ಕೆಲವೊಮ್ಮೆ ನೀವು ಕೆಲವು ವೈರಸ್ ಬರಹಗಾರರ ಕಣ್ಣುಗಳನ್ನು ನೋಡಲು ಮತ್ತು ಕೇಳಲು ಬಯಸುತ್ತೀರಿ: ಏಕೆ ಮತ್ತು ಏಕೆ? "ಹೇಗೆ" ಎಂಬ ಪ್ರಶ್ನೆಗೆ ನಾವೇ ಉತ್ತರಿಸಬಹುದು, ಆದರೆ ಈ ಅಥವಾ ಆ ಮಾಲ್ವೇರ್ ಸೃಷ್ಟಿಕರ್ತರು ಏನು ಯೋಚಿಸುತ್ತಿದ್ದಾರೆಂದು ಕಂಡುಹಿಡಿಯುವುದು ತುಂಬಾ ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ. ವಿಶೇಷವಾಗಿ ನಾವು ಅಂತಹ "ಮುತ್ತುಗಳನ್ನು" ನೋಡಿದಾಗ.
ಇಂದಿನ ಲೇಖನದ ನಾಯಕ ಕ್ರಿಪ್ಟೋಗ್ರಾಫರ್ನ ಆಸಕ್ತಿದಾಯಕ ಉದಾಹರಣೆಯಾಗಿದೆ. ಇದು ಸ್ಪಷ್ಟವಾಗಿ ಮತ್ತೊಂದು "ransomware" ಎಂದು ಕಲ್ಪಿಸಲಾಗಿದೆ, ಆದರೆ ಅದರ ತಾಂತ್ರಿಕ ಅನುಷ್ಠಾನವು ಯಾರೊಬ್ಬರ ಕ್ರೂರ ಜೋಕ್ನಂತೆ ಕಾಣುತ್ತದೆ. ಈ ಅನುಷ್ಠಾನದ ಬಗ್ಗೆ ನಾವು ಇಂದು ಮಾತನಾಡುತ್ತೇವೆ.
ದುರದೃಷ್ಟವಶಾತ್, ಈ ಎನ್ಕೋಡರ್ನ ಜೀವನ ಚಕ್ರವನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಅಸಾಧ್ಯವಾಗಿದೆ - ಅದರಲ್ಲಿ ತುಂಬಾ ಕಡಿಮೆ ಅಂಕಿಅಂಶಗಳಿವೆ, ಏಕೆಂದರೆ, ಅದೃಷ್ಟವಶಾತ್, ಇದು ವ್ಯಾಪಕವಾಗಿಲ್ಲ. ಆದ್ದರಿಂದ, ನಾವು ಮೂಲ, ಸೋಂಕಿನ ವಿಧಾನಗಳು ಮತ್ತು ಇತರ ಉಲ್ಲೇಖಗಳನ್ನು ಬಿಟ್ಟುಬಿಡುತ್ತೇವೆ. ನಮ್ಮ ಭೇಟಿಯ ಪ್ರಕರಣದ ಬಗ್ಗೆ ಮಾತನಾಡೋಣ Wulfric Ransomware ಮತ್ತು ಬಳಕೆದಾರ ತನ್ನ ಫೈಲ್ಗಳನ್ನು ಉಳಿಸಲು ನಾವು ಹೇಗೆ ಸಹಾಯ ಮಾಡಿದ್ದೇವೆ.
I. ಇದು ಹೇಗೆ ಪ್ರಾರಂಭವಾಯಿತು
Ransomware ಗೆ ಬಲಿಯಾದ ಜನರು ಆಗಾಗ್ಗೆ ನಮ್ಮ ಆಂಟಿ-ವೈರಸ್ ಪ್ರಯೋಗಾಲಯವನ್ನು ಸಂಪರ್ಕಿಸುತ್ತಾರೆ. ಅವರು ಯಾವ ಆಂಟಿವೈರಸ್ ಉತ್ಪನ್ನಗಳನ್ನು ಸ್ಥಾಪಿಸಿದ್ದರೂ ನಾವು ಸಹಾಯವನ್ನು ಒದಗಿಸುತ್ತೇವೆ. ಈ ಬಾರಿ ಅಪರಿಚಿತ ಎನ್ಕೋಡರ್ನಿಂದ ಫೈಲ್ಗಳು ಪ್ರಭಾವಿತವಾಗಿರುವ ವ್ಯಕ್ತಿಯಿಂದ ನಮ್ಮನ್ನು ಸಂಪರ್ಕಿಸಲಾಗಿದೆ.
