ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware

ಕೆಲವೊಮ್ಮೆ ನೀವು ಕೆಲವು ವೈರಸ್ ಬರಹಗಾರರ ಕಣ್ಣುಗಳನ್ನು ನೋಡಲು ಮತ್ತು ಕೇಳಲು ಬಯಸುತ್ತೀರಿ: ಏಕೆ ಮತ್ತು ಏಕೆ? "ಹೇಗೆ" ಎಂಬ ಪ್ರಶ್ನೆಗೆ ನಾವೇ ಉತ್ತರಿಸಬಹುದು, ಆದರೆ ಈ ಅಥವಾ ಆ ಮಾಲ್ವೇರ್ ಸೃಷ್ಟಿಕರ್ತರು ಏನು ಯೋಚಿಸುತ್ತಿದ್ದಾರೆಂದು ಕಂಡುಹಿಡಿಯುವುದು ತುಂಬಾ ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ. ವಿಶೇಷವಾಗಿ ನಾವು ಅಂತಹ "ಮುತ್ತುಗಳನ್ನು" ನೋಡಿದಾಗ.

ಇಂದಿನ ಲೇಖನದ ನಾಯಕ ಕ್ರಿಪ್ಟೋಗ್ರಾಫರ್‌ನ ಆಸಕ್ತಿದಾಯಕ ಉದಾಹರಣೆಯಾಗಿದೆ. ಇದು ಸ್ಪಷ್ಟವಾಗಿ ಮತ್ತೊಂದು "ransomware" ಎಂದು ಕಲ್ಪಿಸಲಾಗಿದೆ, ಆದರೆ ಅದರ ತಾಂತ್ರಿಕ ಅನುಷ್ಠಾನವು ಯಾರೊಬ್ಬರ ಕ್ರೂರ ಜೋಕ್‌ನಂತೆ ಕಾಣುತ್ತದೆ. ಈ ಅನುಷ್ಠಾನದ ಬಗ್ಗೆ ನಾವು ಇಂದು ಮಾತನಾಡುತ್ತೇವೆ.

ದುರದೃಷ್ಟವಶಾತ್, ಈ ಎನ್‌ಕೋಡರ್‌ನ ಜೀವನ ಚಕ್ರವನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಅಸಾಧ್ಯವಾಗಿದೆ - ಅದರಲ್ಲಿ ತುಂಬಾ ಕಡಿಮೆ ಅಂಕಿಅಂಶಗಳಿವೆ, ಏಕೆಂದರೆ, ಅದೃಷ್ಟವಶಾತ್, ಇದು ವ್ಯಾಪಕವಾಗಿಲ್ಲ. ಆದ್ದರಿಂದ, ನಾವು ಮೂಲ, ಸೋಂಕಿನ ವಿಧಾನಗಳು ಮತ್ತು ಇತರ ಉಲ್ಲೇಖಗಳನ್ನು ಬಿಟ್ಟುಬಿಡುತ್ತೇವೆ. ನಮ್ಮ ಭೇಟಿಯ ಪ್ರಕರಣದ ಬಗ್ಗೆ ಮಾತನಾಡೋಣ Wulfric Ransomware ಮತ್ತು ಬಳಕೆದಾರ ತನ್ನ ಫೈಲ್‌ಗಳನ್ನು ಉಳಿಸಲು ನಾವು ಹೇಗೆ ಸಹಾಯ ಮಾಡಿದ್ದೇವೆ.

