時々、ウイルス作成者の目を見て「なぜ、なぜ?」と尋ねたくなることがあります。 「どのように」という質問には私たち自身で答えることができますが、特定のマルウェア作成者が何を考えていたのかを知ることは非常に興味深いでしょう。 特にそのような「真珠」に出会ったとき。
今日の記事の主人公は、暗号学者の興味深い例です。 これは明らかに単なる「ランサムウェア」として考えられていましたが、その技術的な実装は誰かの残酷なジョークのように見えます。 今日はこの実装について説明します。
残念ながら、このエンコーダのライフサイクルを追跡することはほとんど不可能です。幸いなことに、このエンコーダは広く普及していないため、統計が少なすぎます。 したがって、起源、感染方法、その他の参考文献は省略します。 私たちが会ったケースについて話しましょう Wulfricランサムウェア ユーザーのファイル保存をどのように支援したかについても説明します。
I. すべてはどのように始まったのか
ランサムウェアの被害に遭った人は、当社のウイルス対策ラボに問い合わせることがよくあります。 どのようなウイルス対策製品がインストールされているかに関係なく、サポートを提供します。 今回は、不明なエンコーダーによってファイルが影響を受けた人から連絡がありました。
こんにちはファイルは、パスワードなしのログインを使用してファイル ストレージ (samba4) 上で暗号化されました。 娘のコンピュータ (標準の Windows Defender 保護を備えた Windows 10) から感染したのではないかと考えています。 その後、娘のパソコンの電源が入らなくなりました。 ファイルは主に .jpg と .cr2 が暗号化されます。 暗号化後のファイル拡張子: .aef。
私たちはユーザーから、暗号化されたファイルのサンプル、身代金メモ、およびランサムウェア作成者がファイルを復号化するために必要としたキーと思われるファイルを受け取りました。
すべての手がかりは次のとおりです。
- 01c.aef (4481K)
- ハッキングされた.jpg (254K)
- ハッキングされた.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
ノートを見てみましょう。 今回はビットコイン何枚?
翻訳:
ファイルは暗号化されていることに注意してください。
パスワードは PC に固有のものです。0.05 BTC をビットコイン アドレスに支払います: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
支払い後、pass.key ファイルを添付してメールを送ってください。 [メール保護] 支払いの通知とともに。確認後、ファイルの復号化ツールをお送りします。
さまざまな方法でビットコインをオンラインで支払うことができます。
— 銀行カードによる支払い
ビットコインについて:
ご質問がございましたら、以下のアドレスまでご連絡ください。 [メール保護]
おまけとして、あなたのコンピュータがどのようにハッキングされたのか、そして今後それを保護する方法について説明します。
被害者に状況の深刻さを示すために作られた、見栄っ張りなオオカミ。 ただし、さらに悪化する可能性もありました。
米。 1. - おまけとして、今後あなたのコンピュータを保護する方法を説明します。 -スジは通ってるようだ。
II. 始めましょう
まず、送られてきたサンプルの構造を調べました。 奇妙なことに、それはランサムウェアによって破損したファイルのようには見えませんでした。 4 進数エディタを開いて確認してください。 最初の 60 バイトには元のファイル サイズが含まれ、次の XNUMX バイトはゼロで埋められます。 しかし、最も興味深いのは最後です。
米。 2 破損したファイルを分析します。 すぐに目に留まるものは何ですか?
すべてはうんざりするほど単純であることが判明しました。ヘッダーの 0x40 バイトがファイルの末尾に移動されました。 データを復元するには、データを最初に戻すだけです。 ファイルへのアクセスは復元されましたが、名前は暗号化されたままであり、状況はさらに複雑になっています。
米。 3. Base64 で暗号化された名前は、とりとめのない文字の集合のように見えます。
それを理解してみましょう pass.key、ユーザーによって送信されました。 その中には、162 バイトの ASCII 文字シーケンスが表示されます。
米。 4. 被害者の PC には 162 文字が残っています。
よく見ると、シンボルが一定の頻度で繰り返されていることがわかります。 これは、繰り返しを特徴とする XOR の使用を示している可能性があり、その頻度はキーの長さに依存します。 文字列を 6 文字に分割し、XOR シーケンスのいくつかのバリエーションと XOR を実行しましたが、意味のある結果は得られませんでした。
米。 5. 中央に定数が繰り返し表示されているのがわかりますか?