ಶುಭ ಅಪರಾಹ್ನ ಪಾಸ್ವರ್ಡ್ರಹಿತ ಲಾಗಿನ್ನೊಂದಿಗೆ ಫೈಲ್ ಸಂಗ್ರಹಣೆಯಲ್ಲಿ (samba4) ಫೈಲ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಸೋಂಕು ನನ್ನ ಮಗಳ ಕಂಪ್ಯೂಟರ್ನಿಂದ ಬಂದಿದೆ ಎಂದು ನಾನು ಅನುಮಾನಿಸುತ್ತೇನೆ (ವಿಂಡೋಸ್ 10 ಪ್ರಮಾಣಿತ ವಿಂಡೋಸ್ ಡಿಫೆಂಡರ್ ರಕ್ಷಣೆಯೊಂದಿಗೆ). ಆ ನಂತರ ಮಗಳ ಕಂಪ್ಯೂಟರ್ ಆನ್ ಆಗಿರಲಿಲ್ಲ. ಫೈಲ್ಗಳನ್ನು ಮುಖ್ಯವಾಗಿ .jpg ಮತ್ತು .cr2 ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಗೂಢಲಿಪೀಕರಣದ ನಂತರ ಫೈಲ್ ವಿಸ್ತರಣೆ: .aef.
ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಫೈಲ್ಗಳ ಬಳಕೆದಾರರ ಮಾದರಿಗಳು, ರಾನ್ಸಮ್ ನೋಟ್ ಮತ್ತು ಫೈಲ್ಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ransomware ಲೇಖಕರಿಗೆ ಅಗತ್ಯವಿರುವ ಫೈಲ್ ಅನ್ನು ನಾವು ಸ್ವೀಕರಿಸಿದ್ದೇವೆ.
ನಮ್ಮ ಎಲ್ಲಾ ಸುಳಿವುಗಳು ಇಲ್ಲಿವೆ:
01c.aef (4481K)
hacked.jpg (254K)
hacked.txt (0K)
04c.aef (6540K)
pass.key (0K)
ಟಿಪ್ಪಣಿಯನ್ನು ನೋಡೋಣ. ಈ ಬಾರಿ ಎಷ್ಟು ಬಿಟ್ಕಾಯಿನ್ಗಳು?
ಅನುವಾದ:
ಗಮನ, ನಿಮ್ಮ ಫೈಲ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ!
ಪಾಸ್ವರ್ಡ್ ನಿಮ್ಮ PC ಗೆ ಅನನ್ಯವಾಗಿದೆ.
0.05 BTC ಮೊತ್ತವನ್ನು Bitcoin ವಿಳಾಸಕ್ಕೆ ಪಾವತಿಸಿ: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
ಪಾವತಿಯ ನಂತರ, pass.key ಫೈಲ್ ಅನ್ನು ಲಗತ್ತಿಸಿ ನನಗೆ ಇಮೇಲ್ ಕಳುಹಿಸಿ [ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ] ಪಾವತಿಯ ಅಧಿಸೂಚನೆಯೊಂದಿಗೆ.
ದೃಢೀಕರಣದ ನಂತರ, ನಾನು ನಿಮಗೆ ಫೈಲ್ಗಳಿಗಾಗಿ ಡೀಕ್ರಿಪ್ಟರ್ ಅನ್ನು ಕಳುಹಿಸುತ್ತೇನೆ.
Bitcoins ಬಗ್ಗೆ: en.wikipedia.org/wiki/Bitcoin
ನೀವು ಯಾವುದೇ ಪ್ರಶ್ನೆಗಳನ್ನು ಹೊಂದಿದ್ದರೆ, ದಯವಿಟ್ಟು ನನಗೆ ಬರೆಯಿರಿ [ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ]
ಬೋನಸ್ ಆಗಿ, ನಿಮ್ಮ ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ಹೇಗೆ ಹ್ಯಾಕ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಭವಿಷ್ಯದಲ್ಲಿ ಅದನ್ನು ಹೇಗೆ ರಕ್ಷಿಸುವುದು ಎಂದು ನಾನು ನಿಮಗೆ ಹೇಳುತ್ತೇನೆ.
