Pafwa ou jis vle gade nan je kèk ekriven viris epi mande: poukisa ak poukisa? Nou ka reponn kesyon an "ki jan" tèt nou, men li ta trè enteresan yo chèche konnen ki sa a oswa ki kreyatè malveyan te panse. Espesyalman lè nou rankontre tankou "pèl".
Ewo nan atik jodi a se yon egzanp enteresan nan yon kriptograf. Li te aparamman vin ansent kòm jis yon lòt "ransomware", men aplikasyon teknik li sanble plis tankou blag mechan yon moun. Nou pral pale sou aplikasyon sa a jodi a.
Malerezman, li prèske enposib trase sik lavi a nan ankode sa a - gen twò kèk estatistik sou li, depi, erezman, li pa te vin gaye toupatou. Se poutèt sa, nou pral kite orijin, metòd enfeksyon ak lòt referans. Ann jis pale sou ka nou nan reyinyon ak Wulfric Ransomware ak ki jan nou te ede itilizatè a sove dosye l 'yo.
I. Ki jan tout bagay te kòmanse
Moun ki te viktim ransomware souvan kontakte laboratwa anti-viris nou an. Nou bay asistans kèlkeswa ki pwodwi antivirus yo te enstale. Fwa sa a, nou te kontakte pa yon moun ki gen dosye yo te afekte pa yon ankode enkoni.
Bon apremidi Fichye yo te chiffres sou yon depo dosye (samba4) ak login san modpas. Mwen sispèk ke enfeksyon an te soti nan òdinatè pitit fi mwen an (Windows 10 ak pwoteksyon estanda Windows Defender). Òdinatè pitit fi a pa te limen apre sa. Dosye yo chiffres sitou .jpg ak .cr2. Ekstansyon dosye apre chifreman: .aef.
Nou te resevwa nan men itilizatè yo echantiyon fichye chiffres, yon nòt ranson, ak yon dosye ki gen anpil chans kle otè ransomware la te bezwen pou dechifre dosye yo.
Men tout endikasyon nou yo:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Ann pran yon gade nan nòt la. Konbyen bitcoins fwa sa a?
Creole:
Atansyon, dosye ou yo chiffres!
Modpas la inik pou PC ou.Peye kantite lajan 0.05 BTC nan adrès Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Apre peman an, voye m 'yon imèl, atache dosye a pass.key [imèl pwoteje] ak notifikasyon peman.Apre konfimasyon, mwen pral voye ba ou yon decryptor pou dosye yo.
Ou ka peye pou bitcoins sou entènèt nan diferan fason:
- peman pa kat labank
Konsènan Bitcoins:
Si w gen nenpòt kesyon, tanpri ekri m 'nan [imèl pwoteje]
Kòm yon bonis, mwen pral di w ki jan yo te pirate òdinatè w lan ak ki jan yo pwoteje li nan lavni.
Yon bèt nan bwa pretansyon, ki fèt pou montre viktim nan gravite sitiyasyon an. Sepandan, li te kapab vin pi mal.
Diri. 1. -Kòm yon bonis, mwen pral di w kouman pwoteje òdinatè w lan nan lavni. -Sanble legi.
II. An n kòmanse
Premye a tout, nou gade nan estrikti a nan echantiyon an voye. Etranj ase, li pa t sanble ak yon dosye ki te domaje pa ransomware. Louvri editè egzadesimal la epi pran yon gade. Premye 4 octets yo genyen gwosè fichye orijinal la, 60 bytes kap vini yo ranpli ak zewo. Men, bagay ki pi enteresan an se nan fen a:
Diri. 2 Analize dosye a domaje. Ki sa ki imedyatman kenbe je ou?
Tout bagay te vin anmèdan senp: 0x40 bytes soti nan header la te deplase nan fen dosye a. Pou restore done, tou senpleman retounen li nan kòmansman an. Aksè nan dosye a te retabli, men non an rete chiffres, ak bagay yo ap vin pi konplike ak li.
Diri. 3. Non an chiffres nan Base64 sanble ak yon seri karaktè divagasyon.
Ann eseye kalkile li pase.kle, soumèt pa itilizatè. Nan li nou wè yon sekans 162-byte karaktè ASCII.
Diri. 4. 162 karaktè rete sou PC viktim nan.
Si w gade ak anpil atansyon, w ap remake ke senbòl yo repete ak yon sèten frekans. Sa a ka endike itilizasyon XOR, ki karakterize pa repetisyon, frekans nan ki depann sou longè kle a. Lè nou divize fisèl la an 6 karaktè ak XORed ak kèk varyant nan sekans XOR, nou pa t reyalize okenn rezilta ki gen sans.
Diri. 5. Gade konstan yo repete nan mitan an?
