Wulfric Ransomware – გამოსასყიდი პროგრამა, რომელიც არ არსებობს

ზოგჯერ თქვენ უბრალოდ გინდათ ჩახედოთ რომელიმე ვირუსის ავტორის თვალებში და ჰკითხოთ: რატომ და რატომ? ჩვენ შეგვიძლია თავად ვუპასუხოთ კითხვას „როგორ“, მაგრამ ძალიან საინტერესო იქნებოდა იმის გარკვევა, თუ რას ფიქრობდა ესა თუ ის მავნე პროგრამის შემქმნელი. მით უმეტეს, როცა ასეთ „მარგალიტებს“ ვხვდებით.

დღევანდელი სტატიის გმირი კრიპტოგრაფის საინტერესო მაგალითია. როგორც ჩანს, ეს იყო მორიგი „გამოსყიდვის პროგრამა“, მაგრამ მისი ტექნიკური განხორციელება უფრო ვიღაცის სასტიკ ხუმრობას ჰგავს. ამ განხორციელებაზე დღეს ვისაუბრებთ.

სამწუხაროდ, თითქმის შეუძლებელია ამ ენკოდერის სასიცოცხლო ციკლის მიკვლევა - მასზე ძალიან ცოტა სტატისტიკაა, რადგან, საბედნიეროდ, ის ფართოდ არ გავრცელებულა. ამიტომ, ჩვენ გამოვტოვებთ წარმოშობას, ინფექციის მეთოდებს და სხვა ცნობებს. მოდით ვისაუბროთ მხოლოდ ჩვენი შეხვედრის შემთხვევაზე Wulfric Ransomware და როგორ დავეხმარეთ მომხმარებელს მისი ფაილების შენახვაში.

I. როგორ დაიწყო ეს ყველაფერი

ადამიანები, რომლებიც გახდნენ გამოსასყიდის მსხვერპლნი, ხშირად მიმართავენ ჩვენს ანტივირუსულ ლაბორატორიას. ჩვენ ვუწევთ დახმარებას იმისდა მიუხედავად, თუ რა ანტივირუსული პროდუქტები აქვთ მათ დაინსტალირებული. ამჯერად დაგვიკავშირდა ადამიანი, რომლის ფაილებზეც უცნობი ენკოდერი დაზარალდა.

Საღამო მშვიდობისა ფაილები დაშიფრული იყო ფაილის საცავში (samba4) პაროლის გარეშე შესვლით. ეჭვი მაქვს, რომ ინფექცია მოვიდა ჩემი ქალიშვილის კომპიუტერიდან (Windows 10 სტანდარტული Windows Defender დაცვით). ამის შემდეგ ქალიშვილს კომპიუტერი არ ჩართულია. ფაილები დაშიფრულია ძირითადად .jpg და .cr2. ფაილის გაფართოება დაშიფვრის შემდეგ: .aef.

მომხმარებლისგან მივიღეთ დაშიფრული ფაილების ნიმუშები, გამოსასყიდის შენიშვნა და ფაილი, რომელიც, სავარაუდოდ, ის გასაღებია, რომელიც გამოსასყიდ პროგრამის ავტორს სჭირდებოდა ფაილების გასაშიფრად.

აქ არის ყველა ჩვენი მინიშნება:

• 01c.aef (4481K)
• hacked.jpg (254K)
• hacked.txt (0K)
• 04c.aef (6540K)
• pass.key (0K)

მოდით შევხედოთ შენიშვნას. რამდენი ბიტკოინი ამჯერად?

თარგმანი:

ყურადღება, თქვენი ფაილები დაშიფრულია!
პაროლი უნიკალურია თქვენი კომპიუტერისთვის.

გადაიხადეთ 0.05 BTC თანხა ბიტკოინის მისამართზე: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
გადახდის შემდეგ გამომიგზავნეთ ელ.წერილი, მიმაგრებით pass.key ფაილს [ელ.ფოსტით დაცულია] გადახდის შეტყობინებით.

დადასტურების შემდეგ გამოგიგზავნით ფაილების გაშიფვრას.

ბიტკოინების ონლაინ გადახდა შეგიძლიათ სხვადასხვა გზით:
buy.blockexplorer.com - გადახდა საბანკო ბარათით
www.buybitcoinworldwide.com
localbitcoins.net

ბიტკოინის შესახებ:
en.wikipedia.org/wiki/Bitcoin
თუ თქვენ გაქვთ რაიმე შეკითხვები, გთხოვთ მომწეროთ ნომერზე [ელ.ფოსტით დაცულია]
ბონუსად გეტყვით როგორ გატეხეს თქვენი კომპიუტერი და როგორ დაიცვათ იგი მომავალში.

პრეტენზიული მგელი, რომელიც შექმნილია მსხვერპლს სიტუაციის სერიოზულობის დასანახად. თუმცა, შეიძლებოდა უარესიც ყოფილიყო.