I. ಇದು ಹೇಗೆ ಪ್ರಾರಂಭವಾಯಿತು

Ransomware ಗೆ ಬಲಿಯಾದ ಜನರು ಆಗಾಗ್ಗೆ ನಮ್ಮ ಆಂಟಿ-ವೈರಸ್ ಪ್ರಯೋಗಾಲಯವನ್ನು ಸಂಪರ್ಕಿಸುತ್ತಾರೆ. ಅವರು ಯಾವ ಆಂಟಿವೈರಸ್ ಉತ್ಪನ್ನಗಳನ್ನು ಸ್ಥಾಪಿಸಿದ್ದರೂ ನಾವು ಸಹಾಯವನ್ನು ಒದಗಿಸುತ್ತೇವೆ. ಈ ಬಾರಿ ಅಪರಿಚಿತ ಎನ್‌ಕೋಡರ್‌ನಿಂದ ಫೈಲ್‌ಗಳು ಪ್ರಭಾವಿತವಾಗಿರುವ ವ್ಯಕ್ತಿಯಿಂದ ನಮ್ಮನ್ನು ಸಂಪರ್ಕಿಸಲಾಗಿದೆ.

ಶುಭ ಅಪರಾಹ್ನ ಪಾಸ್‌ವರ್ಡ್‌ರಹಿತ ಲಾಗಿನ್‌ನೊಂದಿಗೆ ಫೈಲ್ ಸಂಗ್ರಹಣೆಯಲ್ಲಿ (samba4) ಫೈಲ್‌ಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಸೋಂಕು ನನ್ನ ಮಗಳ ಕಂಪ್ಯೂಟರ್‌ನಿಂದ ಬಂದಿದೆ ಎಂದು ನಾನು ಅನುಮಾನಿಸುತ್ತೇನೆ (ವಿಂಡೋಸ್ 10 ಪ್ರಮಾಣಿತ ವಿಂಡೋಸ್ ಡಿಫೆಂಡರ್ ರಕ್ಷಣೆಯೊಂದಿಗೆ). ಆ ನಂತರ ಮಗಳ ಕಂಪ್ಯೂಟರ್ ಆನ್ ಆಗಿರಲಿಲ್ಲ. ಫೈಲ್‌ಗಳನ್ನು ಮುಖ್ಯವಾಗಿ .jpg ಮತ್ತು .cr2 ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಗೂಢಲಿಪೀಕರಣದ ನಂತರ ಫೈಲ್ ವಿಸ್ತರಣೆ: .aef.

ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಫೈಲ್‌ಗಳ ಬಳಕೆದಾರರ ಮಾದರಿಗಳು, ರಾನ್ಸಮ್ ನೋಟ್ ಮತ್ತು ಫೈಲ್‌ಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ransomware ಲೇಖಕರಿಗೆ ಅಗತ್ಯವಿರುವ ಫೈಲ್ ಅನ್ನು ನಾವು ಸ್ವೀಕರಿಸಿದ್ದೇವೆ.

ನಮ್ಮ ಎಲ್ಲಾ ಸುಳಿವುಗಳು ಇಲ್ಲಿವೆ:

  • 01c.aef (4481K)
  • hacked.jpg (254K)
  • hacked.txt (0K)
  • 04c.aef (6540K)
  • pass.key (0K)

ಟಿಪ್ಪಣಿಯನ್ನು ನೋಡೋಣ. ಈ ಬಾರಿ ಎಷ್ಟು ಬಿಟ್‌ಕಾಯಿನ್‌ಗಳು?

ಅನುವಾದ:

ಗಮನ, ನಿಮ್ಮ ಫೈಲ್‌ಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ!
ಪಾಸ್ವರ್ಡ್ ನಿಮ್ಮ PC ಗೆ ಅನನ್ಯವಾಗಿದೆ.

0.05 BTC ಮೊತ್ತವನ್ನು Bitcoin ವಿಳಾಸಕ್ಕೆ ಪಾವತಿಸಿ: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
ಪಾವತಿಯ ನಂತರ, pass.key ಫೈಲ್ ಅನ್ನು ಲಗತ್ತಿಸಿ ನನಗೆ ಇಮೇಲ್ ಕಳುಹಿಸಿ [ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ] ಪಾವತಿಯ ಅಧಿಸೂಚನೆಯೊಂದಿಗೆ.

ದೃಢೀಕರಣದ ನಂತರ, ನಾನು ನಿಮಗೆ ಫೈಲ್‌ಗಳಿಗಾಗಿ ಡೀಕ್ರಿಪ್ಟರ್ ಅನ್ನು ಕಳುಹಿಸುತ್ತೇನೆ.

