Mgbe ụfọdụ, ịchọrọ n'ezie ileba anya n'anya ụfọdụ onye edemede nje wee jụọ: gịnị na gịnị kpatara? Anyị nwere ike ịza ajụjụ a "olee otú" n'onwe anyị, ma ọ ga-abụ ihe na-adọrọ mmasị ịchọta ihe nke a ma ọ bụ onye na-emepụta malware na-eche. Karịsịa mgbe anyị zutere "pearl" dị otú ahụ.
Onye dike nke akụkọ taa bụ ihe atụ na-adọrọ mmasị nke onye na-ese ihe. O doro anya na a tụụrụ ya dị ka “ransomware” ọzọ, mana mmejuputa teknụzụ ya dị ka egwuregwu obi ọjọọ nke mmadụ. Anyị ga-ekwu maka mmejuputa a taa.
N'ụzọ dị mwute, ọ fọrọ nke nta ka ọ bụrụ na ọ gaghị ekwe omume ịchọta usoro ndụ nke encoder a - enwere ọnụ ọgụgụ ole na ole na ya, ebe ọ bụ na ọ dabara nke ọma, ọ ghọbeghị ebe niile. Ya mere, anyị ga-ahapụ mmalite, ụzọ nke ọrịa na ndị ọzọ kwuru. Ka anyị na-ekwu naanị banyere ihe gbasara nzukọ anyị Wulfric Ransomware na otu anyị si enyere onye ọrụ aka ịchekwa faịlụ ya.
I. Ka o si malite
Ndị mmadụ ihe mgbapụta ransomware metụtara na-akpọkarị ụlọ nyocha mgbochi nje anyị. Anyị na-enye aka n'agbanyeghị ngwaahịa antivirus ha arụnyere. Oge a kpọtụụrụ anyị otu onye ihe nnochita amabeghị metụtara faịlụ ya.
Ehihie ọma Ezobere faịlụ na nchekwa faịlụ (samba4) nwere nbanye enweghị paswọọdụ. M chere na ọrịa ahụ sitere na kọmputa nwa m nwanyị (Windows 10 nwere ọkọlọtọ Windows Defender). Agbanyeghị kọmputa nwa nwanyị ahụ mgbe nke ahụ gasịrị. Ezochiri faịlụ ndị a tumadi .jpg na .cr2. Mgbatị faịlụ mgbe ezoro ezo: .aef.
Anyị nwetara n'ụdị faịlụ ezoro ezo, akwụkwọ mgbapụta, na faịlụ nwere ike ịbụ igodo onye ode akwụkwọ ransomware chọrọ iji mebie faịlụ ndị ahụ.
Nke a bụ nkọwa anyị niile:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- igodo ngafe (0K)
Ka anyị leba anya na ndetu ahụ. Kedu bitcoins oge a?
Translation:
Ntị, ezoro ezo faịlụ gị!
Okwuntughe pụrụ iche na PC gị.Kwuo ego nke 0.05 BTC na adreesị Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Mgbe ịkwụchara ụgwọ, zitere m email, na-agbakwunye faịlụ pass.key na ya [email protected] na ngosi nke ịkwụ ụgwọ.Mgbe nkwenye gasịrị, m ga-ezitere gị decryptor maka faịlụ.
Ị nwere ike ịkwụ ụgwọ bitcoin n'ịntanetị n'ụzọ dị iche iche:
- ịkwụ ụgwọ site na kaadị akụ
Banyere Bitcoins:
Ọ bụrụ na ị nwere ajụjụ ọ bụla, biko detara m akwụkwọ [email protected]
Dị ka ego, m ga-agwa gị otú e si hacked kọmputa gị na otú ị ga-esi chebe ya n'ọdịnihu.
Anụ ọhịa wolf nke na-eme aghụghọ, nke e mere iji gosi onye ahụ ihe metụtara ịdị njọ nke ọnọdụ ahụ. Otú ọ dị, ọ pụrụ ịka njọ.
Osikapa. 1. -Dị ka ego, m ga-agwa gị otú ị ga-esi chebe kọmputa gị n'ọdịnihu. -Ọ dị ka ihe ziri ezi.
