Stundum langar þig bara að horfa í augu einhvers vírushöfundar og spyrja: hvers vegna og hvers vegna? Við getum svarað spurningunni „hvernig“ sjálf, en það væri mjög áhugavert að komast að því hvað þessi eða hinn malware skapari var að hugsa. Sérstaklega þegar við rekumst á svona „perlur“.
Hetjan í greininni í dag er áhugavert dæmi um dulritunarmann. Það var greinilega hugsað sem enn einn „lausnarhugbúnaður“ en tæknileg útfærsla þess lítur meira út eins og grimmur brandari einhvers. Við munum tala um þessa framkvæmd í dag.
Því miður er nánast ómögulegt að rekja lífsferil þessa kóðara - það er of lítið af tölfræði um hann, þar sem það hefur sem betur fer ekki náð útbreiðslu. Þess vegna munum við sleppa uppruna, sýkingaraðferðum og öðrum tilvísunum. Við skulum bara tala um mál okkar um fund með Wulfric Ransomware og hvernig við hjálpuðum notandanum að vista skrárnar sínar.
I. Hvernig allt byrjaði
Fólk sem hefur verið fórnarlömb lausnarhugbúnaðar hefur oft samband við vírusvarnarstofuna okkar. Við veitum aðstoð óháð því hvaða vírusvarnarvörur þeir hafa sett upp. Í þetta skiptið hafði einstaklingur samband við okkur sem hafði áhrif á skrár frá óþekktum kóðara.
Góðan daginn Skrár voru dulkóðaðar á skráageymslu (samba4) með lykilorðslausu innskráningu. Mig grunar að sýkingin hafi komið frá tölvu dóttur minnar (Windows 10 með hefðbundinni Windows Defender vörn). Ekki var kveikt á tölvu dótturinnar eftir það. Skrárnar eru dulkóðaðar aðallega .jpg og .cr2. Skráarending eftir dulkóðun: .aef.
Við fengum frá notandanum sýnishorn af dulkóðuðum skrám, lausnargjaldsseðil og skrá sem er líklega lykillinn sem höfundur lausnarhugbúnaðar þurfti til að afkóða skrárnar.
Hér eru allar vísbendingar okkar:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Við skulum skoða athugasemdina. Hversu mörg bitcoins að þessu sinni?
Þýðing:
Athugið, skrárnar þínar eru dulkóðaðar!
Lykilorðið er einstakt fyrir tölvuna þína.Borgaðu upphæðina 0.05 BTC á Bitcoin heimilisfangið: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Eftir greiðslu, sendu mér tölvupóst og hengdu pass.key skrána við [netvarið] með tilkynningu um greiðslu.Eftir staðfestingu mun ég senda þér decryptor fyrir skrárnar.
Þú getur borgað fyrir bitcoins á netinu á mismunandi vegu:
— greiðsla með bankakorti
Um Bitcoins:
Ef þú hefur einhverjar spurningar, vinsamlegast skrifaðu mér á [netvarið]
Sem bónus mun ég segja þér hvernig tölvunni var hakkað og hvernig á að vernda hana í framtíðinni.
Tilgerðarlegur úlfur, hannaður til að sýna fórnarlambinu alvarleika ástandsins. Hins vegar hefði það getað verið verra.
Hrísgrjón. 1. -Sem bónus mun ég segja þér hvernig á að vernda tölvuna þína í framtíðinni. — Virðist lögmætt.
II. Byrjum
Í fyrsta lagi skoðuðum við uppbyggingu sent sýnishorns. Merkilegt nokk leit það ekki út eins og skrá sem hafði verið skemmd af lausnarhugbúnaði. Opnaðu sextánda ritilinn og skoðaðu. Fyrstu 4 bætin innihalda upprunalegu skráarstærðina, næstu 60 bætin eru fyllt með núllum. En það áhugaverðasta er í lokin:
Hrísgrjón. 2 Greindu skemmdu skrána. Hvað vekur strax athygli þína?
Allt reyndist vera pirrandi einfalt: 0x40 bæti úr hausnum voru færð í lok skráarinnar. Til að endurheimta gögn skaltu einfaldlega skila þeim í byrjun. Aðgangur að skránni hefur verið endurheimtur, en nafnið er áfram dulkóðað og hlutirnir verða flóknari með það.
Hrísgrjón. 3. Dulkóðaða nafnið í Base64 lítur út eins og töfrandi stafasett.
Við skulum reyna að átta okkur á því pass.lykill, sent inn af notanda. Í henni sjáum við 162-bæta röð af ASCII stöfum.
Hrísgrjón. 4. 162 stafir eftir á tölvu fórnarlambsins.
Ef þú skoðar vel muntu taka eftir því að táknin eru endurtekin með ákveðinni tíðni. Þetta gæti bent til notkunar á XOR, sem einkennist af endurtekningum, tíðni þeirra fer eftir lyklalengd. Eftir að hafa skipt strengnum upp í 6 stafi og XOR með nokkrum afbrigðum af XOR röðum náðum við engum marktækum árangri.
Hrísgrjón. 5. Sjáðu endurtekna fastana í miðjunni?