ನೀವು ಬಿಟ್‌ಕಾಯಿನ್‌ಗಳಿಗೆ ಆನ್‌ಲೈನ್‌ನಲ್ಲಿ ವಿವಿಧ ರೀತಿಯಲ್ಲಿ ಪಾವತಿಸಬಹುದು:
buy.blockexplorer.com - ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ ಮೂಲಕ ಪಾವತಿ
www.buybitcoinworldwide.com
localbitcoins.net

Bitcoins ಬಗ್ಗೆ:
en.wikipedia.org/wiki/Bitcoin
ನೀವು ಯಾವುದೇ ಪ್ರಶ್ನೆಗಳನ್ನು ಹೊಂದಿದ್ದರೆ, ದಯವಿಟ್ಟು ನನಗೆ ಬರೆಯಿರಿ [ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ]
ಬೋನಸ್ ಆಗಿ, ನಿಮ್ಮ ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ಹೇಗೆ ಹ್ಯಾಕ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಭವಿಷ್ಯದಲ್ಲಿ ಅದನ್ನು ಹೇಗೆ ರಕ್ಷಿಸುವುದು ಎಂದು ನಾನು ನಿಮಗೆ ಹೇಳುತ್ತೇನೆ.

ಒಂದು ಆಡಂಬರದ ತೋಳ, ಬಲಿಪಶುಕ್ಕೆ ಪರಿಸ್ಥಿತಿಯ ಗಂಭೀರತೆಯನ್ನು ತೋರಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಆದಾಗ್ಯೂ, ಇದು ಕೆಟ್ಟದಾಗಿರಬಹುದು.

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware
ಅಕ್ಕಿ. 1. -ಬೋನಸ್ ಆಗಿ, ಭವಿಷ್ಯದಲ್ಲಿ ನಿಮ್ಮ ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ಹೇಗೆ ರಕ್ಷಿಸಬೇಕು ಎಂದು ನಾನು ನಿಮಗೆ ಹೇಳುತ್ತೇನೆ. -ಕಾನೂನುಬದ್ಧವಾಗಿದೆ.

II. ನಾವೀಗ ಆರಂಭಿಸೋಣ

ಮೊದಲನೆಯದಾಗಿ, ನಾವು ಕಳುಹಿಸಿದ ಮಾದರಿಯ ರಚನೆಯನ್ನು ನೋಡಿದ್ದೇವೆ. ವಿಚಿತ್ರವೆಂದರೆ, ಇದು ransomware ನಿಂದ ಹಾನಿಗೊಳಗಾದ ಫೈಲ್‌ನಂತೆ ಕಾಣುತ್ತಿಲ್ಲ. ಹೆಕ್ಸಾಡೆಸಿಮಲ್ ಸಂಪಾದಕವನ್ನು ತೆರೆಯಿರಿ ಮತ್ತು ನೋಡೋಣ. ಮೊದಲ 4 ಬೈಟ್‌ಗಳು ಮೂಲ ಫೈಲ್ ಗಾತ್ರವನ್ನು ಹೊಂದಿರುತ್ತವೆ, ಮುಂದಿನ 60 ಬೈಟ್‌ಗಳು ಸೊನ್ನೆಗಳಿಂದ ತುಂಬಿವೆ. ಆದರೆ ಅತ್ಯಂತ ಆಸಕ್ತಿದಾಯಕ ವಿಷಯವೆಂದರೆ ಕೊನೆಯಲ್ಲಿ:

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware
ಅಕ್ಕಿ. 2 ಹಾನಿಗೊಳಗಾದ ಫೈಲ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಿ. ಏನು ತಕ್ಷಣವೇ ನಿಮ್ಮ ಕಣ್ಣನ್ನು ಸೆಳೆಯುತ್ತದೆ?

