Wulfric Ransomware – փրկագին, որը գոյություն չունի
Երբեմն դուք պարզապես ցանկանում եք նայել վիրուս գրողի աչքերին և հարցնել՝ ինչու և ինչու: Մենք ինքներս կարող ենք պատասխանել «ինչպես» հարցին, բայց շատ հետաքրքիր կլիներ պարզել, թե ինչ է մտածում այս կամ այն չարամիտ ծրագրերի հեղինակը։ Հատկապես, երբ հանդիպում ենք նման «մարգարիտների»։
Այսօրվա հոդվածի հերոսը կրիպտոգրաֆիստի հետաքրքիր օրինակ է։ Այն, ըստ երևույթին, ընկալվել է որպես հերթական «փրկագին», սակայն դրա տեխնիկական իրականացումն ավելի շատ նման է ինչ-որ մեկի դաժան կատակին: Այսօր մենք կխոսենք այս իրականացման մասին:
Ցավոք, գրեթե անհնար է հետևել այս կոդավորողի կյանքի ցիկլին. դրա վերաբերյալ շատ քիչ վիճակագրություն կա, քանի որ, բարեբախտաբար, այն լայն տարածում չի գտել: Հետեւաբար, մենք բաց կթողնենք ծագումը, վարակի մեթոդները եւ այլ հղումներ: Խոսենք միայն մեր հանդիպման դեպքի մասին Wulfric Ransomware և ինչպես մենք օգնեցինք օգտվողին պահպանել իր ֆայլերը:
I. Ինչպես ամեն ինչ սկսվեց
Մարդիկ, ովքեր դարձել են փրկագնի զոհեր, հաճախ կապվում են մեր հակավիրուսային լաբորատորիայի հետ: Մենք օգնություն ենք ցուցաբերում՝ անկախ նրանից, թե ինչ հակավիրուսային արտադրանք են նրանք տեղադրել։ Այս անգամ մեզ հետ կապվեց մի մարդ, ում ֆայլերը ազդել են անհայտ կոդավորիչի վրա:
Բարի օր Ֆայլերը գաղտնագրվել են ֆայլերի պահեստում (samba4) առանց գաղտնաբառի մուտքի միջոցով: Ես կասկածում եմ, որ վարակը եկել է իմ դստեր համակարգչից (Windows 10 ստանդարտ Windows Defender պաշտպանությամբ): Դրանից հետո դստեր համակարգիչը չեն միացրել։ Ֆայլերը կոդավորված են հիմնականում .jpg և .cr2: Ֆայլի ընդլայնում գաղտնագրումից հետո՝ .aef:
Մենք օգտատերից ստացանք գաղտնագրված ֆայլերի նմուշներ, փրկագնի մասին գրություն և ֆայլ, որը հավանաբար այն բանալին է, որն անհրաժեշտ էր փրկագին ծրագրի հեղինակին՝ ֆայլերը վերծանելու համար:
Ահա մեր բոլոր հուշումները.
01c.aef (4481K)
hacked.jpg (254K)
hacked.txt (0K)
04c.aef (6540K)
pass.key (0K)
Եկեք նայենք գրառմանը. Քանի՞ բիթքոյն է այս անգամ:
Թարգմանություն
Ուշադրություն, ձեր ֆայլերը կոդավորված են:
Գաղտնաբառը եզակի է ձեր համակարգչի համար:
Վճարեք 0.05 BTC գումարը Bitcoin հասցեին՝ 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Վճարումից հետո ինձ էլ-նամակ ուղարկեք՝ կցելով pass.key ֆայլը [էլեկտրոնային փոստով պաշտպանված] վճարման մասին ծանուցմամբ։
Հաստատումից հետո ես ձեզ կուղարկեմ ֆայլերի ապակոդավորիչ:
Հավակնոտ գայլ, որը նախատեսված է զոհին ցույց տալու իրավիճակի լրջությունը: Այնուամենայնիվ, դա կարող էր ավելի վատ լինել:
Բրինձ. 1. -Որպես բոնուս, ես ձեզ կասեմ, թե ինչպես պաշտպանել ձեր համակարգիչը ապագայում: -Ծանոթ է թվում.
