Kadhangkala sampeyan pengin ndeleng mripate sawetara penulis virus lan takon: kenapa lan kenapa? Kita bisa mangsuli pitakon "kepiye" dhewe, nanging bakal dadi menarik banget kanggo ngerteni apa sing dipikirake dening panyipta malware kasebut. Utamane nalika kita nemokake "mutiara" kuwi.
Pahlawan artikel saiki minangka conto sing menarik saka cryptographer. Iki dianggep minangka "ransomware" liyane, nanging implementasine teknis katon kaya guyonan sing kejam. Kita bakal ngomong babagan implementasine dina iki.
Sayange, iku meh mokal kanggo nglacak siklus urip encoder iki - ana sawetara banget statistik ing, amarga, untunge, iku wis ora nyebar. Mulane, kita bakal ninggalake asal, cara infèksi lan referensi liyane. Ayo kita ngomong babagan kasus pertemuan kita Wulfric Ransomware lan carane kita mbantu pangguna nyimpen file.
I. Carane iku kabeh wiwit
Wong sing wis dadi korban ransomware asring ngubungi laboratorium anti-virus kita. We nyedhiyani pitulungan preduli saka apa antivirus produk padha wis diinstal. Wektu iki kita dikontak dening wong sing file kena pengaruh encoder sing ora dingerteni.
sugeng sonten File dienkripsi ing panyimpenan file (samba4) kanthi login tanpa sandi. Aku curiga yen infeksi kasebut teka saka komputer putriku (Windows 10 kanthi proteksi Windows Defender standar). Komputer putri ora diuripake sawise iku. File kasebut dienkripsi utamane .jpg lan .cr2. Ekstensi file sawise enkripsi: .aef.
Kita nampa saka conto pangguna file sing dienkripsi, cathetan tebusan, lan file sing kemungkinan kunci sing dibutuhake penulis ransomware kanggo dekripsi file kasebut.
Mangkene kabeh pitunjuk kita:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Ayo ndeleng cathetan kasebut. Pira bitcoin wektu iki?
Terjemahan:
Manungsa waé, file sampeyan dienkripsi!
Tembung sandhi unik kanggo PC sampeyan.Mbayar jumlah 0.05 BTC menyang alamat Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Sawise pembayaran, ngirim kula email, masang file pass.key kanggo [email dilindhungi] karo kabar pembayaran.Sawise konfirmasi, aku bakal ngirim decryptor kanggo file kasebut.
Sampeyan bisa mbayar bitcoin kanthi online kanthi macem-macem cara:
- pembayaran nganggo kertu bank
Babagan Bitcoins:
Yen sampeyan duwe pitakonan, please nulis kanggo kula ing [email dilindhungi]
Minangka bonus, Aku bakal pitutur marang kowe carane komputer iki disusupi lan carane nglindhungi ing mangsa.
A serigala pretentious, dirancang kanggo nuduhake korban serius saka kahanan. Nanging, bisa uga luwih elek.
Gabah. 1. -Minangka bonus, Aku bakal pitutur marang kowe carane nglindhungi komputer ing mangsa. -Koyone tenanan.
II. Ayo dadi miwiti
Kaping pisanan, kita ndeleng struktur sampel sing dikirim. Anehe, iku ora katon kaya file sing wis rusak dening ransomware. Bukak editor heksadesimal lan delengen. 4 bait pisanan ngemot ukuran file asli, 60 bait sabanjure diisi nol. Nanging sing paling menarik yaiku ing pungkasan:
Gabah. 2 Analisis file sing rusak. Apa langsung narik mripatmu?
Kabeh dadi gampang banget: 0x40 bita saka header dipindhah menyang mburi file. Kanggo mulihake data, mung bali menyang wiwitan. Akses menyang file wis dibalèkaké, nanging jeneng tetep ndhelik, lan iku dadi luwih rumit karo.
Gabah. 3. Jeneng ndhelik ing Base64 katon kaya pesawat rambling saka karakter.
Ayo dadi nyoba kanggo mangerteni pass.kunci, dikirim dening pangguna. Ing kono kita ndeleng urutan 162-bait karakter ASCII.
Gabah. 4. 162 karakter kiwa ing PC korban.
Yen katon rapet, sampeyan bakal sok dong mirsani sing simbol wis bola karo frekuensi tartamtu. Iki bisa uga nuduhake panggunaan XOR, sing ditondoi kanthi repetisi, frekuensi gumantung saka dawa tombol. Sawise pamisah string dadi 6 karakter lan XORed karo sawetara varian saka urutan XOR, kita ora entuk asil sing migunani.
Gabah. 5. Waca konstanta mbaleni ing tengah?
