Kartais norisi tiesiog pažvelgti į akis kuriam nors virusų kūrėjui ir paklausti: kodėl ir kodėl? Į klausimą „kaip“ galime atsakyti ir patys, bet būtų labai įdomu sužinoti, ką galvojo tas ar kitas kenkėjiškų programų kūrėjas. Ypač kai susiduriame su tokiais „perlais“.
Šiandienos straipsnio herojus yra įdomus kriptografo pavyzdys. Matyt, ji buvo sumanyta kaip dar viena „išpirkos programa“, tačiau jos techninis įgyvendinimas labiau atrodo kaip kažkieno žiaurus pokštas. Šiandien kalbėsime apie šį įgyvendinimą.
Deja, beveik neįmanoma atsekti šio kodavimo įrenginio gyvavimo ciklo - statistikos apie jį per mažai, nes, laimei, jis nebuvo plačiai paplitęs. Todėl atsisakysime kilmės, užsikrėtimo būdų ir kitų nuorodų. Pakalbėkime tik apie mūsų susitikimo atvejį Wulfric Ransomware ir kaip padėjome vartotojui išsaugoti jo failus.
I. Kaip viskas prasidėjo
Žmonės, nukentėję nuo išpirkos reikalaujančių programų, dažnai kreipiasi į mūsų antivirusinę laboratoriją. Mes teikiame pagalbą nepaisant to, kokius antivirusinius produktus jie įdiegė. Šį kartą su mumis susisiekė asmuo, kurio failus paveikė nežinomas koduotuvas.
Laba diena Failai buvo užšifruoti failų saugykloje (samba4) naudojant prisijungimą be slaptažodžio. Įtariu, kad infekcija kilo iš mano dukters kompiuterio (Windows 10 su standartine Windows Defender apsauga). Po to dukros kompiuteris nebuvo įjungtas. Failai yra užšifruoti daugiausia .jpg ir .cr2. Failo plėtinys po šifravimo: .aef.
Iš vartotojo gavome šifruotų failų pavyzdžius, išpirkos raštą ir failą, kuris greičiausiai yra raktas, kurio reikėjo išpirkos reikalaujančios programos autoriui, kad iššifruotų failus.
Štai visi mūsų patarimai:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- prieigos raktas (0K)
Pažvelkime į užrašą. Kiek bitkoinų šį kartą?
Vertimas:
Dėmesio, jūsų failai yra užšifruoti!
Slaptažodis yra unikalus jūsų kompiuteriui.Sumokėkite 0.05 BTC į Bitcoin adresą: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Po apmokėjimo atsiųskite man el. laišką, prisegdami failą pass.key prie [apsaugotas el. paštu] su pranešimu apie mokėjimą.Po patvirtinimo atsiųsiu jums failų iššifratorių.
Už bitkoinus internetu galite mokėti įvairiais būdais:
- atsiskaitymas banko kortele
Apie Bitcoins:
Jei turite klausimų, rašykite man adresu [apsaugotas el. paštu]
Kaip premiją papasakosiu, kaip buvo įsilaužta į jūsų kompiuterį ir kaip jį apsaugoti ateityje.
Pretenzingas vilkas, skirtas parodyti aukai situacijos rimtumą. Tačiau galėjo būti ir blogiau.
Ryžiai. 1. -Kaip premiją, aš jums pasakysiu, kaip apsaugoti kompiuterį ateityje. – Atrodo teisėta.
II. Pradėkime
Pirmiausia pažvelgėme į atsiųsto pavyzdžio struktūrą. Kaip bebūtų keista, jis neatrodė kaip failas, kurį sugadino išpirkos reikalaujančios programos. Atidarykite šešioliktainį redaktorių ir pažiūrėkite. Pirmuose 4 baituose yra originalus failo dydis, kiti 60 baitų užpildyti nuliais. Bet įdomiausia yra pabaigoje:
Ryžiai. 2 Išanalizuokite sugadintą failą. Kas iš karto krenta į akis?
Viskas pasirodė erzinančiai paprasta: 0x40 baitų iš antraštės buvo perkelti į failo pabaigą. Norėdami atkurti duomenis, tiesiog grąžinkite juos į pradžią. Prieiga prie failo buvo atkurta, tačiau pavadinimas išlieka užšifruotas, todėl viskas tampa sudėtingesnė.
Ryžiai. 3. Užšifruotas pavadinimas Base64 atrodo kaip siaučiantis simbolių rinkinys.
Pabandykime tai išsiaiškinti raktas, pateikė naudotojas. Jame matome 162 baitų ASCII simbolių seką.
Ryžiai. 4. Nukentėjusiojo kompiuteryje liko 162 simboliai.
Jei atidžiai įsižiūrėsite, pastebėsite, kad simboliai kartojasi tam tikru dažnumu. Tai gali rodyti XOR naudojimą, kuriam būdingi pasikartojimai, kurių dažnis priklauso nuo klavišo ilgio. Suskaidę eilutę į 6 simbolius ir sudarę XOR su kai kuriais XOR sekų variantais, jokio reikšmingo rezultato nepasiekėme.
Ryžiai. 5. Matote viduryje pasikartojančias konstantas?
