Terkadang Anda benar-benar ingin menatap mata seorang penulis virus dan bertanya: mengapa dan mengapa? Kita bisa menjawab sendiri pertanyaan “bagaimana”, tapi akan sangat menarik untuk mengetahui apa yang dipikirkan oleh pembuat malware ini atau itu. Apalagi ketika kita menjumpai “mutiara” seperti itu.
Pahlawan artikel hari ini adalah contoh menarik dari seorang kriptografer. Tampaknya ini hanya dianggap sebagai “ransomware” lain, namun penerapan teknisnya lebih terlihat seperti lelucon kejam seseorang. Kami akan membicarakan penerapan ini hari ini.
Sayangnya, hampir tidak mungkin untuk melacak siklus hidup encoder ini - statistiknya terlalu sedikit, karena untungnya, encoder ini belum tersebar luas. Oleh karena itu, kami akan mengabaikan asal usul, cara penularan, dan referensi lainnya. Mari kita bicara tentang kasus pertemuan kita Ransomware Wulfric dan bagaimana kami membantu pengguna menyimpan filenya.
I. Bagaimana semuanya dimulai
Orang yang menjadi korban ransomware sering kali menghubungi laboratorium anti-virus kami. Kami memberikan bantuan terlepas dari produk antivirus apa yang telah mereka instal. Kali ini kami dihubungi oleh seseorang yang filenya terpengaruh oleh pembuat enkode yang tidak dikenal.
Selamat siang File dienkripsi pada penyimpanan file (samba4) dengan login tanpa kata sandi. Saya menduga infeksi tersebut berasal dari komputer putri saya (Windows 10 dengan perlindungan standar Windows Defender). Komputer putrinya tidak dihidupkan setelah itu. File-file tersebut dienkripsi terutama .jpg dan .cr2. Ekstensi file setelah enkripsi: .aef.
Kami menerima sampel file terenkripsi dari pengguna, catatan tebusan, dan file yang kemungkinan merupakan kunci yang diperlukan pembuat ransomware untuk mendekripsi file.
Inilah semua petunjuk kami:
- 01c.aef (4481K)
- diretas.jpg (254K)
- diretas.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Mari kita lihat catatannya. Berapa banyak bitcoin kali ini?
Terjemahan:
Perhatian, file Anda dienkripsi!
Kata sandinya unik untuk PC Anda.Bayar sejumlah 0.05 BTC ke alamat Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Setelah pembayaran, kirimi saya email, lampirkan file pass.key ke [email dilindungi] dengan pemberitahuan pembayaran.Setelah konfirmasi, saya akan mengirimkan Anda dekripsi untuk file tersebut.
Anda dapat membayar bitcoin secara online dengan berbagai cara:
— pembayaran dengan kartu bank
Tentang Bitcoin:
Jika Anda memiliki pertanyaan, silakan menulis kepada saya di [email dilindungi]
Sebagai bonus, saya akan memberi tahu Anda bagaimana komputer Anda diretas dan cara melindunginya di masa mendatang.
Serigala yang megah, dirancang untuk menunjukkan kepada korban betapa seriusnya situasi tersebut. Namun, keadaannya bisa saja lebih buruk.
Beras. 1. -Sebagai bonus, saya akan memberi tahu Anda cara melindungi komputer Anda di masa depan. -Kelihatannya mantap.
II. Mari kita mulai
Pertama-tama, kami melihat struktur sampel yang dikirim. Anehnya, file tersebut tidak terlihat seperti file yang telah dirusak oleh ransomware. Buka editor heksadesimal dan lihat. 4 byte pertama berisi ukuran file asli, 60 byte berikutnya diisi dengan angka nol. Namun yang paling menarik adalah pada bagian akhir:
Beras. 2 Analisis file yang rusak. Apa yang langsung menarik perhatian Anda?
Semuanya menjadi sangat sederhana: 0x40 byte dari header dipindahkan ke akhir file. Untuk mengembalikan data cukup mengembalikannya ke awal. Akses ke file telah dipulihkan, tetapi namanya tetap terenkripsi, dan segalanya menjadi lebih rumit.
Beras. 3. Nama terenkripsi di Base64 tampak seperti kumpulan karakter yang bertele-tele.
Mari kita coba mencari tahu lulus.kunci, dikirimkan oleh pengguna. Di dalamnya kita melihat urutan karakter ASCII sepanjang 162 byte.
Beras. 4. Tersisa 162 karakter di PC korban.
Jika Anda perhatikan lebih dekat, Anda akan melihat bahwa simbol-simbol tersebut diulangi dengan frekuensi tertentu. Hal ini mungkin mengindikasikan penggunaan XOR, yang ditandai dengan pengulangan, yang frekuensinya bergantung pada panjang kunci. Setelah membagi string menjadi 6 karakter dan melakukan XOR dengan beberapa varian urutan XOR, kami tidak mencapai hasil yang berarti.
Beras. 5. Lihat konstanta yang berulang di tengah?