II. Եկեք սկսենք
Առաջին հերթին մենք նայեցինք ուղարկված նմուշի կառուցվածքին։ Տարօրինակ կերպով, այն նման չէր փրկագնի կողմից վնասված ֆայլի: Բացեք տասնվեցական խմբագրիչը և նայեք: Առաջին 4 բայթը պարունակում է ֆայլի բնօրինակ չափը, հաջորդ 60 բայթը լցված է զրոներով: Բայց ամենահետաքրքիրը վերջում է.
Բրինձ. 2 Վերլուծեք վնասված ֆայլը: Ի՞նչն է անմիջապես գրավում ձեր աչքը:
Ամեն ինչ անհանգստացնող պարզ դարձավ. վերնագրից 0x40 բայթերը տեղափոխվեցին ֆայլի վերջ: Տվյալները վերականգնելու համար պարզապես վերադարձրեք դրանք սկզբին: Ֆայլի հասանելիությունը վերականգնվել է, բայց անունը մնում է կոդավորված, և դրա հետ կապված ամեն ինչ ավելի է բարդանում:
Բրինձ. 3. Base64-ում գաղտնագրված անունը նման է նիշերի մի շարք:
Փորձենք դա պարզել անցում.բանալին, ներկայացվել է օգտատիրոջ կողմից: Դրանում մենք տեսնում ենք ASCII նիշերի 162 բայթանոց հաջորդականություն:
Բրինձ. 4. Տուժողի ԱՀ-ում մնացել է 162 նիշ:
Եթե ուշադիր նայեք, կնկատեք, որ սիմվոլները կրկնվում են որոշակի հաճախականությամբ։ Սա կարող է ցույց տալ XOR-ի օգտագործումը, որը բնութագրվում է կրկնություններով, որոնց հաճախականությունը կախված է բանալին երկարությունից: Բաժանելով տողը 6 նիշերի և XOR-ով XOR հաջորդականությունների որոշ տարբերակներով, մենք որևէ իմաստալից արդյունքի չհասանք:
Բրինձ. 5. Տեսե՛ք մեջտեղի կրկնվող հաստատունները։
Մենք որոշեցինք փնտրել հաստատուններ, քանի որ այո, դա նույնպես հնարավոր է: Եվ նրանք բոլորն ի վերջո հանգեցրին մեկ ալգորիթմի՝ Batch Encryption-ին: Սցենարն ուսումնասիրելուց հետո պարզ դարձավ, որ մեր գիծը ոչ այլ ինչ է, քան նրա աշխատանքի արդյունքը։ Նշենք, որ սա ամենևին էլ կոդավորիչ չէ, այլ ընդամենը 6 բայթանոց հաջորդականությամբ նիշերը փոխարինող կոդավորիչ։ Ոչ մի բանալի կամ այլ գաղտնիք ձեզ համար :)
Բրինձ. 6. Անհայտ հեղինակության օրիգինալ ալգորիթմի մի կտոր:
Ալգորիթմը չէր աշխատի այնպես, ինչպես պետք է, եթե չլիներ մեկ դետալ.
Բրինձ. 7. Մորփեուսը հավանություն տվեց:
Օգտագործելով հակադարձ փոխարինում, մենք վերափոխում ենք տողը անցում.բանալին 27 նիշից բաղկացած տեքստի մեջ: Հատուկ ուշադրության է արժանի մարդկային (ամենայն հավանականությամբ) «asmodat» տեքստը:
Նկ.8. USGFDG=7.