ಒಂದು ಆಡಂಬರದ ತೋಳ, ಬಲಿಪಶುಕ್ಕೆ ಪರಿಸ್ಥಿತಿಯ ಗಂಭೀರತೆಯನ್ನು ತೋರಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಆದಾಗ್ಯೂ, ಇದು ಕೆಟ್ಟದಾಗಿರಬಹುದು.
ಅಕ್ಕಿ. 1. -ಬೋನಸ್ ಆಗಿ, ಭವಿಷ್ಯದಲ್ಲಿ ನಿಮ್ಮ ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ಹೇಗೆ ರಕ್ಷಿಸಬೇಕು ಎಂದು ನಾನು ನಿಮಗೆ ಹೇಳುತ್ತೇನೆ. -ಕಾನೂನುಬದ್ಧವಾಗಿದೆ.
II. ನಾವೀಗ ಆರಂಭಿಸೋಣ
ಮೊದಲನೆಯದಾಗಿ, ನಾವು ಕಳುಹಿಸಿದ ಮಾದರಿಯ ರಚನೆಯನ್ನು ನೋಡಿದ್ದೇವೆ. ವಿಚಿತ್ರವೆಂದರೆ, ಇದು ransomware ನಿಂದ ಹಾನಿಗೊಳಗಾದ ಫೈಲ್ನಂತೆ ಕಾಣುತ್ತಿಲ್ಲ. ಹೆಕ್ಸಾಡೆಸಿಮಲ್ ಸಂಪಾದಕವನ್ನು ತೆರೆಯಿರಿ ಮತ್ತು ನೋಡೋಣ. ಮೊದಲ 4 ಬೈಟ್ಗಳು ಮೂಲ ಫೈಲ್ ಗಾತ್ರವನ್ನು ಹೊಂದಿರುತ್ತವೆ, ಮುಂದಿನ 60 ಬೈಟ್ಗಳು ಸೊನ್ನೆಗಳಿಂದ ತುಂಬಿವೆ. ಆದರೆ ಅತ್ಯಂತ ಆಸಕ್ತಿದಾಯಕ ವಿಷಯವೆಂದರೆ ಕೊನೆಯಲ್ಲಿ:
ಅಕ್ಕಿ. 2 ಹಾನಿಗೊಳಗಾದ ಫೈಲ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಿ. ಏನು ತಕ್ಷಣವೇ ನಿಮ್ಮ ಕಣ್ಣನ್ನು ಸೆಳೆಯುತ್ತದೆ?
ಎಲ್ಲವೂ ಕಿರಿಕಿರಿಗೊಳಿಸುವಷ್ಟು ಸರಳವಾಗಿದೆ: ಹೆಡರ್ನಿಂದ 0x40 ಬೈಟ್ಗಳನ್ನು ಫೈಲ್ನ ಅಂತ್ಯಕ್ಕೆ ಸರಿಸಲಾಗಿದೆ. ಡೇಟಾವನ್ನು ಮರುಸ್ಥಾಪಿಸಲು, ಅದನ್ನು ಪ್ರಾರಂಭಕ್ಕೆ ಹಿಂತಿರುಗಿ. ಫೈಲ್ಗೆ ಪ್ರವೇಶವನ್ನು ಮರುಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಆದರೆ ಹೆಸರು ಎನ್ಕ್ರಿಪ್ಟ್ ಆಗಿರುತ್ತದೆ ಮತ್ತು ಅದರೊಂದಿಗೆ ವಿಷಯಗಳು ಹೆಚ್ಚು ಜಟಿಲವಾಗಿವೆ.
ಅಕ್ಕಿ. 3. Base64 ರಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಹೆಸರು ಅಕ್ಷರಗಳ ಸುತ್ತುತ್ತಿರುವಂತೆ ಕಾಣುತ್ತದೆ.
ಅದನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡಲು ಪ್ರಯತ್ನಿಸೋಣ ಪಾಸ್.ಕೀ, ಬಳಕೆದಾರರಿಂದ ಸಲ್ಲಿಸಲಾಗಿದೆ. ಇದರಲ್ಲಿ ನಾವು ASCII ಅಕ್ಷರಗಳ 162-ಬೈಟ್ ಅನುಕ್ರಮವನ್ನು ನೋಡುತ್ತೇವೆ.
ಅಕ್ಕಿ. 4. ಬಲಿಪಶುವಿನ PC ಯಲ್ಲಿ 162 ಅಕ್ಷರಗಳು ಉಳಿದಿವೆ.
