ProHoster > Pūnaewele > Nā Administration > ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole

I kekahi manawa makemake ʻoe e nānā i nā maka o kekahi mea kākau virus a nīnau: no ke aha a no ke aha? Hiki iā mākou ke pane i ka nīnau "pehea" iā mākou iho, akā he mea hoihoi loa ka ʻike ʻana i ka manaʻo o kēia mea a i ʻole kēlā mea hana malware. ʻOi loa ke ʻike mākou i kēlā mau "momi".

ʻO ka meʻe o ka ʻatikala o kēia lā he laʻana hoihoi ia o kahi cryptographer. Ua manaʻo ʻia ʻo ia he "ransomware" ʻē aʻe, akā ʻo kāna hoʻokō ʻenehana ke ʻano like me ka ʻakaʻaka ʻino a kekahi. E kamaʻilio mākou e pili ana i kēia hoʻokō i kēia lā.

ʻO ka mea pōʻino, ʻaneʻane hiki ʻole ke ʻimi i ke kaʻina ola o kēia encoder - he liʻiliʻi loa nā helu helu ma luna o ia mea, ʻoiai, ʻoi aku ka maikaʻi, ʻaʻole ia i laha. No laila, e haʻalele mākou i ke kumu, nā ʻano o ka maʻi a me nā kuhikuhi ʻē aʻe. E kamaʻilio wale kāua e pili ana i kā mākou hihia o ka hui ʻana me ʻO Wulfric Ransomware a pehea mākou i kōkua ai i ka mea hoʻohana e mālama i kāna mau faila.

I. Pehea i hoomaka ai

Hoʻopili pinepine ka poʻe i loaʻa i ka ransomware i kā mākou hale hana anti-virus. Hāʻawi mākou i ke kōkua me ka nānā ʻole i nā huahana antivirus a lākou i hoʻokomo ai. I kēia manawa ua hoʻopili ʻia mākou e kekahi kanaka nona nā faila i hoʻopilikia ʻia e kahi encoder ʻike ʻole.

Aloha awakea, Aloha Auinalā Ua hoʻopili ʻia nā faila ma kahi waihona waihona (samba4) me ka ʻōlelo huna ʻole. Manaʻo wau ua hele mai ka maʻi mai ka kamepiula a kaʻu kaikamahine (Windows 10 me ka pale Windows Defender maʻamau). ʻAʻole i hoʻā ʻia ke kamepiula a ke kaikamahine ma hope o kēlā. Hoʻopili nui ʻia nā faila .jpg a me .cr2. Hoʻonui faila ma hope o ka hoʻopili ʻana: .aef.

Ua loaʻa iā mākou mai nā mea hoʻohana o nā faila i hoʻopili ʻia, kahi memo uku, a me kahi faila ʻo ia paha ke kī e pono ai ka mea kākau ransomware e wehe i nā faila.

Eia kā mākou mau hōʻailona a pau:

  • 01c.aef (4481K)
  • hacked.jpg (254K)
  • hacked.txt (0K)
  • 04c.aef (6540K)
  • pass.key (0K)

E nānā kākou i ka memo. Ehia bitcoins i kēia manawa?

Unuhi:

E nānā, ua hoʻopili ʻia kāu mau faila!
Hoʻokahi ka ʻōlelo huna i kāu PC.

E uku i ka huina o 0.05 BTC i ka helu wahi Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Ma hope o ka uku ʻana, e hoʻouna mai iaʻu i leka uila, e hoʻopili ana i ka faila pass.key i [pale ʻia ka leka uila] me ka hoolaha ana i ka uku.

Ma hope o ka hōʻoia ʻana, e hoʻouna wau iā ʻoe i kahi decryptor no nā faila.

Hiki iā ʻoe ke uku no nā bitcoins ma ka pūnaewele ma nā ʻano like ʻole:
kūʻai.blockexplorer.com — uku ma ke kāleka panakō
www.buybitcoinworldwide.com
localbitcoins.net

E pili ana i nā Bitcoins:
en.wikipedia.org/wiki/Bitcoin
Inā he mau nīnau kāu, e kākau mai iaʻu ma [pale ʻia ka leka uila]
Ma ke ʻano he bonus, e haʻi wau iā ʻoe pehea i hacked ai kāu kamepiula a pehea e pale ai i ka wā e hiki mai ana.

He ʻīlio hae hoʻohiwahiwa, i hoʻolālā ʻia e hōʻike i ka mea i hōʻeha ʻia i ke koʻikoʻi o ke kūlana. Eia naʻe, ʻoi aku ka ʻino.

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole
Laiki. 1. -Ma keʻano he bonus, e haʻi wau iā ʻoe pehea e pale ai i kāu kamepiula i ka wā e hiki mai ana. - Manaʻo pono.

