Aig amannan tha thu dìreach airson coimhead a-steach do shùilean sgrìobhadair bhìoras agus faighneachd: carson agus carson? Is urrainn dhuinn a’ cheist “ciamar” a fhreagairt sinn fhìn, ach bhiodh e glè inntinneach faighinn a-mach dè a bha seo no an neach-cruthachaidh malware sin a’ smaoineachadh. Gu sònraichte nuair a thig sinn tarsainn air na “neamhnaidean” sin.
Tha gaisgeach artaigil an latha an-diugh na eisimpleir inntinneach de cryptographer. Tha e coltach gun deach a mheas mar dìreach “ransomware” eile, ach tha a bhuileachadh teignigeach a ’coimhead nas coltaiche ri fealla-dhà cruaidh cuideigin. Bruidhnidh sinn mun bhuileachadh seo an-diugh.
Gu mì-fhortanach, tha e cha mhòr do-dhèanta a bhith a 'lorg cearcall beatha a' chòdadair seo - chan eil mòran staitistig ann, oir, gu fortanach, chan eil e air fàs farsaing. Mar sin, fàgaidh sinn a-mach tùs, dòighean galair agus iomraidhean eile. Nach bruidhinn sinn dìreach air a’ chùis coinneimh againn Wulfric Ransomware agus mar a chuidich sinn an neach-cleachdaidh na faidhlichean aige a shàbhaladh.
I. Mar a thòisich e uile
Bidh daoine a tha air fulang le ransomware gu tric a’ cur fios chun obair-lann an-aghaidh bhìoras againn. Bidh sinn a’ toirt seachad taic ge bith dè na toraidhean antivirus a chuir iad a-steach. An turas seo chuir neach fios thugainn aig an robh buaidh aig encoder neo-aithnichte air na faidhlichean aige.
Feasgar math Chaidh faidhlichean a chrioptachadh air stòr faidhle (samba4) le logadh a-steach gun fhacal-faire. Tha amharas agam gun tàinig an galar bho choimpiutair mo nighean (Windows 10 le dìon àbhaisteach Windows Defender). Cha deach coimpiutair na h-ìghne a thionndadh air às deidh sin. Tha na faidhlichean air an crioptachadh sa mhòr-chuid .jpg agus .cr2. Leudachadh faidhle às deidh crioptachadh: .aef.
Fhuair sinn sampallan bhon neach-cleachdaidh de fhaidhlichean crioptaichte, nota airgead-fuadain, agus faidhle a tha dualtach an iuchair a dh’ fheumadh an t-ùghdar ransomware gus na faidhlichean a dhì-chrioptachadh.
Seo na sanasan againn uile:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Bheir sinn sùil air an nota. Cia mheud bitcoins an turas seo?
Eadar-theangachadh:
Thoir an aire, tha na faidhlichean agad air an crioptachadh!
Tha am facal-faire sònraichte don PC agad.Pàigh an t-suim 0.05 BTC chun t-seòladh Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Às deidh pàigheadh, cuir post-d thugam, a’ ceangal am faidhle pass.key ri [post-d fo dhìon] le fios mu phàigheadh.Às deidh dearbhadh, cuiridh mi decryptor thugad airson na faidhlichean.
Faodaidh tu pàigheadh airson bitcoins air-loidhne ann an diofar dhòighean:
- pàigheadh le cairt banca
Mu Bitcoins:
Ma tha ceist sam bith agad, nach sgrìobh thu thugam aig [post-d fo dhìon]
Mar bhuannachd, innsidh mi dhut mar a chaidh do choimpiutair a sheacadh agus mar a dhìonas tu e san àm ri teachd.
Madadh-allaidh seòlta, air a dhealbhadh gus sealltainn don neach-fulang cho dona sa tha an suidheachadh. Ach, dh’ fhaodadh e a bhith na bu mhiosa.
Reis. 1. -Mar bhuannachd, innsidh mi dhut mar a dhìonas tu a 'choimpiutair agad san àm ri teachd. - Tha e coltach legit.
