Carinan hûn tenê dixwazin li çavên hin nivîskarek vîrus binihêrin û bipirsin: çima û çima? Em dikarin bi xwe bersiva pirsa "çawa" bidin, lê dê pir balkêş be ku em fêr bibin ka ev an ew afirînerê malware çi difikirî. Bi taybetî dema ku em rastî "mûrwarên" wiha tên.
Lehengê gotara îro mînakek balkêş a krîptograf e. Wusa dixuye ku ew wekî "ransomware" din hate fikirîn, lê pêkanîna wê ya teknîkî bêtir mîna heneka hovane ya kesek xuya dike. Em ê îro li ser vê pêkanînê biaxivin.
Mixabin, şopandina çerxa jiyanê ya vê şîfrekerê hema hema ne gengaz e - li ser wê statîstîk pir hindik in, ji ber ku, bextewar, ew belav nebûye. Ji ber vê yekê, em ê ji eslê xwe, rêbazên enfeksiyonê û referansên din derkevin. Ka em tenê behsa rewşa me ya hevdîtina bi wan re bikin Wulfric Ransomware û me çawa alîkariya bikarhêner kir ku pelên xwe hilîne.
I. Çawa hemû dest pê kir
Kesên ku bûne mexdûrên ransomware bi gelemperî bi laboratûara meya antî-vîrûsê re têkilî daynin. Em alîkariyê pêşkêş dikin bêyî ku wan hilberên antivirus saz kirine. Vê carê kesek bi me re têkilî danî ku pelên wî ji hêla encoderek nenas ve hatî bandor kirin.
Paş nîvro Pelan li ser depoyek pelê (samba4) bi têketina bê şîfre hatin şîfrekirin. Ez guman dikim ku enfeksiyon ji komputera keça min hat (Windows 10 bi parastina standard Windows Defender). Piştî wê komputera keçikê nehat vekirin. Pelên bi giranî .jpg û .cr2 têne şîfre kirin. Berfirehkirina pelê piştî şîfrekirinê: .aef.
Me ji bikarhêner nimûneyên pelên şîfrekirî, nîşeyek fidyê, û pelek ku îhtîmal e mifteya ku nivîskarê ransomware ji bo deşîfrekirina pelan hewce dike, wergirtin.
Li vir hemî nîşanên me hene:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Ka em li notê binêrin. Vê carê çend bitcoin?
Werger:
Bala xwe bidinê, pelên we hatine şîfrekirin!
Şîfre ji bo PC-ya we yekta ye.Mîqdara 0.05 BTC bidin navnîşana Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Piştî dravdanê, ji min re e-nameyek bişînin, pelê pass.key pêve bikin [email parastî] bi ragihandina dravdanê.Piştî pejirandinê, ez ê ji bo pelan deşîfreyek ji we re bişînim.
Hûn dikarin bi awayên cihêreng ji bo bitcoins serhêl bidin:
- dayina bi qerta bankê
Li ser Bitcoins:
Ger pirsên we hebin, ji kerema xwe ji min re binivîsin li ser [email parastî]
Wekî bonus, ez ê ji we re vebêjim ka komputera we çawa hate hack kirin û meriv çawa di pêşerojê de wê biparêze.
Gurekî dilpak, ji bo ku cidiyeta rewşê nîşan bide mexdûr hatiye çêkirin. Lêbelê, ew dikaribû xirabtir bûya.
Birinc. 1. -Wek bonus, ez ê ji we re vebêjim ka meriv çawa di pêşerojê de komputera xwe biparêze. - Rewa xuya dike.
II. Werin em dest pê bikin
Berî her tiştî, me li avahiya nimûneya şandî nêrî. Pir ecêb e, ew mîna pelek ku ji hêla ransomware ve hatî xera kirin xuya nedikir. Edîtorê hexadecimal vekin û lê binêrin. 4 baytên pêşîn mezinahiya pelê ya orîjînal dihewîne, 60 bytên din bi sifiran têne dagirtin. Lê ya herî balkêş di dawiyê de ye:
Birinc. 2 Pelê zirarê analîz bikin. Çi yekser çavê te dikeve?
Her tişt bi xemgîniyek hêsan derket holê: 0x40 bytes ji sernavê berbi dawiya pelê ve hatin veguhestin. Ji bo vegerandina daneyan, tenê wê vegerînin destpêkê. Gihîştina pelê hate vegerandin, lê nav şîfrekirî dimîne, û tişt pê re tevlihevtir dibin.
Birinc. 3. Navê şîfrekirî di Base64 de mîna komek tîpan a berbiçav xuya dike.
Werin em hewl bidin ku wê fêm bikin derbas.key, ji hêla bikarhêner ve hatî şandin. Di wê de em rêzek 162-byte ya karakterên ASCII dibînin.
Birinc. 4. 162 karakter li PC-ya mexdûr mane.
Ger hûn ji nêz ve lê binihêrin, hûn ê bibînin ku sembol bi frekansa diyarkirî têne dubare kirin. Ev dibe ku karanîna XOR-ê nîşan bide, ku ji hêla dubareyan ve tête diyar kirin, ku frekansa wê bi dirêjahiya mifteyê ve girêdayî ye. Piştî ku xêz li 6 tîpan veqetandin û bi hin guhertoyên rêzikên XOR ve XOR kirin, me negihîşt encamek watedar.
Birinc. 5. Binêre sabitên dûbarekirî di navîn de?
