóir a chuireann seichimh 6-beart in ionad carachtair. Níl aon eochracha ná rúin eile agat :)
Rís. 6. Píosa den algartam bunaidh d'údar anaithnid.
Ní n-oibreodh an t-algartam mar ba chóir mura ndéanfaí é ar son sonraí amháin:
Rís. 7. Morpheus ceadaithe.
Ag baint úsáide as ionadú droim ar ais chlaochlúimid an téad ó pas.eochair isteach i dtéacs 27 gcarachtar. Tá aird ar leith tuillte ag an téacs daonna (is dócha) ‘asmodat’.
Fíor.8. USGFDG=7.
Cabhróidh Google linn arís. Tar éis cuardach beag, aimsímid tionscadal suimiúil ar GitHub - Folder Locker, scríofa i .Net agus ag baint úsáide as an leabharlann 'asmodat' ó chuntas Git eile.
Rís. 9. Comhéadan KRunner Fillteán. Bí cinnte a sheiceáil le haghaidh malware.
Is cripteoir é an fóntais do Windows 7 agus níos airde, a dháiltear mar fhoinse oscailte. Le linn criptithe, úsáidtear pasfhocal, atá riachtanach le haghaidh díchriptiú ina dhiaidh sin. Ligeann sé duit oibriú le comhaid aonair agus le heolairí iomlána.
Úsáideann a leabharlann algartam criptithe siméadrach Rijndael i mód CBC. Is fiú a thabhairt faoi deara gur roghnaíodh méid na mbloc mar 256 giotán - i gcodarsnacht leis an méid a glacadh i gcaighdeán AES. Sa dara ceann, tá an méid teoranta do 128 giotán.
Gintear ár n-eochair de réir caighdeán PBKDF2. Sa chás seo, is é SHA-256 an focal faire ón teaghrán a iontráladh sa áirgiúlacht. Níl fágtha ach an teaghrán seo a aimsiú chun an eochair dhíchriptithe a ghiniúint.
Bhuel, a ligean ar ais go dtí ár díchódaithe cheana féin pas.eochair. Cuimhnigh an líne sin le sraith uimhreacha agus an téacs 'asmodat'? Déanaimis iarracht an chéad 20 beart den teaghrán a úsáid mar fhocal faire don KRunner Fillteán.
Féach, oibríonn sé! Tháinig an cód focal suas, agus bhí gach rud deciphered breá. Agus na carachtair sa fhocal faire á meas, is léiriú HEX é ar fhocal ar leith in ASCII. Déanaimis iarracht an códfhocal a thaispeáint i bhfoirm téacs. Faighimid 'scáth mac tíre'. Cheana féin ag mothú na hairíonna de lycanthropy?
Breathnaímis ar struchtúr an chomhaid lena mbaineann, agus fios againn anois conas a oibríonn an taisceadán:
- 02 00 00 00 – modh criptithe ainm;
- 58 00 00 00 – fad ainm an chomhaid criptithe agus base64 ionchódaithe;
- 40 00 00 00 – méid an cheanntásca aistrithe.
Tá an t-ainm criptithe féin agus an ceanntásc aistrithe aibhsithe i dearg agus buí, faoi seach.
Rís. 10. Tá an t-ainm criptithe aibhsithe i dearg, aibhsítear an ceanntásc aistrithe i buí.
Anois déanaimis comparáid idir na hainmneacha criptithe agus díchriptithe san ionadaíocht heicsidheachúil.
Struchtúr na sonraí díchriptithe:
- 78 B9 B8 2E – truflais cruthaithe ag an áirgiúlacht (4 beart);
- 0С 00 00 00 – fad an ainm díchriptithe (12 beart);
- Ansin tagann an t-ainm comhaid iarbhír agus an stuáil le nialais go dtí an fad bloc riachtanach (stuáil).
Rís. 11. Breathnaíonn IMG_4114 i bhfad níos fearr.
III. Conclúidí agus Conclúid
Ar ais go dtí an tús. Níl a fhios againn cad a spreag an t-údar Wulfric.Ransomware agus cén sprioc a shaothrú aige. Ar ndóigh, don úsáideoir meánach, beidh an chuma ar an toradh ar obair fiú criptitheora den sórt sin mar tubaiste mór. Ní osclaíonn comhaid. Tá gach ainm imithe. In ionad an phictiúr is gnách, tá mac tíre ar an scáileán. Cuireann siad iallach ort léamh faoi bitcoins.
Fíor, an uair seo, faoi chruth “ionchódóra uafásach,” bhí a leithéid d’iarracht ridiciúil agus dúr ar sracadh i bhfolach, áit a n-úsáideann an t-ionsaitheoir cláir réamhdhéanta agus ina bhfágann sé na heochracha ceart ag láthair na coireachta.
Dála an scéil, faoi na heochracha. Ní raibh script mhailíseach nó Trojan againn a d’fhéadfadh cabhrú linn tuiscint a fháil ar conas a tharla sé seo. pas.eochair – tá an mheicníocht trína léirítear an comhad ar ríomhaire ionfhabhtaithe fós anaithnid. Ach, is cuimhin liom, ina nóta luaigh an t-údar uathúlacht an fhocail faire. Mar sin, tá an códfhocal le haghaidh díchriptiú chomh uathúil agus atá an t-ainm úsáideora scáth mac tíre uathúil :)
Agus fós, scáth mac tíre, cén fáth agus cén fáth?
Foinse: will.com