II. E hoʻomaka kākou

ʻO ka mea mua, ua nānā mākou i ke ʻano o ka hāpana i hoʻouna ʻia. ʻO ka mea kupanaha, ʻaʻole ia i like me kahi faila i hōʻino ʻia e ka ransomware. E wehe i ka hoʻoponopono hexadecimal a nānā. Aia nā 4 bytes mua i ka nui o ka faila mua, ua piha nā 60 bytes i nā zeros. Akā ʻo ka mea hoihoi loa ma ka hopena:

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole
Laiki. 2 E noʻonoʻo i ka faila i poino. He aha ka mea e hopu koke ai i kou maka?

Ua maʻalahi nā mea a pau: 0x40 bytes mai ke poʻo i hoʻoneʻe ʻia i ka hope o ka faila. No ka hoʻihoʻi ʻana i ka ʻikepili, e hoʻihoʻi wale ia i ka hoʻomaka. Ua hoʻihoʻi ʻia ke komo ʻana i ka faila, akā ua hoʻopaʻa ʻia ka inoa, a ʻoi aku ka paʻakikī o nā mea.

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole
Laiki. 3. ʻO ka inoa i hoʻopili ʻia ma Base64 me he pūʻulu rambling o nā huaʻōlelo.

E ho'āʻo kākou e noʻonoʻo pass.key, waiho ʻia e ka mea hoʻohana. I loko o ia mea, ʻike mākou i kahi kaʻina 162-byte o nā huaʻōlelo ASCII.

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole
Laiki. 4. 162 mau huapalapala i koe ma ka PC o ka mea i pepehiia.

Inā ʻoe e nānā pono, e ʻike ʻoe e hana hou ʻia nā hōʻailona me kahi alapine. Hōʻike paha kēia i ka hoʻohana ʻana o XOR, i hōʻike ʻia e ka repetitions, ʻo ke alapine e pili ana i ka lōʻihi o ke kī. Ma hope o ka hoʻokaʻawale ʻana i ke kaula i 6 mau huaʻōlelo a XORed me kekahi mau ʻano like ʻole o nā kaʻina XOR, ʻaʻole i loaʻa iā mākou kahi hopena koʻikoʻi.

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole
Laiki. 5. E ike i na mea mau ma ka waena?

Ua hoʻoholo mākou e google mau, no ka mea, hiki nō! A ua alakaʻi lākou a pau i hoʻokahi algorithm - Batch Encryption. Ma hope o ke aʻo ʻana i ka palapala, ua ʻike ʻia ʻo kā mākou laina he mea ʻē aʻe ma mua o ka hopena o kāna hana. Pono e ʻōlelo ʻia ʻaʻole kēia he encryptor, akā he encoder wale nō e hoʻololi i nā huaʻōlelo me nā kaʻina 6-byte. ʻAʻohe kī a mea huna ʻē aʻe iā ʻoe :)

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole
Laiki. 6. He ʻāpana o ka algorithm kumu o ka mea kākau ʻike ʻole.

ʻAʻole e hana ka algorithm e like me ka mea e pono ai inā ʻaʻole no kahi kikoʻī:

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole
Laiki. 7. Aponoia o Morpheus.

Ke hoʻohana nei i ka hoʻololi hoʻololi i ke kaula mai pass.key i loko o kahi kikokikona o 27 huaʻōlelo. Pono ka 'asmodat' kikokikona kanaka (ʻoi loa paha).

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole
Fig.8. USGFDG=7.

E kōkua hou ʻo Google iā mākou. Ma hope o ka huli ʻana, ʻike mākou i kahi papahana hoihoi ma GitHub - Folder Locker, i kākau ʻia ma .Net a me ka hoʻohana ʻana i ka waihona 'asmodat' mai kahi moʻokāki Git ʻē aʻe.

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole
Laiki. 9. Hoʻopili paʻa waihona. E nānā pono no ka polokalamu kiloʻino.

He mea hoʻopunipuni ka pono no Windows 7 a ʻoi aku ke kiʻekiʻe, i māhele ʻia ma ke ʻano he open source. I ka wā hoʻopunipuni, hoʻohana ʻia kahi ʻōlelo huna, pono ia no ka decryption ma hope. Hiki iā ʻoe ke hana me nā faila pākahi a me nā papa kuhikuhi holoʻokoʻa.

Hoʻohana kona waihona i ka Rijndael symmetric encryption algorithm ma ke ʻano CBC. He mea pono ke koho ʻia ka nui o ka poloka he 256 bits - ʻokoʻa i ka mea i hoʻopaʻa ʻia ma ka maʻamau AES. I ka hope, ua kaupalena ʻia ka nui i 128 bits.