Me biryar da ku em berdewamên google bikin, ji ber ku erê, ew jî gengaz e! Û ew hemî di dawiyê de rê li yek algorîtmayek - Şîfrekirina Batch. Piştî xwendina senaryoyê derket holê ku xeta me ji encama xebata wê pêve ne tiştekî din e. Pêdivî ye ku were gotin ku ev qet ne şîfrekerek e, lê tenê şîfrekek e ku tîpan bi rêzikên 6-byte veguherîne. Ji bo we kilît an razên din tune :)
Birinc. 6. Parçeyek ji algorîtmaya orîjînal a nivîskariya nenas.
Ger ne ji bo yek hûrgulî be, algorîtma wekî ku divê nexebite:
Birinc. 7. Morpheus pejirand.
Bi karanîna veguheztina berevajî em rêzika jê vediguherînin derbas.key nav nivîseke 27 tîpan. Nivîsara mirovî (bi îhtimaleke mezin) 'asmodat' hêjayî baldariya taybetî ye.
Fig.8. USGFDG=7.
Google dê dîsa alîkariya me bike. Piştî lêgerînek piçûk, em li ser GitHub - Folder Locker projeyek balkêş dibînin, ku di .Net de hatî nivîsandin û pirtûkxaneya 'asmodat' ji hesabek din a Git-ê bikar tîne.
Birinc. 9. Têkiliya Peldanka Locker. Bawer bikin ku ji bo malware kontrol bikin.
Vebijêrk ji bo Windows 7 û mezintir şîfrekerek e, ku wekî çavkaniya vekirî tê belav kirin. Di dema şîfrekirinê de, şîfreyek tê bikar anîn, ku ji bo deşîfrekirina paşîn hewce ye. Destûrê dide we ku hûn hem bi pelên kesane hem jî bi tevahî pelrêçan re bixebitin.
Pirtûkxaneya wê di moda CBC de algorîtmaya şîfrekirina sîmetrîk Rijndael bikar tîne. Hêjayî gotinê ye ku mezinahiya blokê 256 bit hate hilbijartin - berevajî ya ku di standarda AES de hatî pejirandin. Di ya paşîn de, mezinahî bi 128 bit sînorkirî ye.
Mifteya me li gorî standarda PBKDF2 tête çêkirin. Di vê rewşê de, şîfreya SHA-256 ji rêzika ku di nav kargêriyê de hatî nivîsandin e. Tiştê ku dimîne ev e ku meriv vê rêzê bibîne da ku mifteya deşîfrekirinê çêbike.
Welê, em vegerin ser xweya ku berê deşîfre kiriye derbas.key. Wê rêza bi komek jimare û nivîsa 'asmodat' bi bîr bîne? Werin em biceribînin ku 20 bytên pêşîn ên rêzikê wekî şîfreyek ji bo Peldanka Qefle bikar bînin.
Binêre, ew dixebite! Peyva kodê derket, û her tişt bêkêmasî hate deşîfre kirin. Li gorî karakterên di şîfreyê de dadbar kirin, ew nûneriyek HEX ya peyvek taybetî ya di ASCII de ye. Ka em hewl bidin ku peyva kodê di forma nivîsê de nîşan bidin. Em distînin 'shadowwolf'. Jixwe nîşanên lîkantropiyê hîs dikin?
Ka em nihêrînek din li strukturên pelê bandorkirî binihêrin, naha zanin ka dolab çawa dixebite:
- 02 00 00 00 - moda şîfrekirina navê;
- 58 00 00 00 - dirêjahiya navê pelê şîfrekirî û bingeh64;
- 40 00 00 00 - mezinahiya sernavê veguhestin.
Navê şîfrekirî bixwe û sernavê veguheztin bi rêzê bi sor û zer têne ronî kirin.
Birinc. 10. Navê şîfrekirî bi sor tê ronî kirin, sernivîsa veguhestî bi zer tê ronî kirin.
Naha em navên şîfrekirî û deşîfrekirî yên di nûnertiya hexadecimal de bidin ber hev.
Struktura daneyên deşîfrekirî:
- 78 B9 B8 2E - çopê ku ji hêla kargêriyê ve hatî çêkirin (4 bytes);
- 0С 00 00 00 - dirêjahiya navê deşîfre (12 bytes);
- Dûv re navê pelê ya rastîn tê û bi sifiran heya dirêjahiya blokê ya pêdivî ye (padding).
Birinc. 11. IMG_4114 pir çêtir xuya dike.
III. Encam û Encam
Vegere destpêkê. Em nizanin ka nivîskarê Wulfric.Ransomware çi motîve kiriye û ew li pey kîjan armancê bûye. Bê guman, ji bo bikarhênerê navîn, encama xebata şîfrekerek wusa jî dê wekî karesatek mezin xuya bike. Pelan nayên vekirin. Hemû nav çûne. Li şûna wêneyê asayî, li ser ekranê gurek heye. Ew zorê didin we ku hûn li ser bitcoins bixwînin.
Rast e, vê carê, di bin navê "koderek tirsnak" de, hewildanek wusa bêaqil û ehmeqî ya xerckirinê hate veşartin, ku êrîşkar bernameyên amadekirî bikar tîne û mifteyan rast li cihê sûcê dihêle.
Bi awayê, li ser kilîtan. Skrîpta me ya xerab an jî Trojanek tune bû ku ji me re bibe alîkar ku em fam bikin ka ev çawa çêbû. derbas.key - mekanîzmaya ku pel li ser PC-ya vegirtî xuya dike nenas dimîne. Lê, tê bîra min, di nota xwe de nivîskar behsa taybetiya şîfreyê kiriye. Ji ber vê yekê, peyva kod ji bo deşîfrekirinê bi qasî ku navê bikarhêner shadow wolf bêhempa ye yekta ye :)
Lê dîsa jî, gurê siyê, çima û çima?
Source: www.habr.com