Nusprendėme ieškoti „Google“ konstantų, nes taip, tai irgi įmanoma! Ir jie visi galiausiai paskatino vieną algoritmą - paketinį šifravimą. Išstudijavus scenarijų tapo aišku, kad mūsų linija yra ne kas kita, kaip jos darbo rezultatas. Reikia paminėti, kad tai visai ne šifruoklis, o tiesiog kodavimo įrenginys, kuris pakeičia simbolius 6 baitų sekomis. Jokių raktų ar kitų paslapčių tau :)
Ryžiai. 6. Nežinomos autorystės originalaus algoritmo dalis.
Algoritmas neveiks taip, kaip turėtų, jei ne viena detalė:
Ryžiai. 7. Morfėjus patvirtintas.
Naudodami atvirkštinį pakeitimą transformuojame eilutę iš raktas į 27 simbolių tekstą. Žmogiškasis (greičiausiai) tekstas „asmodat“ nusipelno ypatingo dėmesio.
8 pav. USGFDG = 7.
Google vėl mums padės. Šiek tiek paieškoję randame įdomų projektą GitHub – Folder Locker, parašytą .Net ir naudojamą 'asmodat' biblioteką iš kitos Git paskyros.
Ryžiai. 9. Folder Locker sąsaja. Būtinai patikrinkite, ar nėra kenkėjiškų programų.
Priemonė yra „Windows 7“ ir naujesnės versijos šifravimo priemonė, platinama kaip atvirojo kodo. Šifravimo metu naudojamas slaptažodis, kuris reikalingas tolesniam iššifravimui. Leidžia dirbti tiek su atskirais failais, tiek su visais katalogais.
Jos biblioteka naudoja Rijndael simetrinį šifravimo algoritmą CBC režimu. Pažymėtina, kad bloko dydis buvo pasirinktas 256 bitai – priešingai nei priimtas AES standarte. Pastarajame dydis ribojamas iki 128 bitų.
Mūsų raktas sugeneruotas pagal PBKDF2 standartą. Šiuo atveju slaptažodis yra SHA-256 iš eilutės, įvestos į naudingumą. Belieka rasti šią eilutę, kad būtų sukurtas iššifravimo raktas.
Na, grįžkime prie mūsų jau iššifruoto raktas. Prisimeni tą eilutę su skaičių rinkiniu ir tekstu „asmodat“? Pabandykime naudoti pirmuosius 20 eilutės baitų kaip aplanko aplanko slaptažodį.
Žiūrėk, tai veikia! Atsirado kodinis žodis, ir viskas buvo puikiai iššifruota. Sprendžiant iš slaptažodžio simbolių, tai yra HEX konkretaus žodžio ASCII atvaizdas. Pabandykime kodo žodį parodyti teksto forma. Mes gauname 'šešėlinis vilkas“. Jau jaučiate likantropijos simptomus?
Dar kartą pažvelkime į paveikto failo struktūrą, dabar žinodami, kaip veikia saugykla:
- 02 00 00 00 – vardo šifravimo režimas;
- 58 00 00 00 – šifruoto ir base64 koduoto failo pavadinimo ilgis;
- 40 00 00 00 – perkeltos antraštės dydis.
Pats užšifruotas pavadinimas ir perkelta antraštė paryškinami atitinkamai raudonai ir geltonai.
Ryžiai. 10. Užšifruotas pavadinimas paryškinamas raudonai, perduota antraštė – geltonai.
Dabar palyginkime užšifruotus ir iššifruotus vardus šešioliktaine forma.
Iššifruotų duomenų struktūra:
- 78 B9 B8 2E – komunalinės paslaugos sukurtos šiukšlės (4 baitai);
- 0С 00 00 00 – iššifruoto vardo ilgis (12 baitų);
- Toliau pateikiamas tikrasis failo pavadinimas ir užpildymas nuliais iki reikiamo bloko ilgio (padding).
Ryžiai. 11. IMG_4114 atrodo daug geriau.
III. Išvados ir išvada
Grįžti į pradžią. Nežinome, kas paskatino Wulfric.Ransomware autorių ir kokio tikslo jis siekė. Žinoma, paprastam vartotojui net ir tokio šifruotojo darbo rezultatas atrodys kaip didelė nelaimė. Failai neatsidaro. Visi vardai dingo. Vietoj įprasto paveikslėlio ekrane – vilkas. Jie verčia skaityti apie bitkoinus.
Tiesa, šį kartą prisidengiant „baisiu koduotuvu“ buvo paslėptas toks juokingas ir kvailas prievartavimo bandymas, kai užpuolikas naudoja paruoštas programas ir raktus palieka tiesiog nusikaltimo vietoje.
Beje, apie raktus. Neturėjome kenkėjiško scenarijaus ar Trojos arklys, kuris padėtų suprasti, kaip tai atsitiko. raktas – mechanizmas, kuriuo failas pasirodo užkrėstame kompiuteryje, lieka nežinomas. Bet, pamenu, savo užraše autorius paminėjo slaptažodžio unikalumą. Taigi, kodinis žodis iššifravimui yra toks pat unikalus, kaip ir vartotojo vardas šešėlis vilkas :)
Ir vis dėlto, šešėlis vilkas, kodėl ir kodėl?
Šaltinis: www.habr.com