ბრინჯი. 1. -ბონუსის სახით გეტყვით როგორ დაიცვათ კომპიუტერი მომავალში. -Კანონიერი ჩანს.

II. Დავიწყოთ

უპირველეს ყოვლისა, ჩვენ გადავხედეთ გაგზავნილი ნიმუშის სტრუქტურას. უცნაურია, მაგრამ ის არ ჰგავდა ფაილს, რომელიც დაზიანდა გამოსასყიდის პროგრამით. გახსენით თექვსმეტობითი რედაქტორი და შეხედეთ. პირველი 4 ბაიტი შეიცავს ორიგინალური ფაილის ზომას, შემდეგი 60 ბაიტი ივსება ნულებით. მაგრამ ყველაზე საინტერესო ის არის ბოლოს:

ბრინჯი. 2 გაანალიზეთ დაზიანებული ფაილი. რა გიპყრობს მაშინვე თვალს?

ყველაფერი შემაშფოთებლად მარტივი აღმოჩნდა: სათაურიდან 0x40 ბაიტი გადატანილია ფაილის ბოლოს. მონაცემების აღსადგენად, უბრალოდ დააბრუნეთ ისინი დასაწყისში. ფაილზე წვდომა აღდგენილია, მაგრამ სახელი რჩება დაშიფრული და საქმე უფრო რთულდება.

ბრინჯი. 3. დაშიფრული სახელი Base64-ში ჰგავს სიმბოლოების აურზაურს.

შევეცადოთ გავერკვეთ გაივლის.გასაღებიმომხმარებლის მიერ წარმოდგენილი. მასში ჩვენ ვხედავთ ASCII სიმბოლოების 162-ბაიტიან თანმიმდევრობას.

ბრინჯი. 4. მსხვერპლის კომპიუტერზე დარჩენილი 162 სიმბოლო.

თუ დააკვირდებით, შეამჩნევთ, რომ სიმბოლოები მეორდება გარკვეული სიხშირით. ეს შეიძლება მიუთითებდეს XOR-ის გამოყენებაზე, რომელიც ხასიათდება გამეორებებით, რომლის სიხშირე დამოკიდებულია გასაღების სიგრძეზე. სტრიქონის 6 სიმბოლოდ დაყოფით და XOR-ის ზოგიერთი ვარიანტით XOR მიმდევრობით, ჩვენ ვერ მივაღწიეთ რაიმე მნიშვნელოვან შედეგს.

ბრინჯი. 5. ნახე განმეორებადი მუდმივები შუაში?

ჩვენ გადავწყვიტეთ გუგლის მუდმივები, რადგან დიახ, ეს ასევე შესაძლებელია! და ყველა მათგანმა საბოლოოდ მიიყვანა ერთი ალგორითმი - Batch Encryption. სცენარის შესწავლის შემდეგ გაირკვა, რომ ჩვენი ხაზი სხვა არაფერია, თუ არა მისი მუშაობის შედეგი. უნდა აღინიშნოს, რომ ეს საერთოდ არ არის შიფრატორი, არამედ მხოლოდ ენკოდერი, რომელიც ცვლის სიმბოლოებს 6-ბაიტიანი თანმიმდევრობით. შენთვის არ არის გასაღებები და სხვა საიდუმლოებები :)

ბრინჯი. 6. უცნობი ავტორობის ორიგინალური ალგორითმის ნაწილი.

ალგორითმი არ იმუშავებს ისე, როგორც უნდა, რომ არა ერთი დეტალი:

ბრინჯი. 7. მორფეუსმა დაამტკიცა.

საპირისპირო ჩანაცვლების გამოყენებით ჩვენ გარდაქმნით სტრიქონს გაივლის.გასაღები 27 სიმბოლოსგან შემდგარ ტექსტში. ადამიანის (სავარაუდოდ) ტექსტი „ასმოდატი“ განსაკუთრებულ ყურადღებას იმსახურებს.

სურ.8. USGFDG=7.

Google კვლავ დაგვეხმარება. მცირე ძიების შემდეგ, ჩვენ ვპოულობთ საინტერესო პროექტს GitHub-ზე - Folder Locker, დაწერილი .Net-ში და იყენებს 'asmodat' ბიბლიოთეკას სხვა Git ანგარიშიდან.

ბრინჯი. 9. Folder Locker ინტერფეისი. დარწმუნდით, რომ შეამოწმეთ მავნე პროგრამები.

პროგრამა არის შიფრატორი Windows 7 და უფრო მაღალი ვერსიებისთვის, რომელიც ნაწილდება ღია წყაროს სახით. დაშიფვრის დროს გამოიყენება პაროლი, რომელიც აუცილებელია შემდგომი გაშიფვრისთვის. საშუალებას გაძლევთ იმუშაოთ როგორც ცალკეულ ფაილებთან, ასევე მთელ კატალოგებთან.