Kita mutusake kanggo google konstanta, amarga ya, bisa uga! Lan kabeh pungkasane nyebabake siji algoritma - Enkripsi Batch. Sawise nyinaoni naskah kasebut, dadi cetha yen baris kita ora liya minangka asil karyane. Sampeyan kudu kasebut yen iki dudu enkripsi, nanging mung encoder sing ngganti karakter kanthi urutan 6-bait. Ora ana kunci utawa rahasia liyane kanggo sampeyan :)
Gabah. 6. A Piece saka algoritma asli authorship dingerteni.
Algoritma ora bakal bisa digunakake yen ora kanggo siji rinci:
Gabah. 7. Morpheus disetujoni.
Nggunakake substitusi mbalikke kita ngowahi senar saka pass.kunci dadi teks 27 aksara. Teks manungsa (paling mungkin) 'asmodat' pantes diwenehi perhatian khusus.
Gambar 8. USGFDG=7.
Google bakal nulungi maneh. Sawise nggoleki sethithik, kita nemokake proyek menarik ing GitHub - Folder Locker, ditulis ing .Net lan nggunakake perpustakaan 'asmodat' saka akun Git liyane.
Gabah. 9. Antarmuka Folder Locker. Priksa manawa kanggo mriksa malware.
Utilitas kasebut minangka enkripsi kanggo Windows 7 lan luwih dhuwur, sing disebarake minangka sumber terbuka. Sajrone enkripsi, sandhi digunakake, sing perlu kanggo dekripsi sabanjure. Ngidini sampeyan bisa nggarap file individu lan kabeh direktori.
Pustaka kasebut nggunakake algoritma enkripsi simetris Rijndael ing mode CBC. Wigati dimangerteni manawa ukuran blok dipilih dadi 256 bit - beda karo sing diadopsi ing standar AES. Ing pungkasan, ukuran diwatesi nganti 128 bit.
Kunci kita digawe miturut standar PBKDF2. Ing kasus iki, sandhi yaiku SHA-256 saka senar sing dilebokake ing sarana kasebut. Sing isih ana yaiku nemokake senar iki kanggo ngasilake kunci dekripsi.
Inggih, ayo bali menyang kita wis decoded pass.kunci. Elinga yen baris karo pesawat nomer lan teks 'asmodat'? Coba gunakake 20 bait senar pisanan minangka sandhi kanggo Folder Locker.
Delengen, kerjane! Tembung kode teka munggah, lan kabeh wis deciphered sampurna. Kang menehi kritik dening karakter ing sandi, iku perwakilan HEX saka tembung tartamtu ing ASCII. Ayo nyoba nampilake tembung kode ing wangun teks. Kita entuk'shadowwolf'. Wis ngrasakake gejala lycanthropy?
Ayo ndeleng maneh struktur file sing kena pengaruh, saiki ngerti cara kerja loker:
- 02 00 00 00 - mode enkripsi jeneng;
- 58 00 00 00 - dawa jeneng file sing dienkripsi lan base64;
- 40 00 00 00 - ukuran header sing ditransfer.
Jeneng sing dienkripsi dhewe lan header sing ditransfer disorot kanthi warna abang lan kuning.
Gabah. 10. Jeneng sing dienkripsi disorot abang, header sing ditransfer disorot kuning.
Saiki ayo mbandhingake jeneng sing dienkripsi lan didekripsi ing perwakilan heksadesimal.
Struktur data dekripsi:
- 78 B9 B8 2E - sampah digawe dening sarana (4 bita);
- 0С 00 00 00 - dawa jeneng dekripsi (12 bita);
- Sabanjure teka jeneng file nyata lan padding karo nul kanggo dawa pemblokiran dibutuhake (padding).
Gabah. 11. IMG_4114 katon luwih apik.
III. Kesimpulan lan Kesimpulan
Bali menyang wiwitan. Kita ora ngerti apa motivasi penulis Wulfric.Ransomware lan tujuan apa sing ditindakake. Mesthi, kanggo pangguna rata-rata, asil saka karya malah encryptor kuwi bakal katon kaya bilai gedhe. File ora mbukak. Kabeh jenenge ilang. Tinimbang gambar biasanipun, ana serigala ing layar. Dheweke meksa sampeyan maca babagan bitcoin.
Bener, wektu iki, kanthi kedok "enkoder sing nggegirisi," ana upaya sing ora sopan lan bodho kanggo pemerasan, ing ngendi panyerang nggunakake program sing wis siap lan ninggalake tombol ing lokasi kejahatan.
Miturut cara, bab tombol. Kita ora duwe script ala utawa Trojan sing bisa mbantu kita ngerti kepiye kedadeyan kasebut. pass.kunci – mekanisme file sing katon ing PC sing kena infeksi tetep ora dingerteni. Nanging, aku elinga, ing cathetan kasebut penulis nyebutake keunikan tembung sandi kasebut. Dadi, tembung kode kanggo dekripsi unik kaya jeneng panganggo shadow wolf unik :)
Nanging, serigala bayangan, kenapa lan kenapa?
Source: www.habr.com