Við ákváðum að googla fasta, því já, það er líka hægt! Og þeir leiddu allir að lokum til eins reiknirit - runu dulkóðun. Eftir að hafa kynnt sér handritið kom í ljós að línan okkar er ekkert annað en afrakstur vinnu hennar. Þess má geta að þetta er alls ekki dulkóðari, heldur bara umrita sem kemur í stað stafi fyrir 6-bæta röð. Engir lyklar eða önnur leyndarmál fyrir þig :)
Hrísgrjón. 6. Hluti af upprunalegu reikniritinu óþekkts höfundar.
Reikniritið myndi ekki virka eins og það ætti ef ekki væri fyrir eitt smáatriði:
Hrísgrjón. 7. Morpheus samþykktur.
Með því að nota öfuga skiptingu umbreytum við strengnum frá pass.lykill í texta með 27 stöfum. Mannlegur (líklegast) textinn 'asmodat' á skilið sérstaka athygli.
Mynd.8. USGFDG=7.
Google mun hjálpa okkur aftur. Eftir smá leit finnum við áhugavert verkefni á GitHub - Folder Locker, skrifað í .Net og notar 'asmodat' bókasafnið frá öðrum Git reikningi.
Hrísgrjón. 9. Folder Locker tengi. Vertu viss um að athuga hvort spilliforrit.
Tækið er dulkóðari fyrir Windows 7 og nýrri, sem er dreift sem opinn uppspretta. Við dulkóðun er lykilorð notað sem er nauðsynlegt fyrir síðari afkóðun. Gerir þér kleift að vinna bæði með einstakar skrár og með heilum möppum.
Bókasafn þess notar Rijndael samhverfa dulkóðunaralgrímið í CBC ham. Það er athyglisvert að blokkastærðin var valin til að vera 256 bitar - öfugt við það sem tekið er upp í AES staðlinum. Í þeim síðarnefnda er stærðin takmörkuð við 128 bita.
Lykillinn okkar er búinn til samkvæmt PBKDF2 staðlinum. Í þessu tilviki er lykilorðið SHA-256 úr strengnum sem slegið er inn í tólinu. Allt sem er eftir er að finna þennan streng til að búa til afkóðunarlykilinn.
Jæja, við skulum snúa aftur til okkar þegar afkóða pass.lykill. Manstu eftir línunni með tölusettum og textanum 'asmodat'? Við skulum reyna að nota fyrstu 20 bæti strengsins sem lykilorð fyrir Folder Locker.
Sko, það virkar! Kóðaorðið kom upp og allt var leyst fullkomlega. Miðað við stafina í lykilorðinu er það HEX framsetning á tilteknu orði í ASCII. Við skulum reyna að birta kóðaorðið í textaformi. Við fáum 'skuggaúlfur'. Ertu búinn að finna fyrir einkennum lycanthropy?
Við skulum kíkja aftur á uppbyggingu viðkomandi skráar og vita núna hvernig skápurinn virkar:
- 02 00 00 00 – dulkóðunarhamur nafns;
- 58 00 00 00 – lengd dulkóðuðu og base64 kóðaða skráarnafns;
- 40 00 00 00 – stærð yfirfærða haussins.
Dulkóðaða nafnið sjálft og flutti hausinn eru auðkenndir með rauðu og gulu, í sömu röð.
Hrísgrjón. 10. Dulkóðaða nafnið er auðkennt með rauðu, flutti hausinn er auðkenndur með gulu.
Nú skulum við bera saman dulkóðuðu og afkóðuðu nöfnin í sextándarmynd.
Uppbygging afkóðaðra gagna:
- 78 B9 B8 2E – sorp búið til af tólinu (4 bæti);
- 0С 00 00 00 - lengd afkóða nafnsins (12 bæti);
- Næst kemur raunverulegt skráarheiti og fylling með núllum að nauðsynlegri blokkarlengd (fylling).
Hrísgrjón. 11. IMG_4114 lítur miklu betur út.
III. Ályktanir og ályktun
Aftur til upphafsins. Við vitum ekki hvað hvatti höfund Wulfric.Ransomware og hvaða markmið hann stefndi. Auðvitað, fyrir meðalnotandann, mun niðurstaða vinnu jafnvel slíks dulkóðunar virðast vera stór hörmung. Skrár opnast ekki. Öll nöfn eru horfin. Í stað venjulegrar myndar er úlfur á skjánum. Þeir neyða þig til að lesa um bitcoins.
Að vísu leyndist að þessu sinni, í skjóli „hræðilegs kóðara“, svo fáránleg og heimskuleg tilraun til fjárkúgunar, þar sem árásarmaðurinn notar tilbúin forrit og skilur lyklana eftir á vettvangi glæpsins.
Við the vegur, um lyklana. Við vorum ekki með illgjarnt handrit eða tróju sem gæti hjálpað okkur að skilja hvernig þetta gerðist. pass.lykill – hvernig skráin birtist á sýktri tölvu er enn óþekkt. En, ég man, í athugasemd sinni minntist höfundur á sérstöðu lykilorðsins. Svo, kóðaorðið fyrir afkóðun er eins einstakt og notendanafnið Shadow Wolf er einstakt :)
Og samt, skuggaúlfur, hvers vegna og hvers vegna?
Heimild: www.habr.com