II. Ka anyị malite
Nke mbụ, anyị lere anya na nhazi nke ihe nlele ezitere. N'ụzọ dị ịtụnanya, ọ yighị ka faịlụ nke ransomware mebiri. Mepee ndezi hexadecimal wee lelee. Bytes 4 nke mbụ nwere nha faịlụ mbụ, 60 bytes na-esote na-ejupụta na efu. Mana ihe kacha adọrọ mmasị bụ na njedebe:
Osikapa. 2 Nyochaa faịlụ mebiri emebi. Kedu ihe na-adọta anya gị ozugbo?
Ihe niile wee bụrụ ihe na-akpasu iwe: 0x40 bytes sitere na nkụnye eji isi mee ka ebufere na njedebe nke faịlụ ahụ. Iji weghachi data, naanị weghachi ya na mmalite. Enweghachila ohere ịnweta faịlụ ahụ, mana aha ahụ ka ezoro ezo, ihe na-esiwanye ike na ya.
Osikapa. 3. Aha ezoro ezo na Base64 dị ka mkpọda agwa.
Ka anyị gbalịa chọpụta ya ngafe. igodo, onye ọrụ nyefere ya. N'ime ya anyị na-ahụ usoro 162-byte nke mkpụrụedemede ASCII.
Osikapa. 4. mkpụrụedemede 162 fọdụrụ na PC onye ahụ.
Ọ bụrụ na ị na-ele anya nke ọma, ị ga-achọpụta na a na-emegharị akara ndị ahụ ugboro ugboro. Nke a nwere ike igosi ojiji nke XOR, nke a na-eji na-emegharị ugboro ugboro, nke na-adabere na ogologo igodo. N'ịbụ onye kewaa eriri ahụ n'ime mkpụrụedemede 6 yana XOR nwere ụfọdụ ụdị usoro XOR, anyị enwetaghị nsonaazụ ọ bụla bara uru.
Osikapa. 5. Hụ ihe na-emegharị ugboro ugboro n'etiti?
Anyị kpebiri ịmegharị google, n'ihi na ee, nke ahụ ga-ekwekwa omume! Na ha niile mechara bute otu algọridim - Batch Encryption. Mgbe anyị mụsịrị edemede ahụ, ọ bịara doo anya na ahịrị anyị abụghị ihe ọzọ karịa nsonaazụ nke ọrụ ya. Ekwesịrị ikwupụta na nke a abụghị ihe nzuzo ma ọlị, kama ọ bụ naanị ihe ngbanwe nke na-eji usoro 6-byte dochie mkpụrụedemede. Enweghị igodo ma ọ bụ ihe nzuzo ndị ọzọ maka gị :)
Osikapa. 6. Ibe nke mbụ algọridim nke amaghị onye edemede.
Algọridim agaghị arụ ọrụ dị ka o kwesịrị ma ọ bụrụ na ọ bụghị maka otu nkọwa:
Osikapa. 7. Morpheus kwadoro.
Iji ngbanwe ntụgharị anyị na-agbanwe eriri ahụ site na ngafe. igodo n'ime ederede nke mkpụrụedemede 27. Ederede mmadụ (yikarịrị) 'asmodat' kwesịrị nlebara anya pụrụ iche.
Foto 8. USGFDG=7.
Google ga-enyere anyị aka ọzọ. Mgbe obere nyocha gasịrị, anyị na-achọta ọrụ na-adọrọ mmasị na GitHub - nchekwa nchekwa, nke edere na .Net na iji akwụkwọ 'asmodat' site na akaụntụ Git ọzọ.
Osikapa. 9. Ihe mkpuchi nchekwa nchekwa. Jide n'aka na ịlele maka malware.
Ngwa ahụ bụ encryptor maka Windows 7 na karịa, nke a na-ekesa dị ka ebe mepere emepe. N'oge ezoro ezo, a na-eji okwuntughe, nke dị mkpa maka nbipu na-esote. Na-enye gị ohere iji faịlụ n'otu n'otu na akwụkwọ ndekọ aha niile rụọ ọrụ.
Ọbá akwụkwọ ya na-eji Rijndael symmetrical encryption algorithm na ọnọdụ CBC. Ọ bụ ihe kwesịrị ịrịba ama na a họọrọ nha ngọngọ ka ọ bụrụ 256 bits - n'ụzọ dị iche na nke a nabatara na ọkọlọtọ AES. Na nke ikpeazụ, nha na-ejedebe na 128 bits.