მისი ბიბლიოთეკა იყენებს Rijndael-ის სიმეტრიული დაშიფვრის ალგორითმს CBC რეჟიმში. აღსანიშნავია, რომ ბლოკის ზომა შეირჩა 256 ბიტად - AES სტანდარტში მიღებულისგან განსხვავებით. ამ უკანასკნელში ზომა შემოიფარგლება 128 ბიტით.

ჩვენი გასაღები გენერირებულია PBKDF2 სტანდარტის მიხედვით. ამ შემთხვევაში, პაროლი არის SHA-256 პროგრამაში შეყვანილი სტრიქონიდან. რჩება მხოლოდ ამ სტრიქონის პოვნა გაშიფვრის გასაღების შესაქმნელად.

აბა, დავუბრუნდეთ უკვე გაშიფრულს გაივლის.გასაღები. გახსოვთ ეს სტრიქონი რიცხვების სიმრავლით და ტექსტით "asmodat"? შევეცადოთ გამოვიყენოთ სტრიქონის პირველი 20 ბაიტი, როგორც პაროლი Folder Locker-ისთვის.

შეხედე, მუშაობს! გამოვიდა კოდი სიტყვა და ყველაფერი მშვენივრად იყო გაშიფრული. პაროლის სიმბოლოების მიხედვით ვიმსჯელებთ, ეს არის ASCII-ში კონკრეტული სიტყვის HEX წარმოდგენა. შევეცადოთ გამოვაჩინოთ კოდი სიტყვა ტექსტის სახით. ჩვენ ვიღებთ'ჩრდილის მგელი'. უკვე გრძნობთ ლიკანტროპიის სიმპტომებს?

მოდით კიდევ ერთხელ გადავხედოთ დაზარალებული ფაილის სტრუქტურას, ახლა ვიცით, როგორ მუშაობს ჩამკეტი:

• 02 00 00 00 – სახელის დაშიფვრის რეჟიმი;
• 58 00 00 00 – დაშიფრული და base64 კოდირებული ფაილის სახელის სიგრძე;
• 40 00 00 00 – გადატანილი სათაურის ზომა.

თავად დაშიფრული სახელი და გადაცემული სათაური მონიშნულია, შესაბამისად, წითელ და ყვითლად.

ბრინჯი. 10. დაშიფრული სახელი მონიშნულია წითლად, გადატანილი სათაური მონიშნულია ყვითლად.

ახლა შევადაროთ დაშიფრული და გაშიფრული სახელები თექვსმეტობით გამოსახულებაში.

გაშიფრული მონაცემების სტრუქტურა:

• 78 B9 B8 2E – კომუნალური კომპანიის მიერ შექმნილი ნაგავი (4 ბაიტი);
• 0С 00 00 00 – გაშიფრული სახელწოდების სიგრძე (12 ბაიტი);
• შემდეგ მოდის ფაილის ნამდვილი სახელი და ნულოვანი ჩასმა ბლოკის საჭირო სიგრძემდე (შეფუთვა).

ბრინჯი. 11. IMG_4114 გამოიყურება ბევრად უკეთესი.

III. დასკვნები და დასკვნა

დაბრუნება დასაწყისში. ჩვენ არ ვიცით, რა მოტივაცია გაუწია Wulfric.Ransomware-ის ავტორს და რა მიზანს მისდევდა. რა თქმა უნდა, საშუალო მომხმარებლისთვის, თუნდაც ასეთი დაშიფვრის მუშაობის შედეგი დიდ კატასტროფად მოგეჩვენებათ. ფაილები არ იხსნება. ყველა სახელი გაქრა. ჩვეულებრივი სურათის ნაცვლად, ეკრანზე მგელია. ისინი გაიძულებენ წაიკითხოთ ბიტკოინებზე.

მართალია, ამჯერად, "საშინელი შიფრატორის" საფარქვეშ დაიმალა გამოძალვის ისეთი სასაცილო და სულელური მცდელობა, სადაც თავდამსხმელი იყენებს მზა პროგრამებს და ტოვებს გასაღებებს დანაშაულის ადგილზე.

სხვათა შორის, გასაღებების შესახებ. ჩვენ არ გვქონდა მავნე სკრიპტი ან ტროას, რომელიც დაგვეხმარებოდა იმის გაგებაში, თუ როგორ მოხდა ეს. გაივლის.გასაღები – მექანიზმი, რომლითაც ფაილი გამოჩნდება ინფიცირებულ კომპიუტერზე, უცნობია. მაგრამ, მახსოვს, თავის ჩანაწერში ავტორმა ახსენა პაროლის უნიკალურობა. ასე რომ, გაშიფვრის კოდის სიტყვა ისეთივე უნიკალურია, როგორც მომხმარებლის სახელი shadow wolf უნიკალურია :)

და მაინც, ჩრდილოვანი მგელი, რატომ და რატომ?

წყარო: www.habr.com