Wulfric Ransomware ā izpirkuma programmatÅ«ra, kas neeksistÄ
ReizÄm tÄ vien gribas ieskatÄ«ties acÄ«s kÄdam vÄ«rusu rakstÄ«tÄjam un jautÄt: kÄpÄc un kÄpÄc? Uz jautÄjumu ākÄā varam atbildÄt paÅ”i, taÄu bÅ«tu ļoti interesanti uzzinÄt, ko tas vai cits ļaunprogrammatÅ«ras veidotÄjs domÄja. It Ä«paÅ”i, kad sastopamies ar Å”ÄdÄm āpÄrlÄmā.
Å odienas raksta varonis ir interesants kriptogrÄfa piemÄrs. AcÄ«mredzot tas tika iecerÄts kÄ vÄl viens āizspiedÄjvÄ«russā, taÄu tÄ tehniskÄ Ä«stenoÅ”ana vairÄk izskatÄs pÄc kÄda nežÄlÄ«ga joku. MÄs Å”odien runÄsim par Å”o ievieÅ”anu.
DiemžÄl ir gandrÄ«z neiespÄjami izsekot Ŕī kodÄtÄja dzÄ«ves ciklam - par to ir pÄrÄk maz statistikas datu, jo, par laimi, tas nav kļuvis plaÅ”i izplatÄ«ts. TÄpÄc mÄs atstÄsim izcelsmi, infekcijas metodes un citas atsauces. ParunÄsim tikai par mÅ«su tikÅ”anÄs gadÄ«jumu ar Wulfric Ransomware un kÄ mÄs palÄ«dzÄjÄm lietotÄjam saglabÄt viÅa failus.
I. KÄ tas viss sÄkÄs
CilvÄki, kuri ir cietuÅ”i no izspiedÄjvÄ«rusa programmatÅ«ras, bieži sazinÄs ar mÅ«su pretvÄ«rusu laboratoriju. MÄs sniedzam palÄ«dzÄ«bu neatkarÄ«gi no tÄ, kÄdus pretvÄ«rusu produktus viÅi ir instalÄjuÅ”i. Å oreiz ar mums sazinÄjÄs persona, kuras failus ietekmÄja nezinÄms kodÄtÄjs.
Labdien Faili tika Å”ifrÄti failu krÄtuvÄ (samba4) ar bezparoles pieteikÅ”anos. Man ir aizdomas, ka infekcija nÄk no manas meitas datora (Windows 10 ar standarta Windows Defender aizsardzÄ«bu). Meitas dators pÄc tam netika ieslÄgts. Faili tiek Å”ifrÄti galvenokÄrt .jpg un .cr2 formÄtÄ. Faila paplaÅ”inÄjums pÄc Å”ifrÄÅ”anas: .aef.
MÄs no lietotÄja saÅÄmÄm Å”ifrÄtu failu paraugus, izpirkuma piezÄ«mi un failu, kas, iespÄjams, ir atslÄga, kas izspiedÄjvÄ«rusa autoram bija nepiecieÅ”ama failu atÅ”ifrÄÅ”anai.
Å eit ir visas mÅ«su norÄdes:
01c.aef (4481K)
hacked.jpg (254K)
hacked.txt (0K)
04c.aef (6540K)
pass.key (0K)
Apskatīsim piezīmi. Cik bitkoinu Ŕoreiz?
Tulkojums:
UzmanÄ«bu, jÅ«su faili ir Å”ifrÄti!
Parole ir unikÄla jÅ«su datoram.
MaksÄjiet summu 0.05 BTC uz Bitcoin adresi: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
PÄc maksÄjuma nosÅ«tiet man e-pastu, pievienojot pass.key failu [e-pasts aizsargÄts] ar maksÄjuma paziÅojumu.
PÄc apstiprinÄÅ”anas es jums nosÅ«tÄ«Å”u failu atÅ”ifrÄtÄju.
Par Bitcoins: lv.wikipedia.org/wiki/Bitcoin
Ja jums ir kÄdi jautÄjumi, lÅ«dzu, rakstiet man uz [e-pasts aizsargÄts]
KÄ bonusu es pastÄstÄ«Å”u, kÄ tika uzlauzts jÅ«su dators un kÄ to aizsargÄt turpmÄk.
Pretenciozs vilks, kas paredzÄts, lai parÄdÄ«tu cietuÅ”ajam situÄcijas nopietnÄ«bu. TomÄr varÄja bÅ«t sliktÄk.