II. Feuch an tòisich sinn
An toiseach, thug sinn sùil air structar an t-sampall a chaidh a chuir. Gu neònach gu leòr, cha robh e coltach ri faidhle a chaidh a mhilleadh le ransomware. Fosgail an deasaiche hexadecimal agus thoir sùil. Anns a’ chiad 4 bytes tha meud an fhaidhle tùsail, tha an ath 60 bytes air an lìonadh le neamhan. Ach tha an rud as inntinniche aig an deireadh:
Reis. 2 Dèan sgrùdadh air an fhaidhle millte. Dè a ghlacas do shùil sa bhad?
Bha a h-uile dad gu math sìmplidh: chaidh 0x40 bytes bhon cheann-cinn a ghluasad gu deireadh an fhaidhle. Gus dàta a thoirt air ais, dìreach till air ais chun toiseach. Chaidh inntrigeadh dhan fhaidhle ath-nuadhachadh, ach tha an t-ainm fhathast air a chrioptachadh, agus tha cùisean a' fàs nas toinnte leis.
Reis. 3. Tha an t-ainm crioptaichte ann am Base64 coltach ri seata de charactaran.
Feuchaidh sinn ri faighinn a-mach pas.key, air a chuir a-steach leis an neach-cleachdaidh. An seo chì sinn sreath 162-byte de charactaran ASCII.
Reis. 4. 162 caractar air am fàgail air PC an neach-fulaing.
Ma sheallas tu gu dlùth, chì thu gu bheil na samhlaidhean air an ath-aithris le tricead sònraichte. Dh'fhaodadh seo a bhith a 'comharrachadh cleachdadh XOR, a tha air a chomharrachadh le ath-aithris, agus tha tricead an crochadh air fad a' phrìomh. Às deidh dhuinn an t-sreang a roinn ann an caractaran 6 agus XORed le cuid de dh ’eadar-dhealachaidhean de shreathan XOR, cha do choilean sinn toradh brìoghmhor sam bith.
Reis. 5. Faic na comharran ath-aithris sa mheadhan?
Cho-dhùin sinn Google constants, oir tha, tha sin comasach cuideachd! Agus dh'adhbhraich iad uile mu dheireadh gu aon algairim - Baidse Encryption. Às deidh sgrùdadh a dhèanamh air an sgriobt, dh’ fhàs e soilleir nach eil an loidhne againn dad nas motha na toradh na h-obrach aige. Bu chòir a thoirt fa-near nach e crioptaiche a tha seo idir, ach dìreach encoder a chuireas sreathan 6-byte an àite charactaran. Chan eil iuchraichean no dìomhaireachdan eile ann dhut :)
Reis. 6. Pìos den algairim thùsail de dh'ùghdarachd neo-aithnichte.
Cha bhiodh an algairim ag obair mar a bu chòir mura biodh e airson aon mhion-fhiosrachaidh:
Reis. 7. Morpheus aontaichte.
Le bhith a’ cleachdadh ionadachadh cùil bidh sinn ag atharrachadh an t-sreang bho pas.key ann an teacsa de 27 caractaran. Tha an teacsa daonna (asmodat) airidh air aire shònraichte.
Fig.8. USGFDG=7.
Cuidichidh Google sinn a-rithist. An dèidh beagan rannsachaidh, lorg sinn pròiseact inntinneach air GitHub - Folder Locker, sgrìobhte ann an .Net agus a 'cleachdadh an leabharlann' asmodat 'bho chunntas Git eile.
Reis. 9. Folder Locker eadar-aghaidh. Dèan cinnteach gun dèan thu sgrùdadh airson malware.
Tha an goireas na chrioptachadh airson Windows 7 agus nas àirde, a tha air a chuairteachadh mar stòr fosgailte. Rè crioptachadh, thèid facal-faire a chleachdadh, a tha riatanach airson dì-chrioptachadh às deidh sin. A’ leigeil leat obrachadh an dà chuid le faidhlichean fa leth agus le clàran slàn.
Bidh an leabharlann aige a’ cleachdadh algairim crioptachaidh co-chothromach Rijndael ann am modh CBC. Bu chòir a thoirt fa-near gun deach meud a’ bhloc a thaghadh airson a bhith 256 pìosan - an taca ris an fheadhainn a chaidh gabhail ris ann an inbhe AES. Anns an fhear mu dheireadh, tha am meud cuingealaichte ri 128 pìosan.