Emepụtara igodo anyị dịka ọkọlọtọ PBKDF2 siri dị. N'okwu a, okwuntughe bụ SHA-256 sitere na eriri etinyere na akụrụngwa. Naanị ihe fọdụrụ bụ ịchọta eriri a iji mepụta igodo decryption.
Ọfọn, ka anyị laghachi na nke anyị emechaala decoded ngafe. igodo. Cheta ahịrị ahụ nwere usoro ọnụọgụgụ yana ederede 'asmodat'? Ka anyị nwaa iji baiti iri abụọ mbụ nke eriri ahụ dị ka paswọọdụ maka mkpuchi nchekwa.
Lee, ọ na-arụ ọrụ! Okwu koodu ahụ wee pụta, a kọwakwara ihe niile nke ọma. Na-ekpe ikpe site na mkpụrụedemede dị na paswọọdụ, ọ bụ ihe nnọchianya HEX nke otu okwu na ASCII. Ka anyị gbalịa igosipụta koodu koodu n'ụdị ederede. Anyị nwetara 'shadowwolf'. Ị nweelarị ihe mgbaàmà nke lycanthropy?
Ka anyị leba anya na nhazi nke faịlụ emetụtara, mara ugbu a ka mkpuchi mkpuchi si arụ ọrụ:
- 02 00 00 00 - ọnọdụ ezoro ezo;
- 58 00 00 00 - ogologo aha faịlụ ezoro ezo na base64;
- 40 00 00 00 - nha nke nkụnye eji isi mee.
A na-akọwapụta aha ezoro ezo n'onwe ya na nkụnye eji isi mee na-acha uhie uhie na edo edo, n'otu n'otu.
Osikapa. 10. A na-eme ka aha ezoro ezo na-acha uhie uhie pụta ìhè, a na-akọwapụta isi okwu na-acha odo odo.
Ugbu a, ka anyị tulee aha ezoro ezo na decrypted na nnọchite hexadecimal.
Nhazi nke data ezoro ezo:
- 78 B9 B8 2E - ihe mkpofu nke ihe eji eme ihe (4 bytes);
- 0С 00 00 00 - ogologo aha decrypted (12 bytes);
- Na-abịa n'ezie aha faịlụ na padding nwere efu ruo ogologo ngọngọ achọrọ (padding).
Osikapa. 11. IMG_4114 anya ka mma.
III. Mkpebi na nkwubi okwu
Laghachi na mmalite. Anyị amaghị ihe kpaliri onye edemede Wulfric.Ransomware na ebumnuche ọ gbasoro. N'ezie, maka nkezi onye ọrụ, nsonaazụ nke ọrụ nke ọbụna ndị dị otú ahụ encryptor ga-adị ka nnukwu ọdachi. Faịlụ anaghị emeghe. Aha niile apụọla. Kama foto a na-emebu, enwere anụ ọhịa wolf na ihuenyo. Ha na-amanye gị ịgụ gbasara bitcoins.
N'ezie, n'oge a, n'okpuru mkpuchi nke "ihe nzuzo dị egwu," e zoro ezoro ụdị mkparị dị otú ahụ na-akwa emo na nke nzuzu na-apụnara mmadụ ihe, ebe onye na-awakpo na-eji mmemme emebere emebere ma hapụ mkpịsị ugodi n'ebe mpụ ahụ mere.
Site n'ụzọ, banyere igodo. Anyị enweghị edemede ọjọọ ma ọ bụ Trojan nwere ike inyere anyị aka ịghọta ka nke a si mee. ngafe. igodo – Usoro nke faịlụ na-egosi na PC bu oria ka amabeghị. Ma, m na-echeta, na ndetu ya onye edemede kwuru banyere ihe pụrụ iche nke paswọọdụ. Yabụ, okwu koodu maka decryption bụ ihe pụrụ iche dị ka anụ ọhịa wolf onyinyo bụ ihe pụrụ iche :)
Ma n'agbanyeghị, anụ ọhịa wolf onyinyo, gịnị kpatara na gịnị mere?
isi: www.habr.com