Aig amannan tha thu dĂŹreach airson coimhead a-steach do shĂšilean sgrĂŹobhadair bhĂŹoras agus faighneachd: carson agus carson? Is urrainn dhuinn aâ cheist âciamarâ a fhreagairt sinn fhĂŹn, ach bhiodh e glè inntinneach faighinn a-mach dè a bha seo no an neach-cruthachaidh malware sin aâ smaoineachadh. Gu sònraichte nuair a thig sinn tarsainn air na âneamhnaideanâ sin.
Tha gaisgeach artaigil an latha an-diugh na eisimpleir inntinneach de cryptographer. Tha e coltach gun deach a mheas mar dĂŹreach âransomwareâ eile, ach tha a bhuileachadh teignigeach a âcoimhead nas coltaiche ri fealla-dhĂ cruaidh cuideigin. Bruidhnidh sinn mun bhuileachadh seo an-diugh.
Gu mĂŹ-fhortanach, tha e cha mhòr do-dhèanta a bhith a 'lorg cearcall beatha a' chòdadair seo - chan eil mòran staitistig ann, oir, gu fortanach, chan eil e air fĂ s farsaing. Mar sin, fĂ gaidh sinn a-mach tĂšs, dòighean galair agus iomraidhean eile. Nach bruidhinn sinn dĂŹreach air aâ chĂšis coinneimh againn Wulfric Ransomware agus mar a chuidich sinn an neach-cleachdaidh na faidhlichean aige a shĂ bhaladh.
I. Mar a thòisich e uile
Bidh daoine a tha air fulang le ransomware gu tric aâ cur fios chun obair-lann an-aghaidh bhĂŹoras againn. Bidh sinn aâ toirt seachad taic ge bith dè na toraidhean antivirus a chuir iad a-steach. An turas seo chuir neach fios thugainn aig an robh buaidh aig encoder neo-aithnichte air na faidhlichean aige.
Feasgar math Chaidh faidhlichean a chrioptachadh air stòr faidhle (samba4) le logadh a-steach gun fhacal-faire. Tha amharas agam gun tà inig an galar bho choimpiutair mo nighean (Windows 10 le dÏon à bhaisteach Windows Defender). Cha deach coimpiutair na h-Ïghne a thionndadh air às deidh sin. Tha na faidhlichean air an crioptachadh sa mhòr-chuid .jpg agus .cr2. Leudachadh faidhle às deidh crioptachadh: .aef.
Fhuair sinn sampallan bhon neach-cleachdaidh de fhaidhlichean crioptaichte, nota airgead-fuadain, agus faidhle a tha dualtach an iuchair a dhâ fheumadh an t-Ăšghdar ransomware gus na faidhlichean a dhĂŹ-chrioptachadh.
Seo na sanasan againn uile:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Bheir sinn sĂšil air an nota. Cia mheud bitcoins an turas seo?
Eadar-theangachadh:
Thoir an aire, tha na faidhlichean agad air an crioptachadh!
Tha am facal-faire sònraichte don PC agad.Pà igh an t-suim 0.05 BTC chun t-seòladh Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Ăs deidh pĂ igheadh, cuir post-d thugam leis an fhaidhle pass.key ceangailte ri Wulfric@gmx.com le fios pĂ ighidh.Ăs deidh dearbhadh, cuiridh mi decryptor thugad airson na faidhlichean.
Faodaidh tu pĂ igheadh ââââairson bitcoins air-loidhne ann an diofar dhòighean:
- pĂ igheadh ââle cairt banca
Mu Bitcoins:
Ma tha ceist sam bith agad, cuir post-d thugam aig Wulfric@gmx.com
Mar bhuannachd, innsidh mi dhut mar a chaidh do choimpiutair a sheacadh agus mar a dhĂŹonas tu e san Ă m ri teachd.
Madadh-allaidh seòlta, air a dhealbhadh gus sealltainn don neach-fulang cho dona sa tha an suidheachadh. Ach, dhâ fhaodadh e a bhith na bu mhiosa.
Reis. 1. -Mar bhuannachd, innsidh mi dhut mar a dhĂŹonas tu a 'choimpiutair agad san Ă m ri teachd. - Tha e coltach legit.