ನೀವು ಹತ್ತಿರದಿಂದ ನೋಡಿದರೆ, ಚಿಹ್ನೆಗಳು ನಿರ್ದಿಷ್ಟ ಆವರ್ತನದೊಂದಿಗೆ ಪುನರಾವರ್ತನೆಯಾಗುವುದನ್ನು ನೀವು ಗಮನಿಸಬಹುದು. ಇದು XOR ನ ಬಳಕೆಯನ್ನು ಸೂಚಿಸುತ್ತದೆ, ಇದು ಪುನರಾವರ್ತನೆಗಳಿಂದ ನಿರೂಪಿಸಲ್ಪಟ್ಟಿದೆ, ಇದರ ಆವರ್ತನವು ಕೀ ಉದ್ದವನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ. ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು 6 ಅಕ್ಷರಗಳಾಗಿ ವಿಭಜಿಸಿ ಮತ್ತು XOR ಅನುಕ್ರಮಗಳ ಕೆಲವು ರೂಪಾಂತರಗಳೊಂದಿಗೆ XOR ಮಾಡಿದ್ದೇವೆ, ನಾವು ಯಾವುದೇ ಅರ್ಥಪೂರ್ಣ ಫಲಿತಾಂಶವನ್ನು ಸಾಧಿಸಲಿಲ್ಲ.
ಅಕ್ಕಿ. 5. ಮಧ್ಯದಲ್ಲಿ ಪುನರಾವರ್ತಿತ ಸ್ಥಿರಾಂಕಗಳನ್ನು ನೋಡಿ?
ನಾವು ಗೂಗಲ್ ಸ್ಥಿರಾಂಕಗಳನ್ನು ಮಾಡಲು ನಿರ್ಧರಿಸಿದ್ದೇವೆ, ಏಕೆಂದರೆ ಹೌದು, ಅದು ಕೂಡ ಸಾಧ್ಯ! ಮತ್ತು ಅವೆಲ್ಲವೂ ಅಂತಿಮವಾಗಿ ಒಂದು ಅಲ್ಗಾರಿದಮ್ಗೆ ಕಾರಣವಾಯಿತು - ಬ್ಯಾಚ್ ಎನ್ಕ್ರಿಪ್ಶನ್. ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಅಧ್ಯಯನ ಮಾಡಿದ ನಂತರ, ನಮ್ಮ ಸಾಲು ಅದರ ಕೆಲಸದ ಫಲಿತಾಂಶಕ್ಕಿಂತ ಹೆಚ್ಚೇನೂ ಅಲ್ಲ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಯಿತು. ಇದು ಎನ್ಕ್ರಿಪ್ಟರ್ ಅಲ್ಲ, ಆದರೆ 6-ಬೈಟ್ ಅನುಕ್ರಮಗಳೊಂದಿಗೆ ಅಕ್ಷರಗಳನ್ನು ಬದಲಿಸುವ ಎನ್ಕೋಡರ್ ಎಂದು ನಮೂದಿಸಬೇಕು. ನಿಮಗಾಗಿ ಯಾವುದೇ ಕೀಗಳು ಅಥವಾ ಇತರ ರಹಸ್ಯಗಳಿಲ್ಲ :)
ಅಕ್ಕಿ. 6. ಅಜ್ಞಾತ ಕರ್ತೃತ್ವದ ಮೂಲ ಅಲ್ಗಾರಿದಮ್ನ ಒಂದು ತುಣುಕು.
ಒಂದು ವಿವರಕ್ಕಾಗಿ ಇಲ್ಲದಿದ್ದರೆ ಅಲ್ಗಾರಿದಮ್ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ:
ಅಕ್ಕಿ. 7. ಮಾರ್ಫಿಯಸ್ ಅನುಮೋದಿಸಲಾಗಿದೆ.
ರಿವರ್ಸ್ ಪರ್ಯಾಯವನ್ನು ಬಳಸಿಕೊಂಡು ನಾವು ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಪರಿವರ್ತಿಸುತ್ತೇವೆ ಪಾಸ್.ಕೀ 27 ಅಕ್ಷರಗಳ ಪಠ್ಯಕ್ಕೆ. ಮಾನವ (ಹೆಚ್ಚಾಗಿ) ಪಠ್ಯ 'ಅಸ್ಮೋಡಾಟ್' ವಿಶೇಷ ಗಮನಕ್ಕೆ ಅರ್ಹವಾಗಿದೆ.