はい、それも可能であるため、定数を Google で検索することにしました。 そしてそれらはすべて、最終的に 6 つのアルゴリズムであるバッチ暗号化につながりました。 台本を読んだ後、私たちのセリフはその作品の結果にすぎないことが明らかになりました。 これは暗号化機能ではなく、文字を XNUMX バイトのシーケンスに置き換える単なるエンコーダーであることに注意してください。 鍵やその他の秘密はありません:)
米。 6. 作者不明のオリジナルのアルゴリズムの一部。
次の XNUMX つの詳細がなければ、アルゴリズムは正常に機能しません。
米。 7. モーフィアスが承認されました。
逆置換を使用して文字列を変換します。 pass.key 27文字のテキストに変換します。 人間の (おそらく) テキスト「asmodat」は特別な注意に値します。
図8. USGFDG=7。
Google がまた私たちを助けてくれます。 少し検索した結果、GitHub で興味深いプロジェクトである Folder Locker を見つけました。これは .Net で書かれ、別の Git アカウントの「asmodat」ライブラリを使用しています。
米。 9. フォルダーロッカーインターフェイス。 マルウェアがないか必ず確認してください。
このユーティリティは Windows 7 以降用の暗号化ツールであり、オープン ソースとして配布されています。 暗号化中にはパスワードが使用されます。これはその後の復号化に必要です。 個々のファイルとディレクトリ全体の両方を操作できます。
そのライブラリは、Rijndael 対称暗号化アルゴリズムを CBC モードで使用します。 AES 標準で採用されているブロック サイズとは対照的に、ブロック サイズが 256 ビットに選択されたことは注目に値します。 後者の場合、サイズは 128 ビットに制限されます。
私たちのキーは PBKDF2 標準に従って生成されます。 この場合、パスワードはユーティリティに入力された文字列からの SHA-256 です。 残っているのは、この文字列を見つけて復号化キーを生成することだけです。
さて、すでにデコードされた話に戻りましょう pass.key。 一連の数字と「asmodat」というテキストが含まれる行を覚えていますか? 文字列の最初の 20 バイトを Folder Locker のパスワードとして使用してみましょう。
見てください、うまくいきます! 暗号語が浮かび上がり、すべてが完璧に解読されました。 パスワード内の文字から判断すると、パスワードは特定の単語を ASCII で表現した XNUMX 進数です。 コードワードをテキスト形式で表示してみましょう。 我々が得る 'シャドウウルフ'。 すでに獣人性の症状を感じていますか?
ロッカーがどのように機能するかを理解した上で、影響を受けるファイルの構造をもう一度見てみましょう。
- 02 00 00 00 – 名前暗号化モード。
- 58 00 00 00 – 暗号化され、base64 でエンコードされたファイル名の長さ。
- 40 00 00 00 – 転送されるヘッダーのサイズ。
暗号化された名前自体と転送されたヘッダーは、それぞれ赤と黄色で強調表示されます。
米。 10. 暗号化された名前は赤色で強調表示され、転送されたヘッダーは黄色で強調表示されます。
次に、暗号化された名前と復号化された名前を XNUMX 進表記で比較してみましょう。
復号化されたデータの構造:
- 78 B9 B8 2E – ユーティリティによって作成されたガベージ (4 バイト)。
- 0С 00 00 00 – 復号化された名前の長さ (12 バイト)。
- 次に、実際のファイル名と、必要なブロック長になるまでゼロを埋め込みます (パディング)。
米。 11. IMG_4114 はかなり良くなりました。
Ⅲ. 結論と結論
最初に戻ります。 Wulfric.Ransomware の作成者が何が動機で、どのような目標を追求したのかはわかりません。 もちろん、平均的なユーザーにとっては、そのような暗号化ツールの作業の結果さえも大惨事のように見えるでしょう。 ファイルが開かない。 名前はすべて消えています。 いつもの絵の代わりに、画面にはオオカミがいます。 ビットコインについて読むことを強制されます。
確かに、今回は「恐ろしいエンコーダー」を装って、攻撃者が既製のプログラムを使用し、犯罪現場にキーを放置するという、ばかばかしく愚かな恐喝の試みが隠されていました。
ところで、鍵について。 これがどのように起こったかを理解するのに役立つ悪意のあるスクリプトやトロイの木馬はありませんでした。 pass.key – 感染した PC にファイルが現れるメカニズムは不明のままです。 しかし、著者がメモの中でパスワードの一意性について言及していたことを覚えています。 つまり、ユーザー名 Shadow wolf がユニークであるのと同じくらい、復号化のためのコードワードもユニークです:)
それなのに影狼、なぜ、そしてなぜ?
出所: habr.com