II. Feuch an tòisich sinn
An toiseach, thug sinn sĂšil air structar an t-sampall a chaidh a chuir. Gu neònach gu leòr, cha robh e coltach ri faidhle a chaidh a mhilleadh le ransomware. Fosgail an deasaiche hexadecimal agus thoir sĂšil. Anns aâ chiad 4 bytes tha meud an fhaidhle tĂšsail, tha an ath 60 bytes air an lĂŹonadh le neamhan. Ach tha an rud as inntinniche aig an deireadh:
Reis. 2 Dèan sgrÚdadh air an fhaidhle millte. Dè a ghlacas do shÚil sa bhad?
Bha a h-uile dad gu math sĂŹmplidh: chaidh 0x40 bytes bhon cheann-cinn a ghluasad gu deireadh an fhaidhle. Gus dĂ ta a thoirt air ais, dĂŹreach till air ais chun toiseach. Chaidh inntrigeadh dhan fhaidhle ath-nuadhachadh, ach tha an t-ainm fhathast air a chrioptachadh, agus tha cĂšisean a' fĂ s nas toinnte leis.
Reis. 3. Tha an t-ainm crioptaichte ann am Base64 coltach ri seata de charactaran.
Feuchaidh sinn ri faighinn a-mach pas.key, air a chuir a-steach leis an neach-cleachdaidh. An seo chĂŹ sinn sreath 162-byte de charactaran ASCII.
Reis. 4. 162 caractar air am fĂ gail air PC an neach-fulaing.
Ma sheallas tu gu dlĂšth, chĂŹ thu gu bheil na samhlaidhean air an ath-aithris le tricead sònraichte. Dh'fhaodadh seo a bhith a 'comharrachadh cleachdadh XOR, a tha air a chomharrachadh le ath-aithris, agus tha tricead an crochadh air fad a' phrĂŹomh. Ăs deidh dhuinn an t-sreang a roinn ann an caractaran 6 agus XORed le cuid de dh âeadar-dhealachaidhean de shreathan XOR, cha do choilean sinn toradh brĂŹoghmhor sam bith.
Reis. 5. Faic na comharran ath-aithris sa mheadhan?
Cho-dhĂšin sinn Google constants, oir tha, tha sin comasach cuideachd! Agus dh'adhbhraich iad uile mu dheireadh gu aon algairim - Baidse Encryption. Ăs deidh sgrĂšdadh a dhèanamh air an sgriobt, dhâ fhĂ s e soilleir nach eil an loidhne againn dad nas motha na toradh na h-obrach aige. Bu chòir a thoirt fa-near nach e crioptaiche a tha seo idir, ach dĂŹreach encoder a chuireas sreathan 6-byte an Ă ite charactaran. Chan eil iuchraichean no dĂŹomhaireachdan eile ann dhut :)
Reis. 6. PĂŹos den algairim thĂšsail de dh'Ăšghdarachd neo-aithnichte.
Cha bhiodh an algairim ag obair mar a bu chòir mura biodh e airson aon mhion-fhiosrachaidh:
Reis. 7. Morpheus aontaichte.
Le bhith aâ cleachdadh ionadachadh cĂšil bidh sinn ag atharrachadh an t-sreang bho pas.key ann an teacsa de 27 caractaran. Tha an teacsa daonna (asmodat) airidh air aire shònraichte.
Fig.8. USGFDG=7.
Cuidichidh Google sinn a-rithist. An dèidh beagan rannsachaidh, lorg sinn pròiseact inntinneach air GitHub - Folder Locker, sgrÏobhte ann an .Net agus a 'cleachdadh an leabharlann' asmodat 'bho chunntas Git eile.
Reis. 9. Folder Locker eadar-aghaidh. Dèan cinnteach gun dèan thu sgrÚdadh airson malware.
Tha an goireas na chrioptachadh airson Windows 7 agus nas Ă irde, a tha air a chuairteachadh mar stòr fosgailte. Rè crioptachadh, thèid facal-faire a chleachdadh, a tha riatanach airson dĂŹ-chrioptachadh Ă s deidh sin. Aâ leigeil leat obrachadh an dĂ chuid le faidhlichean fa leth agus le clĂ ran slĂ n.
Bidh an leabharlann aige aâ cleachdadh algairim crioptachaidh co-chothromach Rijndael ann am modh CBC. Bu chòir a thoirt fa-near gun deach meud aâ bhloc a thaghadh airson a bhith 256 pĂŹosan - an taca ris an fheadhainn a chaidh gabhail ris ann an inbhe AES. Anns an fhear mu dheireadh, tha am meud cuingealaichte ri 128 pĂŹosan.