ಎಲ್ಲವೂ ಕಿರಿಕಿರಿಗೊಳಿಸುವಷ್ಟು ಸರಳವಾಗಿದೆ: ಹೆಡರ್‌ನಿಂದ 0x40 ಬೈಟ್‌ಗಳನ್ನು ಫೈಲ್‌ನ ಅಂತ್ಯಕ್ಕೆ ಸರಿಸಲಾಗಿದೆ. ಡೇಟಾವನ್ನು ಮರುಸ್ಥಾಪಿಸಲು, ಅದನ್ನು ಪ್ರಾರಂಭಕ್ಕೆ ಹಿಂತಿರುಗಿ. ಫೈಲ್‌ಗೆ ಪ್ರವೇಶವನ್ನು ಮರುಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಆದರೆ ಹೆಸರು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಆಗಿರುತ್ತದೆ ಮತ್ತು ಅದರೊಂದಿಗೆ ವಿಷಯಗಳು ಹೆಚ್ಚು ಜಟಿಲವಾಗಿವೆ.

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware
ಅಕ್ಕಿ. 3. Base64 ರಲ್ಲಿ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಹೆಸರು ಅಕ್ಷರಗಳ ಸುತ್ತುತ್ತಿರುವಂತೆ ಕಾಣುತ್ತದೆ.

ಅದನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡಲು ಪ್ರಯತ್ನಿಸೋಣ ಪಾಸ್.ಕೀ, ಬಳಕೆದಾರರಿಂದ ಸಲ್ಲಿಸಲಾಗಿದೆ. ಇದರಲ್ಲಿ ನಾವು ASCII ಅಕ್ಷರಗಳ 162-ಬೈಟ್ ಅನುಕ್ರಮವನ್ನು ನೋಡುತ್ತೇವೆ.

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware
ಅಕ್ಕಿ. 4. ಬಲಿಪಶುವಿನ PC ಯಲ್ಲಿ 162 ಅಕ್ಷರಗಳು ಉಳಿದಿವೆ.

ನೀವು ಹತ್ತಿರದಿಂದ ನೋಡಿದರೆ, ಚಿಹ್ನೆಗಳು ನಿರ್ದಿಷ್ಟ ಆವರ್ತನದೊಂದಿಗೆ ಪುನರಾವರ್ತನೆಯಾಗುವುದನ್ನು ನೀವು ಗಮನಿಸಬಹುದು. ಇದು XOR ನ ಬಳಕೆಯನ್ನು ಸೂಚಿಸುತ್ತದೆ, ಇದು ಪುನರಾವರ್ತನೆಗಳಿಂದ ನಿರೂಪಿಸಲ್ಪಟ್ಟಿದೆ, ಇದರ ಆವರ್ತನವು ಕೀ ಉದ್ದವನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ. ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು 6 ಅಕ್ಷರಗಳಾಗಿ ವಿಭಜಿಸಿ ಮತ್ತು XOR ಅನುಕ್ರಮಗಳ ಕೆಲವು ರೂಪಾಂತರಗಳೊಂದಿಗೆ XOR ಮಾಡಿದ್ದೇವೆ, ನಾವು ಯಾವುದೇ ಅರ್ಥಪೂರ್ಣ ಫಲಿತಾಂಶವನ್ನು ಸಾಧಿಸಲಿಲ್ಲ.

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware
ಅಕ್ಕಿ. 5. ಮಧ್ಯದಲ್ಲಿ ಪುನರಾವರ್ತಿತ ಸ್ಥಿರಾಂಕಗಳನ್ನು ನೋಡಿ?