Tha an iuchair againn air a chruthachadh a rèir inbhe PBKDF2. Anns a 'chùis seo, is e am facal-faire SHA-256 bhon t-sreang a chaidh a chur a-steach don ghoireas. Chan eil air fhàgail ach an sreang seo a lorg gus an iuchair dì-chrioptachaidh a ghineadh.
Uill, tillidh sinn chun an fheadhainn a chaidh a chòdachadh mu thràth pas.key. Cuimhnich an loidhne sin le seata àireamhan agus an teacsa ‘asmodat’? Feuchaidh sinn ris a’ chiad 20 byte den t-sreang a chleachdadh mar fhacal-faire airson Folder Locker.
Seall, tha e ag obair! Thàinig am facal còd suas, agus chaidh a h-uile dad a mhìneachadh gu foirfe. A’ breithneachadh leis na caractaran san fhacal-fhaire, tha e na riochdachadh HEX de fhacal sònraichte ann an ASCII. Feuchaidh sinn ris an fhacal còd a thaisbeanadh ann an cruth teacsa. Gheibh sinn 'dubhar-dubha'. A bheil thu mu thràth a’ faireachdainn comharran lycanthropy?
Bheir sinn sùil eile air structar an fhaidhle air a bheil buaidh, a-nis le fios mar a tha an locker ag obair:
- 02 00 00 00 - modh crioptachaidh ainm;
- 58 00 00 00 - fad ainm an fhaidhle crioptaichte agus base64;
- 40 00 00 00 - meud a’ chinn a chaidh a ghluasad.
Tha an t-ainm crioptaichte fhèin agus an bann-cinn a chaidh a ghluasad air an comharrachadh ann an dearg is buidhe, fa leth.
Reis. 10. Tha an t-ainm crioptaichte air a chomharrachadh ann an dearg, tha an bann-cinn a chaidh a ghluasad air a chomharrachadh ann am buidhe.
A-nis dèanamaid coimeas eadar na h-ainmean crioptaichte agus dì-chrioptaichte ann an riochdachadh sia-thaobhach.
Structar dàta neo-chrioptaichte:
- 78 B9 B8 2E - sgudal air a chruthachadh leis a’ ghoireas (4 bytes);
- 0С 00 00 00 - fad an ainm dì-chrioptaichte (12 bytes);
- An uairsin thig fìor ainm an fhaidhle agus pleadhag le neamhan chun an fhad bloca a tha a dhìth (pleadhadh).
Reis. 11. Tha coltas tòrr nas fheàrr air IMG_4114.
III. Co-dhùnaidhean agus Co-dhùnadh
Air ais chun toiseach. Chan eil fios againn dè a bhrosnaich ùghdar Wulfric.Ransomware agus dè an amas a lean e. Gu dearbh, airson an neach-cleachdaidh cuibheasach, bidh toradh obair eadhon an leithid de chrioptachadh coltach ri mòr-thubaist. Chan eil faidhlichean a’ fosgladh. Tha na h-ainmean uile air falbh. An àite an dealbh àbhaisteach, tha madadh-allaidh air an sgrion. Bidh iad a 'toirt ort leughadh mu bitcoins.
Fìor, an turas seo, fo stiùir “encoder uamhasach,” bha oidhirp cho gòrach agus gòrach air gràin a chuir am falach, far am bi an neach-ionnsaigh a’ cleachdadh prògraman deiseil agus a’ fàgail na h-iuchraichean dìreach aig làrach na h-eucoir.
Co-dhiù, mu na h-iuchraichean. Cha robh sgriobt droch-rùnach no Trojan againn a dh'fhaodadh ar cuideachadh a 'tuigsinn mar a thachair seo. pas.key - chan eil fios fhathast air an dòigh anns am bi am faidhle a’ nochdadh air PC gabhaltach. Ach, tha cuimhne agam, anns an nota aige thug an t-ùghdar iomradh air cho sònraichte sa bha am facal-faire. Mar sin, tha am facal còd airson dì-chrioptachadh cho sònraichte ris an ainm neach-cleachdaidh sgàil madadh-allaidh gun samhail :)
Agus fhathast, madadh-allaidh sgàil, carson agus carson?
Source: www.habr.com