Tha an iuchair againn air a chruthachadh a rèir inbhe PBKDF2. Anns a 'chÚis seo, is e am facal-faire SHA-256 bhon t-sreang a chaidh a chur a-steach don ghoireas. Chan eil air fhà gail ach an sreang seo a lorg gus an iuchair dÏ-chrioptachaidh a ghineadh.
Uill, tillidh sinn chun an fheadhainn a chaidh a chòdachadh mu thrĂ th pas.key. Cuimhnich an loidhne sin le seata Ă ireamhan agus an teacsa âasmodatâ? Feuchaidh sinn ris aâ chiad 20 byte den t-sreang a chleachdadh mar fhacal-faire airson Folder Locker.
Seall, tha e ag obair! ThĂ inig am facal còd suas, agus chaidh a h-uile dad a mhĂŹneachadh gu foirfe. Aâ breithneachadh leis na caractaran san fhacal-fhaire, tha e na riochdachadh HEX de fhacal sònraichte ann an ASCII. Feuchaidh sinn ris an fhacal còd a thaisbeanadh ann an cruth teacsa. Gheibh sinn 'dubhar-dubha'. A bheil thu mu thrĂ th aâ faireachdainn comharran lycanthropy?
Bheir sinn sĂšil eile air structar an fhaidhle air a bheil buaidh, a-nis le fios mar a tha an locker ag obair:
- 02 00 00 00 - modh crioptachaidh ainm;
- 58 00 00 00 - fad ainm an fhaidhle crioptaichte agus base64;
- 40 00 00 00 - meud aâ chinn a chaidh a ghluasad.
Tha an t-ainm crioptaichte fhèin agus an bann-cinn a chaidh a ghluasad air an comharrachadh ann an dearg is buidhe, fa leth.
Reis. 10. Tha an t-ainm crioptaichte air a chomharrachadh ann an dearg, tha an bann-cinn a chaidh a ghluasad air a chomharrachadh ann am buidhe.
A-nis dèanamaid coimeas eadar na h-ainmean crioptaichte agus dÏ-chrioptaichte ann an riochdachadh sia-thaobhach.
Structar dĂ ta neo-chrioptaichte:
- 78 B9 B8 2E - sgudal air a chruthachadh leis aâ ghoireas (4 bytes);
- 0ĐĄ 00 00 00 - fad an ainm dĂŹ-chrioptaichte (12 bytes);
- An uairsin thig fĂŹor ainm an fhaidhle agus pleadhag le neamhan chun an fhad bloca a tha a dhĂŹth (pleadhadh).
Reis. 11. Tha coltas tòrr nas fheà rr air IMG_4114.
III. Co-dhĂšnaidhean agus Co-dhĂšnadh
Air ais chun toiseach. Chan eil fios againn dè a bhrosnaich Ăšghdar Wulfric.Ransomware agus dè an amas a lean e. Gu dearbh, airson an neach-cleachdaidh cuibheasach, bidh toradh obair eadhon an leithid de chrioptachadh coltach ri mòr-thubaist. Chan eil faidhlichean aâ fosgladh. Tha na h-ainmean uile air falbh. An Ă ite an dealbh Ă bhaisteach, tha madadh-allaidh air an sgrion. Bidh iad a 'toirt ort leughadh mu bitcoins.
FĂŹor, an turas seo, fo stiĂšir âencoder uamhasach,â bha oidhirp cho gòrach agus gòrach air grĂ in a chuir am falach, far am bi an neach-ionnsaigh aâ cleachdadh prògraman deiseil agus aâ fĂ gail na h-iuchraichean dĂŹreach aig lĂ rach na h-eucoir.
Co-dhiĂš, mu na h-iuchraichean. Cha robh sgriobt droch-rĂšnach no Trojan againn a dh'fhaodadh ar cuideachadh a 'tuigsinn mar a thachair seo. pas.key - chan eil fios fhathast air an dòigh anns am bi am faidhle aâ nochdadh air PC gabhaltach. Ach, tha cuimhne agam, anns an nota aige thug an t-Ăšghdar iomradh air cho sònraichte sa bha am facal-faire. Mar sin, tha am facal còd airson dĂŹ-chrioptachadh cho sònraichte ris an ainm neach-cleachdaidh sgĂ il madadh-allaidh gun samhail :)
Agus fhathast, madadh-allaidh sgĂ il, carson agus carson?
Source: www.habr.com