ನಾವು ಗೂಗಲ್ ಸ್ಥಿರಾಂಕಗಳನ್ನು ಮಾಡಲು ನಿರ್ಧರಿಸಿದ್ದೇವೆ, ಏಕೆಂದರೆ ಹೌದು, ಅದು ಕೂಡ ಸಾಧ್ಯ! ಮತ್ತು ಅವೆಲ್ಲವೂ ಅಂತಿಮವಾಗಿ ಒಂದು ಅಲ್ಗಾರಿದಮ್‌ಗೆ ಕಾರಣವಾಯಿತು - ಬ್ಯಾಚ್ ಎನ್‌ಕ್ರಿಪ್ಶನ್. ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಅಧ್ಯಯನ ಮಾಡಿದ ನಂತರ, ನಮ್ಮ ಸಾಲು ಅದರ ಕೆಲಸದ ಫಲಿತಾಂಶಕ್ಕಿಂತ ಹೆಚ್ಚೇನೂ ಅಲ್ಲ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಯಿತು. ಇದು ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಅಲ್ಲ, ಆದರೆ 6-ಬೈಟ್ ಅನುಕ್ರಮಗಳೊಂದಿಗೆ ಅಕ್ಷರಗಳನ್ನು ಬದಲಿಸುವ ಎನ್‌ಕೋಡರ್ ಎಂದು ನಮೂದಿಸಬೇಕು. ನಿಮಗಾಗಿ ಯಾವುದೇ ಕೀಗಳು ಅಥವಾ ಇತರ ರಹಸ್ಯಗಳಿಲ್ಲ :)

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware
ಅಕ್ಕಿ. 6. ಅಜ್ಞಾತ ಕರ್ತೃತ್ವದ ಮೂಲ ಅಲ್ಗಾರಿದಮ್‌ನ ಒಂದು ತುಣುಕು.

ಒಂದು ವಿವರಕ್ಕಾಗಿ ಇಲ್ಲದಿದ್ದರೆ ಅಲ್ಗಾರಿದಮ್ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ:

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware
ಅಕ್ಕಿ. 7. ಮಾರ್ಫಿಯಸ್ ಅನುಮೋದಿಸಲಾಗಿದೆ.

ರಿವರ್ಸ್ ಪರ್ಯಾಯವನ್ನು ಬಳಸಿಕೊಂಡು ನಾವು ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಪರಿವರ್ತಿಸುತ್ತೇವೆ ಪಾಸ್.ಕೀ 27 ಅಕ್ಷರಗಳ ಪಠ್ಯಕ್ಕೆ. ಮಾನವ (ಹೆಚ್ಚಾಗಿ) ​​ಪಠ್ಯ 'ಅಸ್ಮೋಡಾಟ್' ವಿಶೇಷ ಗಮನಕ್ಕೆ ಅರ್ಹವಾಗಿದೆ.

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware
ಚಿತ್ರ 8. USGFDG=7.

Google ನಮಗೆ ಮತ್ತೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಸ್ವಲ್ಪ ಹುಡುಕಾಟದ ನಂತರ, ನಾವು GitHub - ಫೋಲ್ಡರ್ ಲಾಕರ್‌ನಲ್ಲಿ ಆಸಕ್ತಿದಾಯಕ ಪ್ರಾಜೆಕ್ಟ್ ಅನ್ನು ಕಂಡುಕೊಳ್ಳುತ್ತೇವೆ, ಇದನ್ನು .Net ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು ಇನ್ನೊಂದು Git ಖಾತೆಯಿಂದ 'asmodat' ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುತ್ತದೆ.

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware
ಅಕ್ಕಿ. 9. ಫೋಲ್ಡರ್ ಲಾಕರ್ ಇಂಟರ್ಫೇಸ್. ಮಾಲ್ವೇರ್ಗಾಗಿ ಪರೀಕ್ಷಿಸಲು ಮರೆಯದಿರಿ.

