A volte vorresti solo guardare negli occhi qualche scrittore di virus e chiederti: perché e perché? Alla domanda “come” possiamo rispondere noi stessi, ma sarebbe molto interessante scoprire cosa pensava questo o quel creatore di malware. Soprattutto quando ci imbattiamo in tali “perle”.
L'eroe dell'articolo di oggi è un interessante esempio di crittografo. Apparentemente è stato concepito come un altro “ransomware”, ma la sua implementazione tecnica assomiglia più allo scherzo crudele di qualcuno. Parleremo di questa implementazione oggi.
Purtroppo è quasi impossibile tracciare il ciclo di vita di questo codificatore: ci sono troppo poche statistiche su di esso, poiché fortunatamente non è diventato molto diffuso. Pertanto tralasceremo l'origine, le modalità di infezione e altri riferimenti. Parliamo solo del nostro caso di incontro Wulfric ransomware e come abbiamo aiutato l'utente a salvare i suoi file.
I. Come tutto ebbe inizio
Le persone che sono state vittime di ransomware spesso contattano il nostro laboratorio antivirus. Forniamo assistenza indipendentemente da quali prodotti antivirus hanno installato. Questa volta siamo stati contattati da una persona i cui file erano interessati da un codificatore sconosciuto.
Buon pomeriggio I file sono stati crittografati su un archivio di file (samba4) con accesso senza password. Sospetto che l’infezione provenga dal computer di mia figlia (Windows 10 con protezione Windows Defender standard). Successivamente il computer della figlia non è stato acceso. I file sono crittografati principalmente .jpg e .cr2. Estensione del file dopo la crittografia: .aef.
Abbiamo ricevuto dall'utente campioni di file crittografati, una richiesta di riscatto e un file che probabilmente è la chiave di cui l'autore del ransomware aveva bisogno per decrittografare i file.
Ecco tutti i nostri indizi:
- 01c.aef (4481K)
- hackerato.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- chiave.pass (0K)
Diamo un'occhiata alla nota. Quanti bitcoin questa volta?
Traduzione:
Attenzione, i tuoi file sono crittografati!
La password è univoca per il tuo PC.Paga l'importo di 0.05 BTC all'indirizzo Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Dopo il pagamento inviatemi una email allegando il file pass.key a [email protected] con avviso di pagamento.Dopo la conferma, ti invierò un decryptor per i file.
Puoi pagare i bitcoin online in diversi modi:
— pagamento con carta bancaria
A proposito di Bitcoin:
Se avete domande scrivetemi a [email protected]
Come bonus, ti dirò come è stato violato il tuo computer e come proteggerlo in futuro.
Un lupo pretenzioso, pensato per mostrare alla vittima la gravità della situazione. Tuttavia, avrebbe potuto andare peggio.
Riso. 1. -Come bonus, ti dirò come proteggere il tuo computer in futuro. -Sembra giusto.
II. Iniziamo
Innanzitutto abbiamo esaminato la struttura del campione inviato. Stranamente, non sembrava un file danneggiato da un ransomware. Apri l'editor esadecimale e dai un'occhiata. I primi 4 byte contengono la dimensione del file originale, i successivi 60 byte sono riempiti con zeri. Ma la cosa più interessante è alla fine:
Riso. 2 Analizzare il file danneggiato. Cosa attira immediatamente la tua attenzione?
Tutto si è rivelato fastidiosamente semplice: 0x40 byte dall'intestazione sono stati spostati alla fine del file. Per ripristinare i dati, è sufficiente riportarli all'inizio. L'accesso al file è stato ripristinato, ma il nome rimane crittografato e le cose stanno diventando più complicate.
Riso. 3. Il nome crittografato in Base64 sembra un insieme sconclusionato di caratteri.
Proviamo a capirlo pass.key, inviato dall'utente. In esso vediamo una sequenza di 162 byte di caratteri ASCII.
Riso. 4. 162 caratteri rimasti sul PC della vittima.
Se guardi da vicino, noterai che i simboli si ripetono con una certa frequenza. Ciò potrebbe indicare l'uso di XOR, che è caratterizzato da ripetizioni, la cui frequenza dipende dalla lunghezza della chiave. Avendo suddiviso la stringa in 6 caratteri ed eseguito XOR con alcune varianti di sequenze XOR, non abbiamo ottenuto alcun risultato significativo.
Riso. 5. Vedi le costanti ripetute nel mezzo?
