Ponekad stvarno želite pogledati u oči nekog pisca virusa i pitati se: zašto i zašto? Na pitanje “kako” možemo odgovoriti sami, ali bilo bi vrlo zanimljivo saznati što je mislio ovaj ili onaj kreator malwarea. Pogotovo kada naiđemo na takve “bisere”.
Junak današnjeg članka je zanimljiv primjer kriptografa. Naizgled je zamišljen kao samo još jedan "ransomware", ali njegova tehnička implementacija više izgleda kao nečija okrutna šala. Danas ćemo razgovarati o ovoj implementaciji.
Nažalost, gotovo je nemoguće pratiti životni ciklus ovog kodera - premalo je statistika o njemu, jer, na sreću, nije postao široko rasprostranjen. Stoga ćemo izostaviti podrijetlo, načine zaraze i druge reference. Razgovarajmo samo o našem slučaju susreta s Wulfric Ransomware i kako smo pomogli korisniku da spremi svoje datoteke.
I. Kako je sve počelo
Ljudi koji su bili žrtve ransomwarea često kontaktiraju naš antivirusni laboratorij. Pružamo pomoć bez obzira na to koje su antivirusne proizvode instalirali. Ovaj put nam se javila osoba čije je datoteke zahvatio nepoznati koder.
Dobar dan Datoteke su šifrirane na pohrani datoteka (samba4) s prijavom bez lozinke. Sumnjam da je infekcija došla s računala moje kćeri (Windows 10 sa standardnom Windows Defender zaštitom). Kćerino računalo nakon toga nije bilo uključeno. Datoteke su šifrirane uglavnom .jpg i .cr2. Ekstenzija datoteke nakon enkripcije: .aef.
Od korisnika smo primili uzorke šifriranih datoteka, poruku o otkupnini i datoteku koja je vjerojatno ključ koji je autoru ransomwarea trebao za dešifriranje datoteka.
Ovdje su svi naši tragovi:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hakirano.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Pogledajmo bilješku. Koliko bitcoina ovaj put?
Prijevod:
Pažnja, vaše datoteke su šifrirane!
Lozinka je jedinstvena za vaše računalo.Uplatite iznos od 0.05 BTC na Bitcoin adresu: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Nakon uplate, pošaljite mi e-mail i priložite pass.key datoteku [e-pošta zaštićena] uz obavijest o uplati.Nakon potvrde, poslat ću vam dekriptor za datoteke.
Bitcoine možete platiti online na različite načine:
— plaćanje bankovnom karticom
O Bitcoinima:
Ako imate pitanja, pišite mi na [e-pošta zaštićena]
Kao bonus, reći ću vam kako je vaše računalo hakirano i kako ga zaštititi u budućnosti.
Pretenciozni vuk, dizajniran da žrtvi pokaže ozbiljnost situacije. Međutim, moglo je biti i gore.
Riža. 1. -Kao bonus, reći ću vam kako zaštititi svoje računalo u budućnosti. -Izgleda valjano.
II. Započnimo
Prije svega, pogledali smo strukturu poslanog uzorka. Čudno, nije izgledalo kao datoteka koju je oštetio ransomware. Otvorite heksadecimalni editor i pogledajte. Prva 4 bajta sadrže izvornu veličinu datoteke, sljedećih 60 bajtova popunjeno je nulama. Ali najzanimljivije je na kraju:
Riža. 2 Analizirajte oštećenu datoteku. Što vam odmah upada u oči?
Sve se pokazalo neugodno jednostavnim: 0x40 bajtova iz zaglavlja premješteno je na kraj datoteke. Za vraćanje podataka jednostavno ih vratite na početak. Pristup datoteci je vraćen, ali ime ostaje šifrirano, a s njim se stvari kompliciraju.
Riža. 3. Šifrirano ime u Base64 izgleda kao nespretan skup znakova.
Pokušajmo to shvatiti prolaz.ključ, poslao korisnik. U njemu vidimo niz ASCII znakova od 162 bajta.
Riža. 4. Preostala su 162 znaka na računalu žrtve.
Ako pažljivo pogledate, primijetit ćete da se simboli ponavljaju s određenom učestalošću. To može ukazivati na korištenje XOR-a, koji karakteriziraju ponavljanja čija učestalost ovisi o duljini ključa. Nakon što smo niz podijelili na 6 znakova i izvršili XOR s nekim varijantama XOR nizova, nismo postigli nikakav značajniji rezultat.
Riža. 5. Vidite ponavljajuće konstante u sredini?