Vispirms apskatÄ«jÄm nosÅ«tÄ«tÄ parauga struktÅ«ru. SavÄdi, ka tas neizskatÄ«jÄs pÄc faila, ko bija sabojÄjusi izspiedÄjprogrammatÅ«ra. Atveriet heksadecimÄlo redaktoru un apskatiet. Pirmie 4 baiti satur sÄkotnÄjo faila izmÄru, nÄkamie 60 baiti ir aizpildÄ«ti ar nullÄm. Bet visinteresantÄkais ir beigÄs:
RÄ«si. 2 AnalizÄjiet bojÄto failu. Kas tev uzreiz iekrÄ«t acÄ«s?
Viss izrÄdÄ«jÄs kaitinoÅ”i vienkÄrÅ”i: 0x40 baiti no galvenes tika pÄrvietoti uz faila beigÄm. Lai atjaunotu datus, vienkÄrÅ”i atgrieziet tos uz sÄkumu. Piekļuve failam ir atjaunota, taÄu nosaukums paliek Å”ifrÄts, un ar to viss kļūst sarežģītÄks.
RÄ«si. 3. Å ifrÄtais nosaukums programmÄ Base64 izskatÄs kÄ savdabÄ«gs rakstzÄ«mju kopums.
MÄÄ£inÄsim to izdomÄt caurlaide, ko iesniedzis lietotÄjs. TajÄ mÄs redzam 162 baitu ASCII rakstzÄ«mju secÄ«bu.
Ja paskatÄs uzmanÄ«gi, jÅ«s ievÄrosiet, ka simboli atkÄrtojas ar noteiktu frekvenci. Tas var norÄdÄ«t uz XOR izmantoÅ”anu, ko raksturo atkÄrtojumi, kuru biežums ir atkarÄ«gs no taustiÅa garuma. Sadalot virkni 6 rakstzÄ«mÄs un XOR izmantojot dažus XOR secÄ«bu variantus, mÄs nesasniedzÄm nekÄdu jÄgpilnu rezultÄtu.
RÄ«si. 5. Vai redzat atkÄrtojoÅ”Äs konstantes vidÅ«?
MÄs nolÄmÄm meklÄt konstantes, jo jÄ, arÄ« tas ir iespÄjams! Un tie visi galu galÄ noveda pie viena algoritma - partijas Å”ifrÄÅ”anas. IzpÄtot skriptu, kļuva skaidrs, ka mÅ«su lÄ«nija ir nekas vairÄk kÄ tÄs darba rezultÄts. JÄpiemin, ka Å”is nemaz nav Å”ifrÄtÄjs, bet tikai kodÄtÄjs, kas aizstÄj rakstzÄ«mes ar 6 baitu sekvencÄm. Jums nav atslÄgu vai citu noslÄpumu :)
Algoritms nedarbotos tÄ, kÄ vajadzÄtu, ja neskaita vienu detaļu:
RÄ«si. 7. Morfejs apstiprinÄts.
Izmantojot apgriezto aizstÄÅ”anu, mÄs pÄrveidojam virkni no caurlaide tekstÄ, kurÄ ir 27 rakstzÄ«mes. CilvÄka (visticamÄk) teksts 'asmodat' ir pelnÄ«jis Ä«paÅ”u uzmanÄ«bu.
8. att. USGFDG=7.
Google mums atkal palÄ«dzÄs. PÄc nelielas meklÄÅ”anas mÄs atrodam interesantu projektu GitHub ā Folder Locker, kas rakstÄ«ts .Net un izmanto 'asmodat' bibliotÄku no cita Git konta.
RÄ«si. 9. Folder Locker interfeiss. Noteikti pÄrbaudiet, vai nav ļaunprÄtÄ«gas programmatÅ«ras.
LietderÄ«ba ir Å”ifrÄtÄjs operÄtÄjsistÄmai Windows 7 un jaunÄkai versijai, kas tiek izplatÄ«ta kÄ atvÄrtÄ koda versija. Å ifrÄÅ”anas laikÄ tiek izmantota parole, kas nepiecieÅ”ama turpmÄkai atÅ”ifrÄÅ”anai. Ä»auj strÄdÄt gan ar atseviŔķiem failiem, gan ar veseliem direktorijiem.
TÄs bibliotÄka izmanto Rijndael simetrisko Å”ifrÄÅ”anas algoritmu CBC režīmÄ. JÄatzÄ«mÄ, ka bloka izmÄrs tika izvÄlÄts kÄ 256 biti - atŔķirÄ«bÄ no tÄ, kas pieÅemts AES standartÄ. PÄdÄjÄ izmÄrs ir ierobežots lÄ«dz 128 bitiem.
