Heiansdo wëllt Dir just an d'Ae vun engem Virus Schrëftsteller kucken a froen: firwat a firwat? Mir kënnen d'Fro "wéi" selwer beäntweren, awer et wier ganz interessant fir erauszefannen wat dësen oder deen Malware Creator geduecht huet. Besonnesch wa mir esou "Pärelen" begéinen.
Den Held vun haut d'Artikel ass en interessant Beispill vun cryptographer. Et gouf anscheinend als just eng aner "Ransomware" konzipéiert, awer seng technesch Ëmsetzung gesäit méi aus wéi engem grausame Witz. Mir schwätzen haut iwwer dës Ëmsetzung.
Leider ass et bal onméiglech de Liewenszyklus vun dësem Encoder ze verfolgen - et ginn ze wéineg Statistiken doriwwer, well et glécklecherweis net verbreet ass. Dofir verloosse mir den Urspronk, d'Infektiounsmethoden an aner Referenzen. Schwätze mer just iwwer eise Fall vun Reunioun mat Wulfric Ransomware a wéi mir dem Benotzer gehollef hunn seng Dateien ze späicheren.
I. Wéi et alles ugefaang huet
Leit, déi Affer vu Ransomware waren, kontaktéieren dacks eisen Anti-Virus Laboratoire. Mir bidden Hëllef egal wéi eng Antivirus Produkter se installéiert hunn. Dës Kéier goufe mir vun enger Persoun kontaktéiert där hir Dateie vun engem onbekannten Encoder betraff waren.
Gudde Mëtteg Dateie goufen op enger Dateilagerung (samba4) mat Passwuertloser Login verschlësselt. Ech de Verdacht datt d'Infektioun vum Computer vu menger Duechter koum (Windows 10 mat Standard Windows Defender Schutz). De Computer vun der Duechter war duerno net ageschalt. D'Dateien sinn verschlësselte haaptsächlech .jpg an .cr2. Dateierweiterung no der Verschlësselung: .aef.
Mir krute vun de Benotzer Proben vu verschlësselte Dateien, eng Léisegeldnotiz an eng Datei déi méiglecherweis de Schlëssel ass deen de Ransomware Autor gebraucht huet fir d'Dateien ze entschlësselen.
Hei sinn all eis Hiweiser:
- 01c.aef (4481K)
- gehackt.jpg (254K)
- gehackt.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Loosst eis d'Notiz kucken. Wéi vill Bitcoins dës Kéier?
Iwwersetzung:
Opgepasst, Är Dateie sinn verschlësselt!
D'Passwuert ass eenzegaarteg fir Äre PC.Bezuelt de Betrag vun 0.05 BTC op d'Bitcoin Adress: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Nom Bezuelen, schéckt mir eng E-Mail, befestegt der pass.key Fichier un [Email geschützt] mat Notifikatioun vun Bezuelen.No der Bestätegung schécken ech Iech en Decryptor fir d'Dateien.
Dir kënnt fir Bitcoins online op verschidde Weeër bezuelen:
- Bezuelen vun Bankkaart
Iwwer Bitcoins:
Wann Dir Froen hutt, schreift mir w.e.g. um [Email geschützt]
Als Bonus wäert ech Iech soen wéi Äre Computer gehackt gouf a wéi Dir en an Zukunft schützt.
E pretentiéise Wollef, entwéckelt fir dem Affer d'Eescht vun der Situatioun ze weisen. Allerdéngs kéint et méi schlëmm ginn.
Reis. 1. -Als Bonus, Ech wäert Iech soen wéi Äre Computer an Zukunft ze schützen. -Schéngt echt.
II. Loosst eis ufänken
Als éischt hu mir d'Struktur vun der geschéckter Probe gekuckt. Komesch genuch huet et net ausgesinn wéi eng Datei déi duerch Ransomware beschiedegt gouf. Öffnen den hexadezimalen Editor a kuckt. Déi éischt 4 Bytes enthalen déi ursprénglech Dateigréisst, déi nächst 60 Bytes si mat Nullen gefëllt. Awer déi interessantst Saach ass um Enn:
Reis. 2 Analyséiert déi beschiedegt Datei. Wat fällt Iech direkt op?
Alles huet sech lästeg einfach erausgestallt: 0x40 Bytes vum Header goufen op d'Enn vun der Datei geréckelt. Fir Daten ze restauréieren, gitt se einfach zréck an den Ufank. Den Zougang zu der Datei gouf restauréiert, awer den Numm bleift verschlësselt, an d'Saache ginn méi komplizéiert mat him.
Reis. 3. De verschlësselte Numm am Base64 gesäit aus wéi e rambling Set vu Charaktere.
Loosst eis probéieren et erauszefannen pass.Schlëssel, vum Benotzer presentéiert. An et gesi mir eng 162-Byte Sequenz vun ASCII Zeechen.
Reis. 4. 162 Zeechen lénks um PC vum Affer.
Wann Dir kuckt enk, Dir wäert festgestallt, datt d'Symboler mat enger bestëmmter Frequenz widderholl ginn. Dëst kann d'Benotzung vun XOR uginn, déi duerch Wiederholungen charakteriséiert ass, d'Frequenz vun deenen hänkt vun der Schlëssellängt of. Nodeems mir de String a 6 Zeechen opgedeelt hunn an XORed mat e puer Varianten vun XOR Sequenzen hunn, hu mir kee sënnvoll Resultat erreecht.
Reis. 5. Gesinn déi widderhuelen Konstanten an der Mëtt?
