Кээде сиз жөн гана вирус жазуучунун көзүнө карап: эмне үчүн жана эмне үчүн? Биз "кантип" деген суроого өзүбүз жооп бере алабыз, бирок тигил же бул кесепеттүү программанын жаратуучусу эмне ойлоп жатканын билүү абдан кызыктуу болмок. Айрыкча мындай «берметтерге» туш болгондо.
Бүгүнкү макаланын каарманы криптографтын кызыктуу мисалы. Кыязы, бул кезектеги "кун программасы" катары иштелип чыккан, бирок анын техникалык ишке ашырылышы кимдир бирөөнүн ырайымсыз тамашасына окшош. Бул ишке ашыруу жөнүндө бүгүн сүйлөшөбүз.
Тилекке каршы, бул коддордун жашоо циклине байкоо жүргүзүү дээрлик мүмкүн эмес - бул боюнча статистика өтө аз, анткени, бактыга жараша, ал кеңири жайыла элек. Ошондуктан, биз келип чыгышын, жугузуу ыкмаларын жана башка шилтемелерди калтырабыз. Биз менен жолуккан учурубузду эле айта кетели Wulfric Ransomware жана колдонуучуга файлдарын сактоого кантип жардам бергенбиз.
I. Мунун баары кантип башталды
Ransomware курмандыгы болгон адамдар антивирус лабораториясына көп кайрылышат. Кандай антивирус өнүмдөрү орнотулганына карабастан, биз жардам беребиз. Бул жолу биз файлдарына белгисиз коддогуч таасирин тийгизген адам менен байланышты.
Кутмандуу күнүң менен! Файлдар сырсөзсүз логин менен файл сактагычында (samba4) шифрленген. Мен инфекция менин кызымдын компьютеринен (Windows 10 стандарттык Windows Defender коргоосу менен) келген деп шектенип жатам. Андан кийин кызынын компьютери күйгүзүлгөн эмес. Файлдар негизинен .jpg жана .cr2 шифрленген. Шифрлөөдөн кийин файл кеңейтүүсү: .aef.
Биз колдонуучудан шифрленген файлдардын үлгүлөрүн, кун төлөп берүү нотасын жана файлдарды чечмелөө үчүн ransomware авторуна керектүү ачкыч болушу мүмкүн болгон файлды алдык.
Бул жерде биздин бардык көрсөтмөлөр:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Келгиле, жазууну карап көрөлү. Бул жолу канча биткойндор?
котормо:
Көңүл буруңуз, файлдарыңыз шифрленген!
Сырсөз сиздин PC үчүн уникалдуу.0.05 BTC суммасын Bitcoin дарегине төлөңүз: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Төлөгөндөн кийин мага pass.key файлын тиркөө менен электрондук кат жөнөтүңүз [электрондук почта корголгон] төлөм жөнүндө билдирүү менен.Ырастоодон кийин мен сизге файлдар үчүн дешифрлөөчү жөнөтөм.
Сиз ар кандай жолдор менен онлайн биткойндор төлөй аласыз:
— банк картасы менен төлөө
Биткойндор жөнүндө:
Суроолоруңуз болсо мага жазыңыз [электрондук почта корголгон]
Бонус катары, мен сизге компьютериңизди кантип бузушканын жана келечекте аны кантип коргоону айтып берем.
Жабырлануучуга кырдаалдын олуттуулугун көрсөтүү үчүн иштелип чыккан өңдүү карышкыр. Бирок, мындан да жаман болушу мүмкүн эле.
Райс. 1. -Бонус катары келечекте компьютериңизди кантип коргоону айтып берем. – Мыйзамдуу окшойт.
II. Баштайлы
Биринчиден, биз жөнөтүлгөн үлгүнүн структурасын карап чыктык. Кызык жери, ал ransomware тарабынан бузулган файлга окшош эмес. Он алтылык редакторду ачып, карап көрүңүз. Биринчи 4 байт файлдын баштапкы өлчөмүн камтыйт, кийинки 60 байт нөлдөр менен толтурулган. Бирок эң кызыктуусу аягында:
Райс. 2 Бузулган файлды талдаңыз. Сиздин көзүңүзгө эмне дароо тартылат?
Баары тажатма жөнөкөй болуп чыкты: баш саптан 0x40 байт файлдын аягына жылдырылды. Дайындарды калыбына келтирүү үчүн, аны жөн гана башына кайтарыңыз. Файлга кирүү калыбына келтирилди, бирок аты шифрленген бойдон калууда жана аны менен нерселер татаалдашып баратат.
Райс. 3. Base64'те шифрленген аталыш символдордун бир топко окшош.
Келгиле, аны түшүнүүгө аракет кылалы pass.key, колдонуучу тарабынан берилген. Анда биз ASCII символдорунун 162 байт ырааттуулугун көрөбүз.
Райс. 4. Жабырлануучунун компьютеринде 162 белги калды.
Эгер жакшылап карасаңыз, белгилер белгилүү бир жыштык менен кайталанганын байкайсыз. Бул кайталоо менен мүнөздөлгөн XOR колдонууну көрсөтүшү мүмкүн, алардын жыштыгы ачкычтын узундугуна жараша болот. Сапты 6 символго бөлүп, XOR ырааттуулугунун кээ бир варианттары менен XORed, биз эч кандай маанилүү натыйжага жеткен жокпуз.
Райс. 5. Ортодо кайталануучу константаларды көрөсүзбү?