Google-ը մեզ նորից կօգնի: Մի փոքր փնտրելուց հետո GitHub-ում գտնում ենք մի հետաքրքիր նախագիծ՝ Folder Locker, որը գրված է .Net-ում և օգտագործելով «asmodat» գրադարանը մեկ այլ Git հաշվից:
Բրինձ. 9. Folder Locker ինտերֆեյս: Համոզվեք, որ ստուգեք չարամիտ ծրագրերը:
Կոմունալը Windows 7 և ավելի բարձր օպերացիոն համակարգերի համար նախատեսված կոդավորումն է, որը բաշխվում է որպես բաց կոդով: Գաղտնագրման ժամանակ օգտագործվում է գաղտնաբառ, որն անհրաժեշտ է հետագա վերծանման համար։ Թույլ է տալիս աշխատել ինչպես առանձին ֆայլերի, այնպես էլ ամբողջ գրացուցակների հետ:
Նրա գրադարանը օգտագործում է Rijndael սիմետրիկ գաղտնագրման ալգորիթմը CBC ռեժիմում: Հատկանշական է, որ բլոկի չափը ընտրվել է 256 բիթ՝ ի տարբերություն AES ստանդարտում ընդունվածի: Վերջինում չափը սահմանափակվում է 128 բիթով։
Մեր բանալին ստեղծվում է PBKDF2 ստանդարտի համաձայն: Այս դեպքում գաղտնաբառը SHA-256 է կոմունալում մուտքագրված տողից: Մնում է միայն գտնել այս տողը վերծանման բանալին ստեղծելու համար:
Դե ինչ, վերադառնանք մեր արդեն վերծանվածին անցում.բանալին. Հիշո՞ւմ եք այդ տողը մի շարք թվերով և «asmodat» տեքստով: Փորձենք օգտագործել տողի առաջին 20 բայթը որպես գաղտնաբառ Folder Locker-ի համար։
Տեսեք, այն աշխատում է: Կոդ բառը հայտնվեց, և ամեն ինչ հիանալի վերծանվեց։ Դատելով գաղտնաբառի նիշերից՝ այն ASCII-ում կոնկրետ բառի HEX ներկայացում է: Փորձենք կոդ բառը ցուցադրել տեքստային տեսքով։ մենք ստանում ենքստվեր գայլ'. Արդեն զգո՞ւմ եք լիկանթրոպիայի ախտանիշները:
Եկեք ևս մեկ նայենք ազդակիր ֆայլի կառուցվածքին՝ այժմ իմանալով, թե ինչպես է աշխատում պահարանը.
02 00 00 00 - անվան կոդավորման ռեժիմ;
58 00 00 00 – կոդավորված և base64 կոդավորված ֆայլի անվան երկարություն;
40 00 00 00 – փոխանցված վերնագրի չափը:
Կոդավորված անունը և փոխանցված վերնագիրը համապատասխանաբար ընդգծված են կարմիր և դեղին գույներով:
Բրինձ. 10. Կոդավորված անունը ընդգծված է կարմիրով, փոխանցված վերնագիրը՝ դեղինով։
Հիմա եկեք համեմատենք գաղտնագրված և վերծանված անունները տասնվեցական ներկայացուցչության մեջ:
Ապակոդավորված տվյալների կառուցվածքը.
78 B9 B8 2E – կոմունալ ծառայության կողմից ստեղծված աղբ (4 բայթ);
0С 00 00 00 – վերծանված անվան երկարությունը (12 բայթ);
Հաջորդը գալիս է ֆայլի իրական անունը և զրոյական լիցքավորումը մինչև բլոկի պահանջվող երկարությունը (լիցքավորում):
Բրինձ. 11. IMG_4114-ը շատ ավելի լավ տեսք ունի:
III. Եզրակացություններ և եզրակացություն
Վերադարձ դեպի սկիզբ։ Մենք չգիտենք, թե ինչն է դրդել Wulfric.Ransomware-ի հեղինակին և ինչ նպատակ է հետապնդել։ Իհարկե, սովորական օգտագործողի համար նույնիսկ նման ծածկագրողի աշխատանքի արդյունքը մեծ աղետ կթվա։ Ֆայլերը չեն բացվում: Բոլոր անունները վերացել են: Սովորական նկարի փոխարեն էկրանին գայլ է։ Նրանք ստիպում են ձեզ կարդալ բիթքոյնների մասին:
Ճիշտ է, այս անգամ «սարսափելի կոդավորողի» քողի տակ թաքնված էր շորթման այնպիսի ծիծաղելի ու հիմար փորձ, որտեղ հարձակվողն օգտագործում է պատրաստի ծրագրեր և բանալիները թողնում հենց հանցագործության վայրում։
Ի դեպ, բանալիների մասին. Մենք չունեինք վնասակար սցենար կամ տրոյան, որը կարող էր օգնել մեզ հասկանալ, թե ինչպես դա տեղի ունեցավ: անցում.բանալին – մեխանիզմը, որով ֆայլը հայտնվում է վարակված ԱՀ-ում, մնում է անհայտ: Բայց, հիշում եմ, իր գրառման մեջ հեղինակը նշել է գաղտնաբառի եզակիությունը. Այսպիսով, գաղտնազերծման ծածկագիրը նույնքան եզակի է, որքան եզակի է ստվերային գայլ օգտվողի անունը :)