ಚಿತ್ರ 8. USGFDG=7.
Google ನಮಗೆ ಮತ್ತೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಸ್ವಲ್ಪ ಹುಡುಕಾಟದ ನಂತರ, ನಾವು GitHub - ಫೋಲ್ಡರ್ ಲಾಕರ್ನಲ್ಲಿ ಆಸಕ್ತಿದಾಯಕ ಪ್ರಾಜೆಕ್ಟ್ ಅನ್ನು ಕಂಡುಕೊಳ್ಳುತ್ತೇವೆ, ಇದನ್ನು .Net ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು ಇನ್ನೊಂದು Git ಖಾತೆಯಿಂದ 'asmodat' ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುತ್ತದೆ.
ಅಕ್ಕಿ. 9. ಫೋಲ್ಡರ್ ಲಾಕರ್ ಇಂಟರ್ಫೇಸ್. ಮಾಲ್ವೇರ್ಗಾಗಿ ಪರೀಕ್ಷಿಸಲು ಮರೆಯದಿರಿ.
ಉಪಯುಕ್ತತೆಯು ವಿಂಡೋಸ್ 7 ಮತ್ತು ಹೆಚ್ಚಿನದಕ್ಕಾಗಿ ಎನ್ಕ್ರಿಪ್ಟರ್ ಆಗಿದೆ, ಇದನ್ನು ಮುಕ್ತ ಮೂಲವಾಗಿ ವಿತರಿಸಲಾಗುತ್ತದೆ. ಎನ್ಕ್ರಿಪ್ಶನ್ ಸಮಯದಲ್ಲಿ, ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ನಂತರದ ಡೀಕ್ರಿಪ್ಶನ್ಗೆ ಅಗತ್ಯವಾಗಿರುತ್ತದೆ. ಪ್ರತ್ಯೇಕ ಫೈಲ್ಗಳೊಂದಿಗೆ ಮತ್ತು ಸಂಪೂರ್ಣ ಡೈರೆಕ್ಟರಿಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಇದರ ಲೈಬ್ರರಿ CBC ಮೋಡ್ನಲ್ಲಿ Rijndael ಸಮ್ಮಿತೀಯ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ಬ್ಲಾಕ್ ಗಾತ್ರವನ್ನು 256 ಬಿಟ್ಗಳಾಗಿ ಆಯ್ಕೆ ಮಾಡಲಾಗಿದೆ ಎಂಬುದು ಗಮನಾರ್ಹವಾಗಿದೆ - ಎಇಎಸ್ ಮಾನದಂಡದಲ್ಲಿ ಅಳವಡಿಸಿಕೊಂಡಿರುವುದಕ್ಕೆ ವ್ಯತಿರಿಕ್ತವಾಗಿ. ಎರಡನೆಯದರಲ್ಲಿ, ಗಾತ್ರವು 128 ಬಿಟ್ಗಳಿಗೆ ಸೀಮಿತವಾಗಿದೆ.
ನಮ್ಮ ಕೀಲಿಯನ್ನು PBKDF2 ಮಾನದಂಡದ ಪ್ರಕಾರ ರಚಿಸಲಾಗಿದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಉಪಯುಕ್ತತೆಯಲ್ಲಿ ನಮೂದಿಸಿದ ಸ್ಟ್ರಿಂಗ್ನಿಂದ ಪಾಸ್ವರ್ಡ್ SHA-256 ಆಗಿದೆ. ಡೀಕ್ರಿಪ್ಶನ್ ಕೀಲಿಯನ್ನು ಉತ್ಪಾದಿಸಲು ಈ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಮಾತ್ರ ಉಳಿದಿದೆ.
ಸರಿ, ನಮ್ಮ ಈಗಾಗಲೇ ಡಿಕೋಡ್ ಮಾಡಲಾದ ವಿಷಯಕ್ಕೆ ಹಿಂತಿರುಗಿ ನೋಡೋಣ ಪಾಸ್.ಕೀ. ಸಂಖ್ಯೆಗಳ ಸೆಟ್ ಮತ್ತು 'asmodat' ಪಠ್ಯದೊಂದಿಗೆ ಆ ಸಾಲು ನೆನಪಿದೆಯೇ? ಫೋಲ್ಡರ್ ಲಾಕರ್ಗಾಗಿ ಸ್ಟ್ರಿಂಗ್ನ ಮೊದಲ 20 ಬೈಟ್ಗಳನ್ನು ಪಾಸ್ವರ್ಡ್ ಆಗಿ ಬಳಸಲು ಪ್ರಯತ್ನಿಸೋಣ.