Kami memutuskan untuk mencari konstanta di Google, karena ya, itu mungkin juga! Dan semuanya pada akhirnya mengarah pada satu algoritma - Enkripsi Batch. Setelah mempelajari naskahnya, menjadi jelas bahwa garis kita tidak lebih dari hasil karyanya. Perlu disebutkan bahwa ini bukan enkripsi sama sekali, tetapi hanya encoder yang menggantikan karakter dengan urutan 6 byte. Tidak ada kunci atau rahasia lain untuk Anda :)
Beras. 6. Sepotong algoritma asli yang penulisnya tidak diketahui.
Algoritme tidak akan berfungsi sebagaimana mestinya jika bukan karena satu detail:
Beras. 7. Morpheus menyetujui.
Dengan menggunakan substitusi terbalik, kita mengubah string dari lulus.kunci menjadi teks 27 karakter. Teks manusia (kemungkinan besar) 'asmodat' patut mendapat perhatian khusus.
Gambar.8. USGFDG=7.
Google akan membantu kami lagi. Setelah sedikit mencari, kami menemukan proyek menarik di GitHub - Folder Locker, ditulis dalam .Net dan menggunakan perpustakaan 'asmodat' dari akun Git lain.
Beras. 9. Antarmuka Pengunci Folder. Pastikan untuk memeriksa malware.
Utilitasnya adalah enkripsi untuk Windows 7 dan lebih tinggi, yang didistribusikan sebagai sumber terbuka. Selama enkripsi, kata sandi digunakan, yang diperlukan untuk dekripsi selanjutnya. Memungkinkan Anda bekerja dengan file individual dan seluruh direktori.
Perpustakaannya menggunakan algoritma enkripsi simetris Rijndael dalam mode CBC. Patut dicatat bahwa ukuran blok dipilih menjadi 256 bit - berbeda dengan yang diadopsi dalam standar AES. Yang terakhir, ukurannya dibatasi hingga 128 bit.
Kunci kami dibuat sesuai dengan standar PBKDF2. Dalam hal ini, kata sandinya adalah SHA-256 dari string yang dimasukkan dalam utilitas. Yang tersisa hanyalah menemukan string ini untuk menghasilkan kunci dekripsi.
Baiklah, mari kita kembali ke kode kita yang sudah diterjemahkan lulus.kunci. Ingat baris dengan serangkaian angka dan teks 'asmodat'? Mari kita coba menggunakan 20 byte pertama dari string sebagai kata sandi untuk Folder Locker.
Lihat, itu berhasil! Kata kode muncul, dan semuanya diuraikan dengan sempurna. Dilihat dari karakter kata sandinya, ini adalah representasi HEX dari kata tertentu di ASCII. Mari kita coba menampilkan kata kode dalam bentuk teks. Kita mendapatkan 'serigala bayangan'. Sudah merasakan gejala lycanthropy?
Mari kita lihat lagi struktur file yang terpengaruh, sekarang mengetahui cara kerja loker:
- 02 00 00 00 – mode enkripsi nama;
- 58 00 00 00 – panjang nama file yang dienkripsi dan dikodekan base64;
- 40 00 00 00 – ukuran header yang ditransfer.
Nama terenkripsi itu sendiri dan header yang ditransfer masing-masing disorot dengan warna merah dan kuning.
Beras. 10. Nama terenkripsi disorot dengan warna merah, header yang ditransfer disorot dengan warna kuning.
Sekarang mari kita bandingkan nama yang dienkripsi dan didekripsi dalam representasi heksadesimal.
Struktur data yang didekripsi:
- 78 B9 B8 2E – sampah yang dibuat oleh utilitas (4 byte);
- 0С 00 00 00 – panjang nama yang didekripsi (12 byte);
- Berikutnya adalah nama file sebenarnya dan padding dengan nol hingga panjang blok yang diperlukan (padding).
Beras. 11. IMG_4114 terlihat jauh lebih baik.
AKU AKU AKU. Kesimpulan dan Kesimpulan
Kembali ke awal. Kita tidak tahu apa yang memotivasi penulis Wulfric.Ransomware dan tujuan apa yang dia kejar. Tentu saja, bagi rata-rata pengguna, hasil kerja enkripsi semacam itu pun akan tampak seperti bencana besar. File tidak terbuka. Semua nama hilang. Alih-alih gambar biasa, ada serigala di layar. Mereka memaksa Anda membaca tentang bitcoin.
Benar, kali ini, dengan kedok "encoder yang mengerikan", ada upaya pemerasan yang konyol dan bodoh, di mana penyerang menggunakan program yang sudah jadi dan meninggalkan kunci tepat di TKP.
Ngomong-ngomong, tentang kuncinya. Kami tidak memiliki skrip atau Trojan berbahaya yang dapat membantu kami memahami bagaimana hal ini terjadi. lulus.kunci – mekanisme munculnya file pada PC yang terinfeksi masih belum diketahui. Tapi, saya ingat, dalam catatannya penulis menyebutkan keunikan passwordnya. Jadi, kode kata untuk dekripsinya sama uniknya dengan nama pengguna shadow wolf yang unik :)
Namun, bayangan serigala, mengapa dan mengapa?
Sumber: www.habr.com