Odlučili smo guglati konstante, jer da, i to je moguće! I svi su u konačnici doveli do jednog algoritma - Batch Encryption. Nakon proučavanja scenarija, postalo je jasno da naša linija nije ništa drugo nego rezultat njegovog rada. Treba napomenuti da ovo uopće nije kriptor, već samo koder koji znakove zamjenjuje sekvencama od 6 bajta. Bez ključeva i drugih tajni za vas :)
Riža. 6. Dio originalnog algoritma nepoznatog autora.
Algoritam ne bi radio kako treba da nije jednog detalja:
Riža. 7. Morpheus je odobrio.
Koristeći obrnutu supstituciju transformiramo niz iz prolaz.ključ u tekst od 27 znakova. Ljudski (najvjerojatnije) tekst 'asmodat' zaslužuje posebnu pozornost.
sl.8. USGFDG=7.
Google će nam opet pomoći. Nakon malo traženja, nalazimo zanimljiv projekt na GitHubu - Folder Locker, napisan u .Netu i koristi biblioteku 'asmodat' s drugog Git računa.
Riža. 9. Folder Locker sučelje. Obavezno provjerite postoji li zlonamjerni softver.
Uslužni program je kriptor za Windows 7 i novije, koji se distribuira kao otvoreni kod. Tijekom šifriranja koristi se lozinka koja je neophodna za naknadno dešifriranje. Omogućuje vam rad s pojedinačnim datotekama i cijelim direktorijima.
Njegova biblioteka koristi Rijndaelov algoritam simetrične enkripcije u CBC načinu rada. Važno je napomenuti da je odabrana veličina bloka od 256 bita - za razliku od one usvojene u AES standardu. U potonjem je veličina ograničena na 128 bita.
Naš ključ je generiran prema PBKDF2 standardu. U ovom slučaju, lozinka je SHA-256 iz niza unesenog u uslužnom programu. Sve što preostaje je pronaći ovaj niz za generiranje ključa za dešifriranje.
Pa, vratimo se našem već dekodiranom prolaz.ključ. Sjećate se onog retka sa skupom brojeva i tekstom 'asmodat'? Pokušajmo upotrijebiti prvih 20 bajtova niza kao lozinku za Folder Locker.
Pogledajte, radi! Pojavila se kodna riječ i sve je savršeno dešifrirano. Sudeći po znakovima u lozinci, radi se o HEX prikazu određene riječi u ASCII-ju. Pokušajmo prikazati kodnu riječ u obliku teksta. dobivamo 'vuk iz sjene'. Već osjećate simptome likantropije?
Pogledajmo još jednom strukturu zahvaćene datoteke, sada znajući kako pretinac radi:
- 02 00 00 00 – način šifriranja imena;
- 58 00 00 00 – duljina kriptiranog i base64 kodiranog naziva datoteke;
- 40 00 00 00 – veličina prenesenog zaglavlja.
Samo šifrirano ime i preneseno zaglavlje označeni su crvenom odnosno žutom bojom.
Riža. 10. Šifrirano ime označeno je crvenom bojom, a preneseno zaglavlje označeno je žutom bojom.
Sada usporedimo šifrirana i dešifrirana imena u heksadecimalnom prikazu.
Struktura dekriptiranih podataka:
- 78 B9 B8 2E – smeće koje je stvorio pomoćni program (4 bajta);
- 0S 00 00 00 – duljina dekriptiranog imena (12 bajtova);
- Zatim dolazi stvarni naziv datoteke i ispuna s nulama do potrebne duljine bloka (padding).
Riža. 11. IMG_4114 izgleda puno bolje.
III. Zaključci i Zaključak
Povratak na početak. Ne znamo što je motiviralo autora Wulfric.Ransomwarea i kojem je cilju težio. Naravno, za prosječnog korisnika rezultat rada čak i takvog kriptora izgledat će kao velika katastrofa. Datoteke se ne otvaraju. Sva su imena nestala. Umjesto uobičajene slike, na ekranu je vuk. Tjeraju vas da čitate o bitcoinima.
Istina, ovaj put se pod krinkom “užasnog enkodera” krio tako smiješan i glup pokušaj iznude, gdje napadač koristi gotove programe i ostavlja ključeve na mjestu zločina.
Usput, o ključevima. Nismo imali zlonamjernu skriptu ili Trojan koji bi nam mogao pomoći da shvatimo kako se to dogodilo. prolaz.ključ – ostaje nepoznat mehanizam kojim se datoteka pojavljuje na zaraženom računalu. Ali, sjećam se, autor je u svojoj bilješci spomenuo jedinstvenost lozinke. Dakle, kodna riječ za dešifriranje je jedinstvena kao što je jedinstveno korisničko ime shadow wolf :)
Pa ipak, vuk sjena, zašto i zašto?
Izvor: www.habr.com