ನೋಡಿ, ಅದು ಕೆಲಸ ಮಾಡುತ್ತದೆ! ಕೋಡ್ ವರ್ಡ್ ಬಂದಿತು, ಮತ್ತು ಎಲ್ಲವನ್ನೂ ಸಂಪೂರ್ಣವಾಗಿ ಅರ್ಥೈಸಲಾಗಿದೆ. ಪಾಸ್ವರ್ಡ್ನಲ್ಲಿರುವ ಅಕ್ಷರಗಳ ಮೂಲಕ ನಿರ್ಣಯಿಸುವುದು, ಇದು ASCII ನಲ್ಲಿನ ನಿರ್ದಿಷ್ಟ ಪದದ HEX ಪ್ರಾತಿನಿಧ್ಯವಾಗಿದೆ. ಪಠ್ಯ ರೂಪದಲ್ಲಿ ಕೋಡ್ ಪದವನ್ನು ಪ್ರದರ್ಶಿಸಲು ಪ್ರಯತ್ನಿಸೋಣ. ನಮಗೆ ಸಿಗುತ್ತದೆ'ನೆರಳು ತೋಳ'. ಈಗಾಗಲೇ ಲೈಕಾಂತ್ರೋಪಿಯ ಲಕ್ಷಣಗಳನ್ನು ಅನುಭವಿಸುತ್ತಿರುವಿರಾ?
ಪೀಡಿತ ಫೈಲ್ನ ರಚನೆಯನ್ನು ಮತ್ತೊಮ್ಮೆ ನೋಡೋಣ, ಈಗ ಲಾಕರ್ ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ತಿಳಿದುಕೊಳ್ಳೋಣ:
02 00 00 00 - ಹೆಸರು ಎನ್ಕ್ರಿಪ್ಶನ್ ಮೋಡ್;
58 00 00 00 - ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಮತ್ತು ಬೇಸ್64 ಎನ್ಕೋಡ್ ಮಾಡಿದ ಫೈಲ್ ಹೆಸರಿನ ಉದ್ದ;
40 00 00 00 - ವರ್ಗಾವಣೆಗೊಂಡ ಹೆಡರ್ನ ಗಾತ್ರ.
ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಹೆಸರು ಮತ್ತು ವರ್ಗಾವಣೆಗೊಂಡ ಹೆಡರ್ ಅನ್ನು ಕ್ರಮವಾಗಿ ಕೆಂಪು ಮತ್ತು ಹಳದಿ ಬಣ್ಣದಲ್ಲಿ ಹೈಲೈಟ್ ಮಾಡಲಾಗುತ್ತದೆ.
ಅಕ್ಕಿ. 10. ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಹೆಸರನ್ನು ಕೆಂಪು ಬಣ್ಣದಲ್ಲಿ ಹೈಲೈಟ್ ಮಾಡಲಾಗಿದೆ, ವರ್ಗಾವಣೆಗೊಂಡ ಹೆಡರ್ ಅನ್ನು ಹಳದಿ ಬಣ್ಣದಲ್ಲಿ ಹೈಲೈಟ್ ಮಾಡಲಾಗಿದೆ.
ಈಗ ಹೆಕ್ಸಾಡೆಸಿಮಲ್ ಪ್ರಾತಿನಿಧ್ಯದಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಮತ್ತು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಹೆಸರುಗಳನ್ನು ಹೋಲಿಕೆ ಮಾಡೋಣ.
ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಡೇಟಾದ ರಚನೆ:
78 B9 B8 2E - ಉಪಯುಕ್ತತೆಯಿಂದ ರಚಿಸಲಾದ ಕಸ (4 ಬೈಟ್ಗಳು);
0С 00 00 00 - ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಹೆಸರಿನ ಉದ್ದ (12 ಬೈಟ್ಗಳು);
ಮುಂದೆ ನಿಜವಾದ ಫೈಲ್ ಹೆಸರು ಮತ್ತು ಸೊನ್ನೆಗಳೊಂದಿಗೆ ಪ್ಯಾಡಿಂಗ್ ಅಗತ್ಯವಿರುವ ಬ್ಲಾಕ್ ಉದ್ದಕ್ಕೆ (ಪ್ಯಾಡಿಂಗ್) ಬರುತ್ತದೆ.
