Wulfric Ransomware — izpirkuma programmatūra, kas neeksistē

Reizēm tā vien gribas ieskatīties acīs kādam vīrusu rakstītājam un jautāt: kāpēc un kāpēc? Uz jautājumu “kā” varam atbildēt paši, taču būtu ļoti interesanti uzzināt, ko tas vai cits ļaunprogrammatūras veidotājs domāja. It īpaši, kad sastopamies ar šādām “pērlēm”.

Šodienas raksta varonis ir interesants kriptogrāfa piemērs. Acīmredzot tas tika iecerēts kā vēl viens “izspiedējvīruss”, taču tā tehniskā īstenošana vairāk izskatās pēc kāda nežēlīga joku. Mēs šodien runāsim par šo ieviešanu.

Diemžēl ir gandrīz neiespējami izsekot šī kodētāja dzīves ciklam - par to ir pārāk maz statistikas datu, jo, par laimi, tas nav kļuvis plaši izplatīts. Tāpēc mēs atstāsim izcelsmi, infekcijas metodes un citas atsauces. Parunāsim tikai par mūsu tikšanās gadījumu ar Wulfric Ransomware un kā mēs palīdzējām lietotājam saglabāt viņa failus.

I. Kā tas viss sākās

Cilvēki, kuri ir cietuši no izspiedējvīrusa programmatūras, bieži sazinās ar mūsu pretvīrusu laboratoriju. Mēs sniedzam palīdzību neatkarīgi no tā, kādus pretvīrusu produktus viņi ir instalējuši. Šoreiz ar mums sazinājās persona, kuras failus ietekmēja nezināms kodētājs.

Labdien Faili tika šifrēti failu krātuvē (samba4) ar bezparoles pieteikšanos. Man ir aizdomas, ka infekcija nāk no manas meitas datora (Windows 10 ar standarta Windows Defender aizsardzību). Meitas dators pēc tam netika ieslēgts. Faili tiek šifrēti galvenokārt .jpg un .cr2 formātā. Faila paplašinājums pēc šifrēšanas: .aef.

Mēs no lietotāja saņēmām šifrētu failu paraugus, izpirkuma piezīmi un failu, kas, iespējams, ir atslēga, kas izspiedējvīrusa autoram bija nepieciešama failu atšifrēšanai.

Šeit ir visas mūsu norādes:

• 01c.aef (4481K)
• hacked.jpg (254K)
• hacked.txt (0K)
• 04c.aef (6540K)
• pass.key (0K)

Apskatīsim piezīmi. Cik bitkoinu šoreiz?

Tulkojums:

Uzmanību, jūsu faili ir šifrēti!
Parole ir unikāla jūsu datoram.

Maksājiet summu 0.05 BTC uz Bitcoin adresi: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Pēc maksājuma nosūtiet man e-pastu, pievienojot pass.key failu [e-pasts aizsargāts] ar maksājuma paziņojumu.

Pēc apstiprināšanas es jums nosūtīšu failu atšifrētāju.

Jūs varat maksāt par bitkoiniem tiešsaistē dažādos veidos:
buy.blockexplorer.com - apmaksa ar bankas karti
www.buybitcoinworldwide.com
localbitcoins.net

Par Bitcoins:
lv.wikipedia.org/wiki/Bitcoin
Ja jums ir kādi jautājumi, lūdzu, rakstiet man uz [e-pasts aizsargāts]
Kā bonusu es pastāstīšu, kā tika uzlauzts jūsu dators un kā to aizsargāt turpmāk.

Pretenciozs vilks, kas paredzēts, lai parādītu cietušajam situācijas nopietnību. Tomēr varēja būt sliktāk.

Rīsi. 1. -Bonusā pastāstīšu, kā turpmāk aizsargāt datoru. – Šķiet likumīgi.

II. Sāksim

Vispirms apskatījām nosūtītā parauga struktūru. Savādi, ka tas neizskatījās pēc faila, ko bija sabojājusi izspiedējprogrammatūra. Atveriet heksadecimālo redaktoru un apskatiet. Pirmie 4 baiti satur sākotnējo faila izmēru, nākamie 60 baiti ir aizpildīti ar nullēm. Bet visinteresantākais ir beigās:

Rīsi. 2 Analizējiet bojāto failu. Kas tev uzreiz iekrīt acīs?

Viss izrādījās kaitinoši vienkārši: 0x40 baiti no galvenes tika pārvietoti uz faila beigām. Lai atjaunotu datus, vienkārši atgrieziet tos uz sākumu. Piekļuve failam ir atjaunota, taču nosaukums paliek šifrēts, un ar to viss kļūst sarežģītāks.

Rīsi. 3. Šifrētais nosaukums programmā Base64 izskatās kā savdabīgs rakstzīmju kopums.

Mēģināsim to izdomāt caurlaide, ko iesniedzis lietotājs. Tajā mēs redzam 162 baitu ASCII rakstzīmju secību.

Rīsi. 4. Upura datorā palikušas 162 rakstzīmes.

Ja paskatās uzmanīgi, jūs ievērosiet, ka simboli atkārtojas ar noteiktu frekvenci. Tas var norādīt uz XOR izmantošanu, ko raksturo atkārtojumi, kuru biežums ir atkarīgs no taustiņa garuma. Sadalot virkni 6 rakstzīmēs un XOR izmantojot dažus XOR secību variantus, mēs nesasniedzām nekādu jēgpilnu rezultātu.

