Aliquando vere vis inspicere in oculos alicuius scriptoris virus et interroga: quare et quare? Respondere possumus quaestioni "quomodo" ipsi, sed valde interesting explorare quid creator hic vel ille malware cogitabat. Praesertim cum tales "margaritas" invenimus.
Heros articuli hodierni an interesting exemplum cryptographorum est. Putabar conceptum esse aliud "mercedem", sed eius exsecutionem technicam iocum crudelem aliquem magis spectat. De hac exsecutione hodie loquemur.
Infeliciter, fere impossibile est vitae huius encoder cycli perscrutari β in eo quoque paucae sunt statisticae, quoniam feliciter non diffunditur. Ergo omittemus originem, modos contagionis et alias notationes. Iustus loqui de nostra causa testimonii cum lets Wulfric Ransomware et quomodo adiuvavimus utentem salvandorum imaginum eius.
I. Quomodo omnes coeperunt
Homines, qui victimae redemptionis fuerunt, saepe laboratorium nostrum anti-virum contactum sunt. Subveniendum nobis est, quantumvis antivirus productorum instituerunt. Hoc tempore contingi sumus ab homine cuius fasciculi ignoto encoder afficiebantur.
Bona dies Tabulae in repositione tabellae encryptae (samba4) cum login passwordless. Infectio ex computatro filiae meae venisse suspicor (Windows 10 cum fenestra vexillum Defender praesidium). Computatorium filiae postea non mutatum est. Fasciculi encryptae maxime .jpg et .cr2. Tabellae extensio post encryption: .aef.
Recepimus ex usoris exempla encryptatorum, notae redemptionis, et fasciculum quod verisimile est clavem auctoris redemptionis necessariam ad decryptas tabellas.
Hic sunt omnes nostri clues:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hack.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Inspice nota. Quot bitcoins hoc tempore?
translationem:
Operam, Documenta tua encrypted!
Tessera unica PC tua est.Redde quantitatem 0.05 BTC ad inscriptionis BitCoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Post solutionem, mitte mihi inscriptionem, adiungens fasciculum pass.key to [Inscriptio protected] de notitia solucionis.Post confirmationem mittam tibi decryptorem pro scriniis.
Pro bitcoins online diversimode reddere potes:
- mercedem per ripam card
De Bitcoins:
Si habes quaestiones, scribes ad me [Inscriptio protected]
Sicut bonus, dicam tibi quomodo computatra tua detruncata est et quomodo eam in futuro tuendam.
Homo ambitiosus lupus, gravedinem rei ostendere voluit. Potuit tamen peius esse.
Renatus. 1. Sicut bonus, indicabo tibi quomodo computatrum tuum in posterum tueatur. -Videtur legit.
II. Demus incipias
Imprimis inspeximus specimen missi structurae. Satis inlepide, non viderit limam quae empticii laesa erat. Aperi editorem hexadecimalem et vide. Prima 4 bytes continent magnitudinem fasciculi originalis, altera 60 bytes zephyris referta sunt. Maxime autem interesting res est in fine;
Renatus. 2 Fasciculum laesum examinare. Quid statim oculo conspicitur?
Omnia moleste evaserunt simplex: 0x40 bytes e capite ad finem tabellae mota sunt. Ad datam restituendam, simpliciter ad principium reddendum est. Accessus tabellae restitutus est, sed nomen encrypted manet, et res magis implicatae sunt cum ea.
Renatus. 3. Nomen encrypted in Base64 spectat ut pervagatus characterum copia.
Sit scriptor experiri ut instar is sicco pass.keysubjuncta user. In ea videmus seriem 162 byte ASCII.
Renatus. 4. 162 ingenia supersunt in PC victimae.
Si inspicias, videbis symbola cum frequentia quadam iterari. Hoc indicare potest usum XOR, qui repetitionibus insignitur, cuius frequentia pendet a longitudinis clavis. Cum filo in 6 characteres scindentes et XORed cum quibusdam variantibus sequentiarum XOR, nullum significantem exitum assecuti sumus.
Renatus. 5. Videte in medio constantes frequentes?
