Кейде сіз вирус жазушының көзіне қарап: неге және неге? Біз «қалай» деген сұраққа өзіміз жауап бере аламыз, бірақ осы немесе басқа зиянды бағдарлама жасаушы не ойлайтынын білу өте қызықты болар еді. Әсіресе мұндай «інжу-маржандарды» кездестіргенде.
Бүгінгі мақаланың кейіпкері - криптографтың қызықты мысалы. Бұл жай ғана «төлемдік бағдарлама» ретінде ойластырылған сияқты, бірақ оның техникалық орындалуы біреудің қатыгез әзіліне ұқсайды. Біз бұл іске асыру туралы бүгін сөйлесеміз.
Өкінішке орай, бұл кодтаушының өмірлік циклін қадағалау мүмкін емес - бұл туралы статистика тым аз, өйткені, бақытымызға орай, ол кең тараған жоқ. Сондықтан біз шығу тегі, жұқтыру әдістері және басқа сілтемелерді қалдырамыз. Бізбен кездескен жағдайымыз туралы айтайық Wulfric Ransomware және пайдаланушыға файлдарын сақтауға қалай көмектескеніміз.
I. Мұның бәрі қалай басталды
Ransomware құрбаны болған адамдар вирусқа қарсы зертханамызға жиі хабарласады. Біз қандай антивирус өнімдерін орнатқанына қарамастан көмек көрсетеміз. Бұл жолы бізге файлдарына белгісіз кодтауыш әсер еткен адам хабарласты.
Қайырлы күн! Файлдар файл қоймасында (samba4) құпия сөзсіз логинмен шифрланған. Мен инфекция қызымның компьютерінен (стандартты Windows Defender қорғанысы бар Windows 10) пайда болды деп күдіктенемін. Осыдан кейін қызының компьютері қосылмаған. Файлдар негізінен .jpg және .cr2 шифрланады. Шифрлаудан кейінгі файл кеңейтімі: .aef.
Біз пайдаланушыдан шифрланған файлдардың үлгілерін, төлем жазбасын және файлдардың шифрын ашу үшін төлем бағдарламалық құралының авторына қажет кілт болуы мүмкін файлды алдық.
Міне, біздің барлық анықтамаларымыз:
- 01c.aef (4481K)
- бұзылған.jpg (254К)
- бұзылған.txt (0K)
- 04c.aef (6540K)
- өту кілті (0K)
Ескертпеге назар аударайық. Бұл жолы қанша биткоин?
Аударма:
Назар аударыңыз, файлдарыңыз шифрланған!
Құпия сөз сіздің компьютеріңіз үшін бірегей.0.05 BTC сомасын Bitcoin мекенжайына төлеңіз: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Төлегеннен кейін pass.key файлын тіркей отырып, маған электрондық хат жіберіңіз [электрондық пошта қорғалған] төлем туралы хабарламамен.Растаудан кейін мен сізге файлдар үшін дешифрлау құралын жіберемін.
Сіз биткоиндер үшін әртүрлі тәсілдермен онлайн төлей аласыз:
— банк картасымен төлеу
Bitcoins туралы:
Егер сізде сұрақтар болса, маған жазыңыз [электрондық пошта қорғалған]
Бонус ретінде мен сіздің компьютеріңіздің қалай бұзылғанын және болашақта оны қалай қорғау керектігін айтып беремін.
Жәбірленушіге жағдайдың маңыздылығын көрсету үшін жасалған, әдепсіз қасқыр. Дегенмен, одан да жаман болуы мүмкін еді.
Күріш. 1. -Бонус ретінде мен болашақта компьютерді қалай қорғау керектігін айтамын. -Заңды сияқты.
II. Бастайық
Ең алдымен, біз жіберілген үлгінің құрылымын қарастырдық. Бір қызығы, ол төлемдік бағдарлама зақымдаған файлға ұқсамайды. Он алтылық редакторды ашып, қараңыз. Алғашқы 4 байт бастапқы файл өлшемін қамтиды, келесі 60 байт нөлмен толтырылады. Бірақ ең қызықтысы соңында:
Күріш. 2 Зақымдалған файлды талдаңыз. Көзіңізге бірден не түседі?
Барлығы тітіркендіргіш қарапайым болып шықты: тақырыптан 0x40 байт файлдың соңына жылжытылды. Деректерді қалпына келтіру үшін оны басына қайтару жеткілікті. Файлға кіру қалпына келтірілді, бірақ атау шифрланған күйде қалады және онымен жұмыс күрделене түсуде.
Күріш. 3. Base64 жүйесіндегі шифрланған атау таңбалар жиынына ұқсайды.
Оны анықтауға тырысайық өту.кілт, пайдаланушы жіберген. Онда біз ASCII таңбаларының 162 байт тізбегін көреміз.
Күріш. 4. Жәбірленушінің компьютерінде 162 таңба қалды.
Егер мұқият қарасаңыз, белгілердің белгілі бір жиілікпен қайталанатынын байқайсыз. Бұл қайталанулармен сипатталатын XOR пайдалануды көрсетуі мүмкін, олардың жиілігі кілт ұзындығына байланысты. Жолды 6 таңбаға бөліп, XOR тізбектерінің кейбір нұсқаларымен XOR-ды қолданып, біз ешқандай маңызды нәтижеге қол жеткізе алмадық.
Күріш. 5. Ортадағы қайталанатын тұрақтыларды қараңыз?