Hoʻokumu ʻia kā mākou kī e like me ka maʻamau PBKDF2. I kēia hihia, ʻo SHA-256 ka ʻōlelo huna mai ke kaula i hoʻokomo ʻia i ka pono. ʻO nā mea a pau i koe, ʻo ka ʻimi ʻana i kēia kaula e hana i ke kī decryption.

ʻAe, e hoʻi kāua i kā mākou decoded pass.key. E hoʻomanaʻo i kēlā laina me kahi helu helu a me ka kikokikona 'asmodat'? E ho'āʻo kākou e hoʻohana i nā 20 bytes mua o ke kaula i ʻōlelo huna no ka Folder Locker.

E nānā, hana ia! Ua puka mai ka huaʻōlelo code, a ua wehewehe pono ʻia nā mea a pau. Ma ka hoʻoholo ʻana e nā huaʻōlelo i ka ʻōlelo huna, he hōʻike HEX ia o kahi huaʻōlelo kikoʻī ma ASCII. E ho'āʻo kākou e hōʻike i ka huaʻōlelo code ma ke ʻano kikokikona. Loaʻa iā mākou 'shadowwolf'. Ua ʻike ʻoe i nā hōʻailona o lycanthropy?

E nānā hou kākou i ke ʻano o ka faila i hoʻopili ʻia, i kēia manawa ke ʻike nei pehea e hana ai ka laka:

  • 02 00 00 00 - ke ʻano hoʻopunipuni inoa;
  • 58 00 00 00 - ka lōʻihi o ka inoa faila i hoʻopili ʻia a base64;
  • 40 00 00 00 - ka nui o ke poʻo i hoʻoili ʻia.

ʻO ka inoa i hoʻopili ʻia a me ke poʻo i hoʻololi ʻia e hōʻike ʻia i ka ʻulaʻula a me ka melemele.

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole
Laiki. 10. Hōʻike ʻia ka inoa i hoʻopili ʻia i ka ʻulaʻula, ʻo ke poʻo i hoʻololi ʻia i ka melemele.

I kēia manawa e hoʻohālikelike i nā inoa i hoʻopili ʻia a hoʻokaʻawale ʻia i ka hōʻike hexadecimal.

ʻO ke ʻano o ka ʻikepili decrypted:

  • 78 B9 B8 2E - ʻōpala i hana ʻia e ka pono (4 bytes);
  • 0С 00 00 00 - ka lōʻihi o ka inoa decrypted (12 bytes);
  • A laila hiki mai ka inoa faila maoli a me ka padding me nā zeros i ka lōʻihi o ka poloka i makemake ʻia (padding).

ʻO Wulfric Ransomware - kahi ransomware i loaʻa ʻole
Laiki. 11. ʻOi aku ka maikaʻi o ka IMG_4114.

III. Nā Manaʻo a me ka hopena

Hoʻi i ka hoʻomaka. ʻAʻole maopopo iā mākou ka mea i hoʻoikaika i ka mea kākau o Wulfric.Ransomware a me ka pahuhopu āna i alualu ai. ʻOiaʻiʻo, no ka mea hoʻohana maʻamau, ʻo ka hopena o ka hana a kēlā me kēia encryptor e like me kahi pōʻino nui. ʻAʻole wehe nā faila. Ua pau na inoa. Ma kahi o ke kiʻi maʻamau, aia kahi ʻīlio hae ma ka pale. Hoʻoikaika lākou iāʻoe e heluhelu e pili ana i nā bitcoins.

ʻOiaʻiʻo, i kēia manawa, ma lalo o ke ʻano o ka "encoder weliweli," ua hūnā ʻia kahi hoʻāʻo ʻakaʻaka a me ka naʻaupō i ka ʻaihue, kahi e hoʻohana ai ka mea hoʻouka i nā papahana i mākaukau a waiho i nā kī ma ke kahua hewa.

Ma ke ala, e pili ana i nā kī. ʻAʻohe o mākou palapala hōʻino a i ʻole Trojan e hiki ke kōkua iā mākou e hoʻomaopopo i ke ʻano o kēia. pass.key - ʻaʻole ʻike ʻia ke ʻano o ka faila ma kahi PC maʻi. Akā, ke hoʻomanaʻo nei au, ma kāna moʻolelo i haʻi aku ai ka mea kākau i ke ʻano o ka ʻōlelo huna. No laila, ʻokoʻa ka huaʻōlelo code no ka decryption e like me ka inoa inoa shadow wolf ʻokoʻa :)

A ʻo ka ʻīlio hae, no ke aha a no ke aha?

Source: www.habr.com

Pākuʻi i ka manaʻo hoʻopuka