MÅ«su atslÄga ir Ä£enerÄta saskaÅÄ ar PBKDF2 standartu. Å ajÄ gadÄ«jumÄ parole ir SHA-256 no utilÄ«tprogrammÄ ievadÄ«tÄs virknes. Atliek tikai atrast Å”o virkni, lai Ä£enerÄtu atÅ”ifrÄÅ”anas atslÄgu.
Nu, atgriezÄ«simies pie mÅ«su jau atkodÄtÄ caurlaide. Atcerieties Å”o rindiÅu ar skaitļu kopu un tekstu "asmodat"? MÄÄ£inÄsim izmantot pirmos 20 virknes baitus kÄ Folder Locker paroli.
Paskaties, tas darbojas! Koda vÄrds parÄdÄ«jÄs, un viss tika atÅ”ifrÄts perfekti. Spriežot pÄc paroles rakstzÄ«mÄm, tas ir konkrÄta vÄrda HEX attÄlojums ASCII. MÄÄ£inÄsim parÄdÄ«t koda vÄrdu teksta formÄ. mÄs saÅemam'Änu vilks'. Vai jau jÅ«tat likantropijas simptomus?
VÄlreiz apskatÄ«sim ietekmÄtÄ faila struktÅ«ru, tagad zinot, kÄ darbojas skapÄ«tis:
02 00 00 00 ā vÄrda Å”ifrÄÅ”anas režīms;
58 00 00 00 ā Å”ifrÄtÄ un base64 kodÄtÄ faila nosaukuma garums;
40 00 00 00 ā pÄrsÅ«tÄ«tÄs galvenes izmÄrs.
Pats Å”ifrÄtais nosaukums un pÄrsÅ«tÄ«tÄ galvene ir izcelti attiecÄ«gi sarkanÄ un dzeltenÄ krÄsÄ.
RÄ«si. 10. Å ifrÄtais nosaukums ir iezÄ«mÄts sarkanÄ krÄsÄ, pÄrsÅ«tÄ«tÄ galvene ir iezÄ«mÄta dzeltenÄ krÄsÄ.
Tagad salÄ«dzinÄsim Å”ifrÄtos un atÅ”ifrÄtos nosaukumus heksadecimÄlajÄ attÄlojumÄ.
AtÅ”ifrÄto datu struktÅ«ra:
78 B9 B8 2E ā utilÄ«tas radÄ«tie atkritumi (4 baiti);
0Š” 00 00 00 ā atÅ”ifrÄtÄ nosaukuma garums (12 baiti);
TÄlÄk seko faktiskais faila nosaukums un polsterÄjums ar nullÄm lÄ«dz vajadzÄ«gajam bloka garumam (polsterÄjums).
RÄ«si. 11. IMG_4114 izskatÄs daudz labÄk.
III. SecinÄjumi un secinÄjumi
Atpakaļ uz sÄkumu. MÄs nezinÄm, kas motivÄja Wulfric.Ransomware autoru un kÄdu mÄrÄ·i viÅÅ” tiecÄs. Protams, vidusmÄra lietotÄjam pat Å”Äda Å”ifrÄtÄja darba rezultÄts ŔķitÄ«s liela katastrofa. Faili netiek atvÄrti. Visi vÄrdi ir pazuduÅ”i. ParastÄ attÄla vietÄ uz ekrÄna ir vilks. ViÅi liek jums lasÄ«t par bitkoiniem.
Tiesa, Å”oreiz ābriesmÄ«gÄ kodÄtÄjaā aizsegÄ tika paslÄpts tik smieklÄ«gs un muļķīgs izspieÅ”anas mÄÄ£inÄjums, kur uzbrucÄjs izmanto gatavas programmas un atslÄgas atstÄj tieÅ”i nozieguma vietÄ.
Starp citu, par atslÄgÄm. Mums nebija ļaunprÄtÄ«ga skripta vai Trojas zirga, kas varÄtu mums palÄ«dzÄt saprast, kÄ tas notika. caurlaide ā mehÄnisms, ar kuru fails parÄdÄs inficÄtajÄ datorÄ, paliek nezinÄms. Bet, atceros, savÄ piezÄ«mÄ autors minÄja paroles unikalitÄti. TÄtad atÅ”ifrÄÅ”anas koda vÄrds ir tikpat unikÄls kÄ lietotÄjvÄrds shadow wolf :)