Constantibus google decrevimus, quia sic, id quoque possibile est! Omnes denique ad unum algorithmum Batch Encryption duxerunt. His litteris inspectis, acies nostra nihil aliud quam ex opere suo manifestatum est. Animadvertendum est hanc omnino non esse encryptorem, sed encoder tantum, qui characteres in seriebus 6-byte substituit. Nullae claves vel alia tibi secreta :)
Renatus. 6. Pars algorithmi originalis ignotae auctoritatis.
Algorithmus non debet operari ut debet, nisi ad unum speciale;
Renatus. 7. Morpheus approbatur.
Usura vicissim substitutionem transmutamus filum a pass.key in textum XXVII ingenia. Humanum (maxime verisimile) textum "asmodat" specialem attentionem meretur.
Fig.8. USGFDG=7.
Google iterum nos adiuvabit. Post aliquantulum inquisitionis studium interesting invenimus in GitHub - Folder Locker, in .Net scriptum et utens bibliothecam 'asmodat' ab alia ratione Git.
Renatus. 9. Folder Locker interface. Vide pro malware reprimendam.
Utilitas est encryptor pro Fenestra 7 et superior, quae tamquam fons aperta distribuitur. In encryptione tessera adhibetur, quae ad decryptionem subsequentem necessaria est. Permittit ut tam cum singulis fasciculis quam cum integris directoriis operariis.
Bibliotheca eius utitur Rijndael encryption algorithmus symmetrica in CBC modo. Notabile est quod scandalum magnitudo electa est ut 256 frena β contra quod in signo AES adoptatus est. In posteriori amplitudo contrahitur ad 128 frusta.
Clavis nostra secundum regulam PBKDF2 generatur. Hoc in casu, signum est SHA-256 e chorda in usu receptum. Reliquum est ut hanc chordam invenias ad decryptionem clavem generandam.
Bene, ad nostram iam decoctam redeamus pass.key. Memento quod linea cum copia numerorum et textus 'asmodat'? Conemur primum 20 bytes chordae uti tesserae Folder Locker.
Vide, opera! Accessit sermo in codice, et omnia perfecte extricata sunt. Characteribus in tessera iudicans, repraesentatio HEX verbi certae in ASCII est. Conemur ostendere signum verbi in textu forma. Et dabimus tibi 'shadewolf'. Iam lycanthropiae indicia sentis?
Alium inspiciamus structuram tabellae affectae, nunc cognoscentes quomodo opera capsa:
- 02 00 00 00 - nomen encryption modus;
- 58 00 00 00 - longitudo nominis fasciculi encryptae et base64 encoded;
- 40 00 00 00 - magnitudo capitis translationis.
Nomen ipsum encrypted et caput translatum in rubro et flavo illustratur, respective.
Renatus. 10. Nomen encryptum minio illustratur, translatum caput luteo illustratur.
Nunc encryptas et decryptas nomina in repraesentatione hexadecimali comparemus.
Structura decrypted data:
- 78 B9 B8 2E - purgamentum ab utilitate creatum (4 bytes);
- 0Π‘ 00 00 00 - longitudo nominis decryptae (12 bytes);
- Proximum est nomen fasciculi actualis et color cum cyphras ad obstructionum longitudinis requisitae (padding).
Renatus. 11. IMG_4114 multo melius spectat.
III. Conclusiones et Conclusiones
Redeo ad initium. Nescimus quid auctor Wulfric.Ransomware et quem propositum persequeretur moverunt. Utique, mediocris usoris, eventus laboris etiam talis encryptor quasi magna clades videtur. Lima non aperta. Omnia nomina perierunt. Loco imaginis solitae lupus in tentorio adest. Cogunt te de bitcondis legere.
Verum, hoc tempore, sub specie "terribilis encoder", occultatum est tam ridiculum et stupidum conatum repetundarum, ubi oppugnator programmatibus paratis utitur et claves ad crimen criminis recedit.
Viam circa claves. Malevolum scripturam vel Troianam non habuimus qui nos intellegere possemus quomodo hoc factum esset. pass.key β machina machina qua tabella in PC infecta apparet ignota manet. At memini in nota auctoris singularitatem tesserae. Ita, signum verbi decryptionis tam unicum est quam umbra usoris lupus singularis est :)
Et tamen, umbra lupus, quare et quare?
Source: www.habr.com