Біз Google константаларын іздеуді шештік, өйткені иә, бұл да мүмкін! Және олардың барлығы, сайып келгенде, бір алгоритмге әкелді - Пакеттік шифрлау. Сценарийді зерттей келе, біздің желі өз жұмысының нәтижесінен басқа ештеңе емес екені белгілі болды. Айта кету керек, бұл шифрлаушы емес, тек 6 байттық тізбектермен таңбаларды ауыстыратын шифрлаушы. Сізге кілттер немесе басқа құпиялар жоқ :)
Күріш. 6. Авторлығы белгісіз бастапқы алгоритмнің бір бөлігі.
Егер бір деталь болмаса, алгоритм жұмыс істемейді:
Күріш. 7. Морфей бекітілді.
Кері ауыстыруды пайдаланып жолды түрлендіреміз өту.кілт 27 таңбадан тұратын мәтін. Адамдық (мүмкін) «асмодат» мәтіні ерекше назар аударуға лайық.
8-сурет. USGFDG=7.
Google бізге қайтадан көмектеседі. Кішкене іздегеннен кейін біз GitHub-та .Net жүйесінде жазылған және басқа Git тіркелгісіндегі 'asmodat' кітапханасын қолданатын қызықты жобаны табамыз - Folder Locker.
Күріш. 9. Қалталарды құлыптау интерфейсі. Зиянды бағдарламаны тексеріңіз.
Утилита Windows 7 және одан жоғары нұсқаларға арналған шифрлаушы болып табылады, ол ашық бастапқы код ретінде таратылады. Шифрлау кезінде пароль пайдаланылады, ол кейіннен шифрды шешу үшін қажет. Жеке файлдармен де, тұтас каталогтармен де жұмыс істеуге мүмкіндік береді.
Оның кітапханасы CBC режимінде Rijndael симметриялық шифрлау алгоритмін пайдаланады. Бір қызығы, блок өлшемі AES стандартында қабылданғаннан айырмашылығы 256 бит болып таңдалды. Соңғысында өлшем 128 битпен шектеледі.
Біздің кілт PBKDF2 стандартына сәйкес жасалған. Бұл жағдайда құпия сөз утилитаға енгізілген жолдан SHA-256 болып табылады. Шифрды шешу кілтін жасау үшін осы жолды табу ғана қалады.
Ал, қазірдің өзінде декодталған күйімізге оралайық өту.кілт. Сандар мен «асмодат» мәтіні бар жолды есте сақтаңыз ба? Жолдың алғашқы 20 байтын Folder Locker үшін құпия сөз ретінде пайдалануға тырысайық.
Қараңыз, ол жұмыс істейді! Код сөзі пайда болды және бәрі тамаша шешілді. Құпия сөздегі таңбаларға қарағанда, бұл ASCII-дегі белгілі бір сөздің HEX көрінісі. Код сөзін мәтін түрінде көрсетуге тырысайық. Біз алып жатырмыз 'көлеңкелі қасқыр'. Ликантропия белгілерін қазірдің өзінде сезінесіз бе?
Шкафтың қалай жұмыс істейтінін біле отырып, зардап шеккен файлдың құрылымын тағы бір қарастырайық:
- 02 00 00 00 – атауды шифрлау режимі;
- 58 00 00 00 – шифрланған және base64 кодталған файл атауының ұзындығы;
- 40 00 00 00 – тасымалданатын тақырыптың өлшемі.
Шифрланған аттың өзі және тасымалданатын тақырып сәйкесінше қызыл және сары түспен бөлектеледі.
Күріш. 10. Шифрланған атау қызыл түспен, тасымалданған тақырып сары түспен бөлектеледі.
Енді он алтылық өрнектегі шифрланған және шифры шешілген атауларды салыстырайық.
Шифры шешілген деректердің құрылымы:
- 78 B9 B8 2E – қызметтік бағдарлама жасаған қоқыс (4 байт);
- 0С 00 00 00 – шифрдан шығарылған атау ұзындығы (12 байт);
- Содан кейін нақты файл атауы және қажетті блок ұзындығына нөлдермен толтыру (толтыру) келеді.
Күріш. 11. IMG_4114 әлдеқайда жақсы көрінеді.
III. Қорытынды және қорытынды
Басына оралу. Wulfric.Ransomware авторына не түрткі болғанын және оның қандай мақсатты көздегенін білмейміз. Әрине, қарапайым пайдаланушы үшін тіпті мұндай шифрлаушының жұмысының нәтижесі үлкен апат болып көрінеді. Файлдар ашылмайды. Барлық есімдер жойылды. Экранда әдеттегі суреттің орнына қасқыр тұр. Олар сізді биткоиндер туралы оқуға мәжбүр етеді.
Рас, бұл жолы «қорқынышты кодер» деген желеумен шабуылдаушы дайын бағдарламаларды пайдаланып, кілттерді қылмыс орнында қалдыратын осындай күлкілі және ақымақ бопсалау әрекеті жасырылды.
Айтпақшы, кілттер туралы. Бізде мұның қалай болғанын түсінуге көмектесетін зиянды сценарий немесе троян болған жоқ. өту.кілт – вирус жұққан компьютерде файлдың пайда болу механизмі белгісіз болып қалады. Бірақ, есімде, автор өз жазбасында парольдің бірегейлігін атап өтті. Сонымен, шифрды шешуге арналған код сөзі көлеңкелі қасқырдың пайдаланушы аты бірегей болғандай бірегей :)
Дегенмен, көлеңкелі қасқыр, неге және неге?
Ақпарат көзі: www.habr.com