ಉಪಯುಕ್ತತೆಯು ವಿಂಡೋಸ್ 7 ಮತ್ತು ಹೆಚ್ಚಿನದಕ್ಕಾಗಿ ಎನ್‌ಕ್ರಿಪ್ಟರ್ ಆಗಿದೆ, ಇದನ್ನು ಮುಕ್ತ ಮೂಲವಾಗಿ ವಿತರಿಸಲಾಗುತ್ತದೆ. ಎನ್ಕ್ರಿಪ್ಶನ್ ಸಮಯದಲ್ಲಿ, ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ನಂತರದ ಡೀಕ್ರಿಪ್ಶನ್ಗೆ ಅಗತ್ಯವಾಗಿರುತ್ತದೆ. ಪ್ರತ್ಯೇಕ ಫೈಲ್‌ಗಳೊಂದಿಗೆ ಮತ್ತು ಸಂಪೂರ್ಣ ಡೈರೆಕ್ಟರಿಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

ಇದರ ಲೈಬ್ರರಿ CBC ಮೋಡ್‌ನಲ್ಲಿ Rijndael ಸಮ್ಮಿತೀಯ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ಬ್ಲಾಕ್ ಗಾತ್ರವನ್ನು 256 ಬಿಟ್‌ಗಳಾಗಿ ಆಯ್ಕೆ ಮಾಡಲಾಗಿದೆ ಎಂಬುದು ಗಮನಾರ್ಹವಾಗಿದೆ - ಎಇಎಸ್ ಮಾನದಂಡದಲ್ಲಿ ಅಳವಡಿಸಿಕೊಂಡಿರುವುದಕ್ಕೆ ವ್ಯತಿರಿಕ್ತವಾಗಿ. ಎರಡನೆಯದರಲ್ಲಿ, ಗಾತ್ರವು 128 ಬಿಟ್‌ಗಳಿಗೆ ಸೀಮಿತವಾಗಿದೆ.

ನಮ್ಮ ಕೀಲಿಯನ್ನು PBKDF2 ಮಾನದಂಡದ ಪ್ರಕಾರ ರಚಿಸಲಾಗಿದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಉಪಯುಕ್ತತೆಯಲ್ಲಿ ನಮೂದಿಸಿದ ಸ್ಟ್ರಿಂಗ್‌ನಿಂದ ಪಾಸ್‌ವರ್ಡ್ SHA-256 ಆಗಿದೆ. ಡೀಕ್ರಿಪ್ಶನ್ ಕೀಲಿಯನ್ನು ಉತ್ಪಾದಿಸಲು ಈ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಮಾತ್ರ ಉಳಿದಿದೆ.

ಸರಿ, ನಮ್ಮ ಈಗಾಗಲೇ ಡಿಕೋಡ್ ಮಾಡಲಾದ ವಿಷಯಕ್ಕೆ ಹಿಂತಿರುಗಿ ನೋಡೋಣ ಪಾಸ್.ಕೀ. ಸಂಖ್ಯೆಗಳ ಸೆಟ್ ಮತ್ತು 'asmodat' ಪಠ್ಯದೊಂದಿಗೆ ಆ ಸಾಲು ನೆನಪಿದೆಯೇ? ಫೋಲ್ಡರ್ ಲಾಕರ್‌ಗಾಗಿ ಸ್ಟ್ರಿಂಗ್‌ನ ಮೊದಲ 20 ಬೈಟ್‌ಗಳನ್ನು ಪಾಸ್‌ವರ್ಡ್ ಆಗಿ ಬಳಸಲು ಪ್ರಯತ್ನಿಸೋಣ.

ನೋಡಿ, ಅದು ಕೆಲಸ ಮಾಡುತ್ತದೆ! ಕೋಡ್ ವರ್ಡ್ ಬಂದಿತು, ಮತ್ತು ಎಲ್ಲವನ್ನೂ ಸಂಪೂರ್ಣವಾಗಿ ಅರ್ಥೈಸಲಾಗಿದೆ. ಪಾಸ್‌ವರ್ಡ್‌ನಲ್ಲಿರುವ ಅಕ್ಷರಗಳ ಮೂಲಕ ನಿರ್ಣಯಿಸುವುದು, ಇದು ASCII ನಲ್ಲಿನ ನಿರ್ದಿಷ್ಟ ಪದದ HEX ಪ್ರಾತಿನಿಧ್ಯವಾಗಿದೆ. ಪಠ್ಯ ರೂಪದಲ್ಲಿ ಕೋಡ್ ಪದವನ್ನು ಪ್ರದರ್ಶಿಸಲು ಪ್ರಯತ್ನಿಸೋಣ. ನಮಗೆ ಸಿಗುತ್ತದೆ'ನೆರಳು ತೋಳ'. ಈಗಾಗಲೇ ಲೈಕಾಂತ್ರೋಪಿಯ ಲಕ್ಷಣಗಳನ್ನು ಅನುಭವಿಸುತ್ತಿರುವಿರಾ?