Nou deside google konstan, paske wi, sa posib tou! Apre sa, yo tout finalman mennen nan yon sèl algorithm - chifreman pakèt. Apre etidye script la, li te vin klè ke liy nou an pa gen anyen plis pase rezilta travay li yo. Li ta dwe mansyone ke sa a se pa yon ankode ditou, men jis yon ankode ki ranplase karaktè ak sekans 6-byte. Pa gen kle oswa lòt sekrè pou ou :)
Diri. 6. Yon moso nan algorithm orijinal la nan patènite enkoni.
Algorithm la pa ta travay jan li ta dwe si se pa pou yon detay:
Diri. 7. Morpheus apwouve.
Sèvi ak ranvèse sibstitisyon nou transfòme fisèl la soti nan pase.kle nan yon tèks ki gen 27 karaktè. Tèks imen (gen plis chans) 'asmodat' merite atansyon espesyal.
Fig.8. USGFDG = 7.
Google ap ede nou ankò. Apre yon ti rechèch, nou jwenn yon pwojè enteresan sou GitHub - Folder Locker, ekri nan .Net epi itilize bibliyotèk 'asmodat' ki soti nan yon lòt kont Git.
Diri. 9. Dosye koòdone kazye. Asire w ou tcheke pou malveyan.
Sèvis piblik la se yon ancryptor pou Windows 7 ak pi wo, ki distribye kòm sous louvri. Pandan chifreman, yo itilize yon modpas, ki nesesè pou dechifreman ki vin apre. Pèmèt ou travay tou de ak dosye endividyèl ak ak tout repèrtwar.
Bibliyotèk li yo sèvi ak algorithm chifreman simetrik Rijndael nan mòd CBC. Li enpòtan pou remake ke gwosè blòk la te chwazi yo dwe 256 Bits - nan kontrèman ak sa yo te adopte nan estanda AES la. Nan lèt la, gwosè a limite a sa sèlman 128 Bits.
Kle nou an pwodwi dapre estanda PBKDF2. Nan ka sa a, modpas la se SHA-256 soti nan fisèl ki te antre nan sèvis piblik la. Tout sa ki rete se jwenn fisèl sa a jenere kle a dechifre.
Oke, ann retounen nan nou deja dekode pase.kle. Sonje liy sa a ak yon seri nimewo ak tèks 'asmodat'? Ann eseye sèvi ak premye 20 bytes fisèl la kòm yon modpas pou Folder Locker.
Gade, li travay! Mo kòd la te vini, epi tout bagay te dechifre parfe. Jije pa karaktè yo nan modpas la, li se yon reprezantasyon HEX nan yon mo espesifik nan ASCII. Ann eseye montre mo kòd la nan fòm tèks. nou jwenn 'shadowwolf'. Ou deja santi sentòm likantropi?
Ann pran yon lòt gade nan estrikti a nan dosye ki afekte a, kounye a konnen ki jan kazye a fonksyone:
- 02 00 00 00 - mòd chifreman non;
- 58 00 00 00 - longè non fichye kode ak baz64 kode;
- 40 00 00 00 - gwosè header transfere a.
Non an chiffres tèt li ak header transfere a make nan wouj ak jòn, respektivman.
Diri. 10. Non chiffré make an wouj, header transfere make an jòn.
Koulye a, ann konpare non chifre ak dechifre nan reprezantasyon egzadesimal.
Estrikti done dechifre:
- 78 B9 B8 2E - fatra ki te kreye pa sèvis piblik la (4 octets);
- 0С 00 00 00 - longè non an dechifre (12 octets);
- Apre sa, vini non dosye aktyèl la ak padding ak zewo nan longè blòk ki nesesè yo (padding).
Diri. 11. IMG_4114 sanble pi bon.
III. Konklizyon ak konklizyon
Retounen nan kòmansman an. Nou pa konnen ki sa ki motive otè a nan Wulfric.Ransomware ak ki objektif li te pouswiv. Natirèlman, pou itilizatè an mwayèn, rezilta a nan travay la nan menm tankou yon ancryptor pral sanble tankou yon gwo dezas. Dosye yo pa louvri. Tout non yo ale. Olye pou yo foto nòmal la, gen yon bèt nan bwa sou ekran an. Yo fòse ou li sou bitcoins.
Vrè, fwa sa a, anba laparans nan yon "kodè terib," te kache tankou yon tantativ ridikil ak estipid nan ekstòsyon, kote atakè a sèvi ak pwogram pare-fè ak kite kle yo dwa nan sèn nan krim.
By wout la, sou kle yo. Nou pa t gen yon script move oswa Trojan ki ta ka ede nou konprann ki jan sa te rive. pase.kle – mekanis nan ki dosye a parèt sou yon PC ki enfekte rete enkoni. Men, mwen sonje, nan nòt li otè a mansyone inik nan modpas la. Se konsa, mo kòd pou dekripte inik menm jan non itilizatè lonbraj bèt nan bwa inik :)
Men, lonbraj bèt nan bwa, poukisa ak poukisa?
Sous: www.habr.com