Биз Google константаларын издөөнү чечтик, анткени ооба, бул да мүмкүн! Жана алардын баары акыры бир алгоритмге алып келди - Пакеттик шифрлөө. Сценарийди изилдеп көргөндөн кийин биздин линия анын ишинин натыйжасынан башка эч нерсе эмес экени белгилүү болду. Белгилей кетчү нерсе, бул такыр шифрлөөчү эмес, жөн гана 6 байттык ырааттуулук менен символдорду алмаштырган коддоочу. Сиз үчүн ачкыч же башка сыр жок :)
Райс. 6. Автордугу белгисиз баштапкы алгоритмдин бир бөлүгү.
Алгоритм бир майда-чүйдөсүнө чейин иштебейт:
Райс. 7. Morpheus бекитилди.
Тескери алмаштырууну колдонуп, биз сапты түрлөбүз pass.key 27 белгиден турган текст. Адамдык (кыязы) "asmodat" тексти өзгөчө көңүл бурууга татыктуу.
Fig.8. USGFDG=7.
Google бизге кайра жардам берет. Бир аз издегенден кийин, биз GitHub'та кызыктуу долбоорду табабыз - Папканы бекиткич, .Netте жазылган жана башка Git аккаунтунан "asmodat" китепканасын колдонуу.
Райс. 9. Папканы кулпулоо интерфейси. Кесепеттүү программаларды текшерүүнү унутпаңыз.
Утилита Windows 7 жана андан кийинкиси үчүн шифрлөөчү болуп саналат, ал ачык булак катары таратылат. Шифрлөө учурунда сырсөз колдонулат, ал кийинки чечмелөө үчүн зарыл. Жеке файлдар менен да, бүт каталогдор менен да иштөөгө мүмкүндүк берет.
Анын китепканасы CBC режиминде Rijndael симметриялык шифрлөө алгоритмин колдонот. Белгилей кетчү нерсе, блоктун көлөмү AES стандартында кабыл алынгандан айырмаланып, 256 бит болуп тандалган. Акыркысында, көлөмү 128 бит менен чектелген.
Биздин ачкыч PBKDF2 стандартына ылайык түзүлгөн. Бул учурда, сырсөз утилитага киргизилген саптан SHA-256 болуп саналат. Шифрлөө ачкычын түзүү үчүн бул сапты табуу гана калды.
Келгиле, мурунтан эле чечмелеп бергенге кайрылалы pass.key. Сандардын топтому жана "asmodat" тексти камтылган сапты эстейсизби? Келгиле, саптын биринчи 20 байтын Папканы бекиткич үчүн сырсөз катары колдонууга аракет кылалы.
Карачы, ал иштейт! Код сөзү келип, баары кемчиликсиз чечмеленди. Сырсөздөгү белгилерге караганда, бул ASCIIдеги белгилүү бир сөздүн HEX өкүлчүлүгү. Келгиле, коддуу сөздү текст түрүндө көрсөтүүгө аракет кылалы. биз алабыз 'көлөкө карышкыр'. Ликантропиянын белгилерин сезип жатасызбы?
Келгиле, жабыр тарткан файлдын түзүмүн дагы бир жолу карап көрөлү, эми кулпу кантип иштээрин билебиз:
- 02 00 00 00 – атын шифрлөө режими;
- 58 00 00 00 – шифрленген жана base64 коддолгон файл аталышынын узундугу;
- 40 00 00 00 – өткөрүлүп берилген аталыштын өлчөмү.
Шифрленген аталыштын өзү жана өткөрүлүп берилген аталыш тиешелүүлүгүнө жараша кызыл жана сары түс менен белгиленет.
Райс. 10. Шифрленген аталыш кызыл түс менен, өткөрүлүп берилген аталыш сары түс менен белгиленет.
Эми он алтылык өкүлчүлүктө шифрленген жана шифрленген ысымдарды салыштырып көрөлү.
Шифрленген маалыматтардын түзүмү:
- 78 B9 B8 2E – утилита тарабынан түзүлгөн таштанды (4 байт);
- 0С 00 00 00 – дешифрленген аталыштын узундугу (12 байт);
- Андан кийин файлдын чыныгы аталышы жана талап кылынган блоктун узундугуна нөлдөрү бар толтуруу (толтуру) келет.
Райс. 11. IMG_4114 алда канча жакшыраак көрүнөт.
III. Корутунду жана корутунду
Башына кайтуу. Wulfric.Ransomware программасынын авторуна эмне түрткү болгонун жана ал кандай максатты көздөгөнүн билбейбиз. Албетте, жөнөкөй колдонуучу үчүн, атүгүл мындай шифрлөөчүнүн ишинин натыйжасы чоң кырсык сыяктуу көрүнөт. Файлдар ачылбайт. Бардык ысымдар жок. Экранда кадимки эле сүрөттүн ордуна карышкыр турат. Алар биткойндор жөнүндө окууга мажбурлайт.
Ырас, бул жолу "коркунучтуу коддордун" жамынуусу астында мындай күлкүлүү жана келесоо опузалап акча талап кылуу аракети жашырылган, мында чабуулчу даяр программаларды колдонуп, ачкычтарды кылмыш болгон жерде калтырат.
Айтмакчы, ачкычтар жөнүндө. Бизде мунун кантип болгонун түшүнүүгө жардам бере турган зыяндуу скрипт же троян болгон эмес. pass.key – вирус жуккан компьютерде файлдын пайда болуу механизми белгисиз бойдон калууда. Бирок, эсимде, автор өзүнүн жазуусунда паролдун өзгөчөлүгүн айткан. Демек, чечмелөө үчүн код сөзү уникалдуу, колдонуучу аты көлөкө карышкыр уникалдуу :)
А бирок, көлөкө карышкыр, эмне үчүн жана эмне үчүн?
Source: www.habr.com