Mir hu beschloss Konstanten ze googlen, well jo, dat ass och méiglech! A si hunn all schlussendlech zu engem Algorithmus gefouert - Batch Encryption. Nom Skript studéiert gouf et kloer datt eis Linn näischt méi ass wéi d'Resultat vu senger Aarbecht. Et sollt erwähnt ginn datt dëst guer net en Encryptor ass, mee just en Encoder deen Zeechen mat 6-Byte Sequenzen ersetzt. Keng Schlësselen oder aner Geheimnisser fir Iech :)
Reis. 6. E Stéck vum Original Algorithmus vun onbekannt Autoritéit.
Den Algorithmus géif net funktionnéieren wéi et sollt wann net fir een Detail:
Reis. 7. Morpheus guttgeheescht.
Mat ëmgedréint Substitutioun transforméiere mir de String aus pass.Schlëssel an en Text vu 27 Zeechen. De mënschlechen (wahrscheinlech) Text 'asmodat' verdéngt besonnesch Opmierksamkeet.
Fig.8. USGFDG=7.
Google wäert eis erëm hëllefen. No e bësse Recherche fanne mir en interessante Projet op GitHub - Folder Locker, geschriwwen an .Net a benotzt d''asmodat' Bibliothéik vun engem anere Git Kont.
Reis. 9. Dossier Locker Interface. Gitt sécher fir Malware ze kontrolléieren.
D'Utility ass en Encryptor fir Windows 7 a méi héich, deen als Open Source verdeelt gëtt. Wärend der Verschlësselung gëtt e Passwuert benotzt, wat fir eng spéider Entschlësselung néideg ass. Erlaabt Iech souwuel mat eenzelne Dateien wéi och mat ganzen Verzeichnisser ze schaffen.
Seng Bibliothéik benotzt de Rijndael symmetresche Verschlësselungsalgorithmus am CBC Modus. Et ass bemierkenswäert datt d'Blockgréisst gewielt gouf fir 256 Bits ze sinn - am Géigesaz zu deem, deen am AES Standard ugeholl gouf. An der leschter ass d'Gréisst op 128 Bit limitéiert.
Eise Schlëssel gëtt no dem PBKDF2 Standard generéiert. An dësem Fall ass d'Passwuert SHA-256 vun der String déi am Utility aginn ass. Alles wat bleift ass dës String ze fannen fir den Entschlësselschlëssel ze generéieren.
Gutt, loosst eis zréck op eis scho dekodéiert pass.Schlëssel. Erënnert Dir Iech un déi Zeil mat enger Rei vun Zuelen an dem Text 'asmodat'? Loosst eis probéieren déi éischt 20 Bytes vun der String als Passwuert fir Folder Locker ze benotzen.
Kuckt, et funktionnéiert! D'Codewuert koum op, an alles gouf perfekt entziffert. No de Personnagen am Passwuert beurteelen, ass et eng HEX Representatioun vun engem spezifesche Wuert an ASCII. Loosst eis probéieren de Code Wuert an Textform ze weisen. Mir kréien 'shadowwolf'. Fillt Dir schonn d'Symptomer vun der Lycanthropie?
Loosst eis nach eng Kéier d'Struktur vun der betroffener Datei kucken, elo wësse wéi de Locker funktionnéiert:
- 02 00 00 00 - Numm Verschlësselung Modus;
- 58 00 00 00 - Längt vum verschlësselte a base64 kodéierten Dateinumm;
- 40 00 00 00 - Gréisst vum transferéierten Header.
De verschlësselte Numm selwer an den transferéierten Header ginn a rout a giel markéiert, respektiv.
Reis. 10. De verschlësselte Numm gëtt a rout markéiert, den transferéierten Header gëtt a giel markéiert.
Loosst eis elo déi verschlësselte an dekryptéiert Nimm an der hexadezimaler Representatioun vergläichen.
Struktur vun entschlësselten Donnéeën:
- 78 B9 B8 2E - Gerempels erstallt vum Utility (4 Bytes);
- 0С 00 00 00 - Längt vum entschlësselten Numm (12 Bytes);
- Als nächst kënnt den aktuellen Dateinumm a Padding mat Nullen op déi erfuerderlech Blocklängt (padding).
Reis. 11. IMG_4114 gesäit vill besser.
III. Conclusiounen a Conclusioun
Zréck op den Ufank. Mir wësse net wat den Auteur vu Wulfric.Ransomware motivéiert huet a wat fir en Zil hien verfollegt huet. Natierlech, fir den duerchschnëttleche Benotzer, wäert d'Resultat vun der Aarbecht vun esou engem Verschlësselungsapparat wéi eng grouss Katastroph schéngen. Dateien ginn net op. All Nimm sinn fort. Amplaz vum gewéinleche Bild gëtt et e Wollef um Écran. Si zwéngen Iech iwwer Bitcoins ze liesen.
Richteg, dës Kéier, ënner dem Deckmantel vun engem "schrecklechen Encoder", war sou e lächerlechen an domm Versuch vun Erpressung verstoppt, wou den Ugräifer fäerdege Programmer benotzt an d'Schlësselen direkt op der Tatort verléisst.
Iwwregens, iwwer d'Schlësselen. Mir hu kee béiswëlleg Skript oder Trojaner deen eis hëllefe konnten ze verstoen wéi dëst geschitt ass. pass.Schlëssel - de Mechanismus duerch deen d'Datei op engem infizéierte PC erschéngt bleift onbekannt. Awer, ech erënnere mech, a senger Notiz ernimmt den Auteur d'Eenzegaartegkeet vum Passwuert. Also, d'Codewuert fir d'Entschlësselung ass sou eenzegaarteg wéi de Benotzernumm Shadow Wolf eenzegaarteg ass :)
An awer, Schattewolf, firwat a firwat?
Source: will.com