ಅಕ್ಕಿ. 11. IMG_4114 ಹೆಚ್ಚು ಉತ್ತಮವಾಗಿ ಕಾಣುತ್ತದೆ.
III. ತೀರ್ಮಾನಗಳು ಮತ್ತು ತೀರ್ಮಾನ
ಆರಂಭಕ್ಕೆ ಹಿಂತಿರುಗಿ. Wulfric.Ransomware ನ ಲೇಖಕರನ್ನು ಪ್ರೇರೇಪಿಸಿತು ಮತ್ತು ಅವರು ಯಾವ ಗುರಿಯನ್ನು ಅನುಸರಿಸಿದರು ಎಂಬುದು ನಮಗೆ ತಿಳಿದಿಲ್ಲ. ಸಹಜವಾಗಿ, ಸರಾಸರಿ ಬಳಕೆದಾರರಿಗೆ, ಅಂತಹ ಎನ್ಕ್ರಿಪ್ಟರ್ನ ಕೆಲಸದ ಫಲಿತಾಂಶವು ದೊಡ್ಡ ಅನಾಹುತದಂತೆ ತೋರುತ್ತದೆ. ಫೈಲ್ಗಳು ತೆರೆಯುವುದಿಲ್ಲ. ಎಲ್ಲಾ ಹೆಸರುಗಳು ಮಾಯವಾಗಿವೆ. ಸಾಮಾನ್ಯ ಚಿತ್ರದ ಬದಲಿಗೆ, ಪರದೆಯ ಮೇಲೆ ತೋಳವಿದೆ. ಬಿಟ್ಕಾಯಿನ್ಗಳ ಬಗ್ಗೆ ಓದಲು ಅವರು ನಿಮ್ಮನ್ನು ಒತ್ತಾಯಿಸುತ್ತಾರೆ.
ನಿಜ, ಈ ಸಮಯದಲ್ಲಿ, "ಭಯಾನಕ ಎನ್ಕೋಡರ್" ನ ಸೋಗಿನಲ್ಲಿ ಸುಲಿಗೆ ಮಾಡುವ ಹಾಸ್ಯಾಸ್ಪದ ಮತ್ತು ಮೂರ್ಖತನದ ಪ್ರಯತ್ನವನ್ನು ಮರೆಮಾಡಲಾಗಿದೆ, ಅಲ್ಲಿ ದಾಳಿಕೋರರು ಸಿದ್ಧ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಬಳಸುತ್ತಾರೆ ಮತ್ತು ಅಪರಾಧದ ಸ್ಥಳದಲ್ಲಿಯೇ ಕೀಲಿಗಳನ್ನು ಬಿಡುತ್ತಾರೆ.
ಮೂಲಕ, ಕೀಲಿಗಳ ಬಗ್ಗೆ. ಇದು ಹೇಗೆ ಸಂಭವಿಸಿತು ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನಮಗೆ ಸಹಾಯ ಮಾಡುವ ದುರುದ್ದೇಶಪೂರಿತ ಸ್ಕ್ರಿಪ್ಟ್ ಅಥವಾ ಟ್ರೋಜನ್ ನಮ್ಮ ಬಳಿ ಇರಲಿಲ್ಲ. ಪಾಸ್.ಕೀ - ಸೋಂಕಿತ PC ಯಲ್ಲಿ ಫೈಲ್ ಕಾಣಿಸಿಕೊಳ್ಳುವ ಕಾರ್ಯವಿಧಾನವು ತಿಳಿದಿಲ್ಲ. ಆದರೆ, ನನಗೆ ನೆನಪಿದೆ, ಅವರ ಟಿಪ್ಪಣಿಯಲ್ಲಿ ಲೇಖಕರು ಪಾಸ್ವರ್ಡ್ನ ವಿಶಿಷ್ಟತೆಯನ್ನು ಉಲ್ಲೇಖಿಸಿದ್ದಾರೆ. ಆದ್ದರಿಂದ, ಡೀಕ್ರಿಪ್ಶನ್ನ ಕೋಡ್ ಪದವು ಬಳಕೆದಾರಹೆಸರು ನೆರಳು ತೋಳ ಅನನ್ಯವಾಗಿದೆ :)