Abbiamo deciso di cercare su Google le costanti, perché sì, anche questo è possibile! E alla fine tutti hanno portato a un algoritmo: la crittografia batch. Dopo aver studiato la sceneggiatura, è diventato chiaro che la nostra battuta non è altro che il risultato del suo lavoro. Va detto che questo non è affatto un crittografo, ma solo un codificatore che sostituisce i caratteri con sequenze di 6 byte. Nessuna chiave o altro segreto per te :)
Riso. 6. Un pezzo dell'algoritmo originale di paternità sconosciuta.
L’algoritmo non funzionerebbe come dovrebbe se non fosse per un dettaglio:
Riso. 7. Morpheus ha approvato.
Usando la sostituzione inversa trasformiamo la stringa da pass.key in un testo di 27 caratteri. Il testo umano (molto probabilmente) "asmodat" merita un'attenzione speciale.
Fig.8. USGFDG=7.
Google ci aiuterà ancora. Dopo una piccola ricerca, troviamo un progetto interessante su GitHub - Folder Locker, scritto in .Net e utilizzando la libreria 'asmodat' di un altro account Git.
Riso. 9. Interfaccia di blocco cartelle. Assicurati di controllare la presenza di malware.
L'utilità è un crittografo per Windows 7 e versioni successive, distribuito come open source. Durante la crittografia viene utilizzata una password, necessaria per la successiva decrittografia. Ti consente di lavorare sia con singoli file che con intere directory.
La sua libreria utilizza l'algoritmo di crittografia simmetrica Rijndael in modalità CBC. È interessante notare che la dimensione del blocco scelta è stata di 256 bit, contrariamente a quella adottata nello standard AES. In quest'ultimo la dimensione è limitata a 128 bit.
La nostra chiave è generata secondo lo standard PBKDF2. In questo caso, la password è SHA-256 dalla stringa inserita nell'utilità. Non resta che trovare questa stringa per generare la chiave di decrittazione.
Bene, torniamo al nostro già decodificato pass.key. Ricordi quella riga con una serie di numeri e il testo "asmodat"? Proviamo a utilizzare i primi 20 byte della stringa come password per Folder Locker.
Guarda, funziona! La parola in codice venne fuori e tutto fu decifrato perfettamente. A giudicare dai caratteri nella password, si tratta di una rappresentazione HEX di una parola specifica in ASCII. Proviamo a visualizzare la parola in codice in forma di testo. Noi abbiamo 'lupo ombra'. Senti già i sintomi della licantropia?
Diamo un'altra occhiata alla struttura del file interessato, ora sappiamo come funziona l'armadietto:
- 02 00 00 00 – modalità di crittografia del nome;
- 58 00 00 00 – lunghezza del nome del file crittografato e codificato base64;
- 40 00 00 00 – dimensione dell'intestazione trasferita.
Il nome crittografato stesso e l'intestazione trasferita sono evidenziati rispettivamente in rosso e giallo.
Riso. 10. Il nome crittografato è evidenziato in rosso, l'intestazione trasferita è evidenziata in giallo.
Ora confrontiamo i nomi crittografati e decrittografati nella rappresentazione esadecimale.
Struttura dei dati decrittografati:
- 78 B9 B8 2E – spazzatura creata dall'utilità (4 byte);
- 0С 00 00 00 – lunghezza del nome decifrato (12 byte);
- Poi viene il nome effettivo del file e il riempimento con zeri fino alla lunghezza del blocco richiesta (riempimento).
Riso. 11. IMG_4114 sembra molto migliore.
III. Conclusioni e conclusione
Ritorno all'inizio. Non sappiamo cosa abbia motivato l'autore di Wulfric.Ransomware e quale obiettivo perseguisse. Naturalmente, per l'utente medio, il risultato del lavoro anche di un simile crittografo sembrerà un grande disastro. I file non si aprono. Tutti i nomi sono spariti. Invece della solita immagine, sullo schermo c'è un lupo. Ti costringono a leggere di bitcoin.
È vero, questa volta, sotto le spoglie di un "terribile codificatore", si è nascosto un tentativo di estorsione così ridicolo e stupido, in cui l'aggressore utilizza programmi già pronti e lascia le chiavi proprio sulla scena del crimine.
A proposito, riguardo alle chiavi. Non avevamo uno script dannoso o un Trojan che potesse aiutarci a capire come ciò sia accaduto. pass.key – il meccanismo con cui il file appare su un PC infetto rimane sconosciuto. Ma, ricordo, nella sua nota l'autore ha menzionato l'unicità della password. Quindi, la parola in codice per la decrittazione è unica quanto lo è il nome utente shadow wolf :)
Eppure, lupo ombra, perché e perché?
Fonte: habr.com