ಪೀಡಿತ ಫೈಲ್‌ನ ರಚನೆಯನ್ನು ಮತ್ತೊಮ್ಮೆ ನೋಡೋಣ, ಈಗ ಲಾಕರ್ ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ತಿಳಿದುಕೊಳ್ಳೋಣ:

  • 02 00 00 00 - ಹೆಸರು ಎನ್ಕ್ರಿಪ್ಶನ್ ಮೋಡ್;
  • 58 00 00 00 - ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಮತ್ತು ಬೇಸ್64 ಎನ್‌ಕೋಡ್ ಮಾಡಿದ ಫೈಲ್ ಹೆಸರಿನ ಉದ್ದ;
  • 40 00 00 00 - ವರ್ಗಾವಣೆಗೊಂಡ ಹೆಡರ್ನ ಗಾತ್ರ.

ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಹೆಸರು ಮತ್ತು ವರ್ಗಾವಣೆಗೊಂಡ ಹೆಡರ್ ಅನ್ನು ಕ್ರಮವಾಗಿ ಕೆಂಪು ಮತ್ತು ಹಳದಿ ಬಣ್ಣದಲ್ಲಿ ಹೈಲೈಟ್ ಮಾಡಲಾಗುತ್ತದೆ.

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware
ಅಕ್ಕಿ. 10. ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಹೆಸರನ್ನು ಕೆಂಪು ಬಣ್ಣದಲ್ಲಿ ಹೈಲೈಟ್ ಮಾಡಲಾಗಿದೆ, ವರ್ಗಾವಣೆಗೊಂಡ ಹೆಡರ್ ಅನ್ನು ಹಳದಿ ಬಣ್ಣದಲ್ಲಿ ಹೈಲೈಟ್ ಮಾಡಲಾಗಿದೆ.

ಈಗ ಹೆಕ್ಸಾಡೆಸಿಮಲ್ ಪ್ರಾತಿನಿಧ್ಯದಲ್ಲಿ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಮತ್ತು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಹೆಸರುಗಳನ್ನು ಹೋಲಿಕೆ ಮಾಡೋಣ.

ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಡೇಟಾದ ರಚನೆ:

  • 78 B9 B8 2E - ಉಪಯುಕ್ತತೆಯಿಂದ ರಚಿಸಲಾದ ಕಸ (4 ಬೈಟ್ಗಳು);
  • 0С 00 00 00 - ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಹೆಸರಿನ ಉದ್ದ (12 ಬೈಟ್ಗಳು);
  • ಮುಂದೆ ನಿಜವಾದ ಫೈಲ್ ಹೆಸರು ಮತ್ತು ಸೊನ್ನೆಗಳೊಂದಿಗೆ ಪ್ಯಾಡಿಂಗ್ ಅಗತ್ಯವಿರುವ ಬ್ಲಾಕ್ ಉದ್ದಕ್ಕೆ (ಪ್ಯಾಡಿಂಗ್) ಬರುತ್ತದೆ.

Wulfric Ransomware - ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ransomware
ಅಕ್ಕಿ. 11. IMG_4114 ಹೆಚ್ಚು ಉತ್ತಮವಾಗಿ ಕಾಣುತ್ತದೆ.