Rīsi. 5. Vai redzat atkārtojošās konstantes vidū?

Mēs nolēmām meklēt konstantes, jo jā, arī tas ir iespējams! Un tie visi galu galā noveda pie viena algoritma - partijas šifrēšanas. Izpētot skriptu, kļuva skaidrs, ka mūsu līnija ir nekas vairāk kā tās darba rezultāts. Jāpiemin, ka šis nemaz nav šifrētājs, bet tikai kodētājs, kas aizstāj rakstzīmes ar 6 baitu sekvencēm. Jums nav atslēgu vai citu noslēpumu :)

Rīsi. 6. Nezināmas autorības oriģinālā algoritma gabals.

Algoritms nedarbotos tā, kā vajadzētu, ja neskaita vienu detaļu:

Rīsi. 7. Morfejs apstiprināts.

Izmantojot apgriezto aizstāšanu, mēs pārveidojam virkni no caurlaide tekstā, kurā ir 27 rakstzīmes. Cilvēka (visticamāk) teksts 'asmodat' ir pelnījis īpašu uzmanību.

8. att. USGFDG=7.

Google mums atkal palīdzēs. Pēc nelielas meklēšanas mēs atrodam interesantu projektu GitHub — Folder Locker, kas rakstīts .Net un izmanto 'asmodat' bibliotēku no cita Git konta.

Rīsi. 9. Folder Locker interfeiss. Noteikti pārbaudiet, vai nav ļaunprātīgas programmatūras.

Lietderība ir šifrētājs operētājsistēmai Windows 7 un jaunākai versijai, kas tiek izplatīta kā atvērtā koda versija. Šifrēšanas laikā tiek izmantota parole, kas nepieciešama turpmākai atšifrēšanai. Ļauj strādāt gan ar atsevišķiem failiem, gan ar veseliem direktorijiem.

Tās bibliotēka izmanto Rijndael simetrisko šifrēšanas algoritmu CBC režīmā. Jāatzīmē, ka bloka izmērs tika izvēlēts kā 256 biti - atšķirībā no tā, kas pieņemts AES standartā. Pēdējā izmērs ir ierobežots līdz 128 bitiem.

Mūsu atslēga ir ģenerēta saskaņā ar PBKDF2 standartu. Šajā gadījumā parole ir SHA-256 no utilītprogrammā ievadītās virknes. Atliek tikai atrast šo virkni, lai ģenerētu atšifrēšanas atslēgu.

Nu, atgriezīsimies pie mūsu jau atkodētā caurlaide. Atcerieties šo rindiņu ar skaitļu kopu un tekstu "asmodat"? Mēģināsim izmantot pirmos 20 virknes baitus kā Folder Locker paroli.

Paskaties, tas darbojas! Koda vārds parādījās, un viss tika atšifrēts perfekti. Spriežot pēc paroles rakstzīmēm, tas ir konkrēta vārda HEX attēlojums ASCII. Mēģināsim parādīt koda vārdu teksta formā. mēs saņemam'ēnu vilks'. Vai jau jūtat likantropijas simptomus?

Vēlreiz apskatīsim ietekmētā faila struktūru, tagad zinot, kā darbojas skapītis:

• 02 00 00 00 – vārda šifrēšanas režīms;
• 58 00 00 00 – šifrētā un base64 kodētā faila nosaukuma garums;
• 40 00 00 00 – pārsūtītās galvenes izmērs.

Pats šifrētais nosaukums un pārsūtītā galvene ir izcelti attiecīgi sarkanā un dzeltenā krāsā.

Rīsi. 10. Šifrētais nosaukums ir iezīmēts sarkanā krāsā, pārsūtītā galvene ir iezīmēta dzeltenā krāsā.

Tagad salīdzināsim šifrētos un atšifrētos nosaukumus heksadecimālajā attēlojumā.

Atšifrēto datu struktūra:

• 78 B9 B8 2E – utilītas radītie atkritumi (4 baiti);
• 0С 00 00 00 – atšifrētā nosaukuma garums (12 baiti);
• Tālāk seko faktiskais faila nosaukums un polsterējums ar nullēm līdz vajadzīgajam bloka garumam (polsterējums).

Rīsi. 11. IMG_4114 izskatās daudz labāk.

III. Secinājumi un secinājumi

Atpakaļ uz sākumu. Mēs nezinām, kas motivēja Wulfric.Ransomware autoru un kādu mērķi viņš tiecās. Protams, vidusmēra lietotājam pat šāda šifrētāja darba rezultāts šķitīs liela katastrofa. Faili netiek atvērti. Visi vārdi ir pazuduši. Parastā attēla vietā uz ekrāna ir vilks. Viņi liek jums lasīt par bitkoiniem.

Tiesa, šoreiz “briesmīgā kodētāja” aizsegā tika paslēpts tik smieklīgs un muļķīgs izspiešanas mēģinājums, kur uzbrucējs izmanto gatavas programmas un atslēgas atstāj tieši nozieguma vietā.

Starp citu, par atslēgām. Mums nebija ļaunprātīga skripta vai Trojas zirga, kas varētu mums palīdzēt saprast, kā tas notika. caurlaide – mehānisms, ar kuru fails parādās inficētajā datorā, paliek nezināms. Bet, atceros, savā piezīmē autors minēja paroles unikalitāti. Tātad atšifrēšanas koda vārds ir tikpat unikāls kā lietotājvārds shadow wolf :)

Un tomēr, ēnu vilks, kāpēc un kāpēc?

Avots: www.habr.com