III. ತೀರ್ಮಾನಗಳು ಮತ್ತು ತೀರ್ಮಾನ

ಆರಂಭಕ್ಕೆ ಹಿಂತಿರುಗಿ. Wulfric.Ransomware ನ ಲೇಖಕರನ್ನು ಪ್ರೇರೇಪಿಸಿತು ಮತ್ತು ಅವರು ಯಾವ ಗುರಿಯನ್ನು ಅನುಸರಿಸಿದರು ಎಂಬುದು ನಮಗೆ ತಿಳಿದಿಲ್ಲ. ಸಹಜವಾಗಿ, ಸರಾಸರಿ ಬಳಕೆದಾರರಿಗೆ, ಅಂತಹ ಎನ್‌ಕ್ರಿಪ್ಟರ್‌ನ ಕೆಲಸದ ಫಲಿತಾಂಶವು ದೊಡ್ಡ ಅನಾಹುತದಂತೆ ತೋರುತ್ತದೆ. ಫೈಲ್‌ಗಳು ತೆರೆಯುವುದಿಲ್ಲ. ಎಲ್ಲಾ ಹೆಸರುಗಳು ಮಾಯವಾಗಿವೆ. ಸಾಮಾನ್ಯ ಚಿತ್ರದ ಬದಲಿಗೆ, ಪರದೆಯ ಮೇಲೆ ತೋಳವಿದೆ. ಬಿಟ್‌ಕಾಯಿನ್‌ಗಳ ಬಗ್ಗೆ ಓದಲು ಅವರು ನಿಮ್ಮನ್ನು ಒತ್ತಾಯಿಸುತ್ತಾರೆ.

ನಿಜ, ಈ ಸಮಯದಲ್ಲಿ, "ಭಯಾನಕ ಎನ್ಕೋಡರ್" ನ ಸೋಗಿನಲ್ಲಿ ಸುಲಿಗೆ ಮಾಡುವ ಹಾಸ್ಯಾಸ್ಪದ ಮತ್ತು ಮೂರ್ಖತನದ ಪ್ರಯತ್ನವನ್ನು ಮರೆಮಾಡಲಾಗಿದೆ, ಅಲ್ಲಿ ದಾಳಿಕೋರರು ಸಿದ್ಧ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಬಳಸುತ್ತಾರೆ ಮತ್ತು ಅಪರಾಧದ ಸ್ಥಳದಲ್ಲಿಯೇ ಕೀಲಿಗಳನ್ನು ಬಿಡುತ್ತಾರೆ.

ಮೂಲಕ, ಕೀಲಿಗಳ ಬಗ್ಗೆ. ಇದು ಹೇಗೆ ಸಂಭವಿಸಿತು ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನಮಗೆ ಸಹಾಯ ಮಾಡುವ ದುರುದ್ದೇಶಪೂರಿತ ಸ್ಕ್ರಿಪ್ಟ್ ಅಥವಾ ಟ್ರೋಜನ್ ನಮ್ಮ ಬಳಿ ಇರಲಿಲ್ಲ. ಪಾಸ್.ಕೀ - ಸೋಂಕಿತ PC ಯಲ್ಲಿ ಫೈಲ್ ಕಾಣಿಸಿಕೊಳ್ಳುವ ಕಾರ್ಯವಿಧಾನವು ತಿಳಿದಿಲ್ಲ. ಆದರೆ, ನನಗೆ ನೆನಪಿದೆ, ಅವರ ಟಿಪ್ಪಣಿಯಲ್ಲಿ ಲೇಖಕರು ಪಾಸ್ವರ್ಡ್ನ ವಿಶಿಷ್ಟತೆಯನ್ನು ಉಲ್ಲೇಖಿಸಿದ್ದಾರೆ. ಆದ್ದರಿಂದ, ಡೀಕ್ರಿಪ್ಶನ್‌ನ ಕೋಡ್ ಪದವು ಬಳಕೆದಾರಹೆಸರು ನೆರಳು ತೋಳ ಅನನ್ಯವಾಗಿದೆ :)

ಮತ್ತು ಇನ್ನೂ, ನೆರಳು ತೋಳ, ಏಕೆ ಮತ್ತು ಏಕೆ?

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