Indraindray ianao tena te hijery ny mason'ny mpanoratra virus sasany ary manontany hoe: nahoana ary nahoana? Afaka mamaly ny fanontaniana hoe "ahoana" ny tenantsika, saingy tena mahaliana ny mahafantatra hoe inona no eritreretin'ity mpamorona malware ity. Indrindra rehefa sendra ny "perla" toy izany isika.
Ny mahery fo amin'ny lahatsoratra anio dia ohatra mahaliana momba ny cryptographer. Toa noheverina ho "ransomware" hafa fotsiny izy io, fa ny fampiharana ara-teknika azy dia toa vazivazy masiaka ataon'ny olona iray. Hiresaka momba izany fampiharana izany isika anio.
Indrisy anefa fa saika tsy azo atao ny manara-maso ny tsingerin'ny fiainan'ity encoder ity - vitsy loatra ny antontan'isa momba izany, satria, soa ihany, fa tsy niely patrana. Noho izany, hialantsika ny fiaviana, ny fomba fifindran'ny aretina ary ny fanondroana hafa. Andeha horesahina fotsiny ny momba ny fihaonantsika Wulfric Ransomware ary ny fomba nanampianay ny mpampiasa hamonjy ny rakitra.
I. Ahoana no nanombohan’izany rehetra izany
Ireo olona niharan'ny ransomware dia matetika mifandray amin'ny laboratoara anti-virus. Manome fanampiana izahay na inona na inona vokatra antivirus napetrak'izy ireo. Tamin'ity indray mitoraka ity dia nisy olona iray izay voan'ny encoder tsy fantatra ny rakitra.
Salama Ny rakitra dia nafenina tao amin'ny fitahirizana rakitra (samba4) miaraka amin'ny fidirana tsy misy tenimiafina. Miahiahy aho fa avy amin'ny solosain'ny zanako vavy ny otrikaretina (Windows 10 miaraka amin'ny fiarovana Windows Defender mahazatra). Tsy nirehitra ny solosain’ilay zanany vavy taorian’izay. Ny rakitra dia .jpg sy .cr2 indrindra indrindra. Fanitarana rakitra aorian'ny fanafenana: .aef.
Noraisinay avy amin'ny santionan'ny mpampiasa ny rakitra voatahiry, ny taratasin'ny vidim-panavotana, ary ny rakitra iray izay azo inoana fa ny fanalahidy ilain'ny mpanoratra ransomware hamafa ireo rakitra.
Indreto ny famantaranay rehetra:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Andeha hojerentsika ny naoty. Firy ny bitcoins amin'ity indray mitoraka ity?
fandikan-teny:
Tandremo, voafefy ny rakitrao!
Ny tenimiafina dia miavaka amin'ny PC-nao.Aloavy ny sandan'ny 0.05 BTC amin'ny adiresy Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Aorian'ny fandoavana dia alefaso mailaka aho, ampifandraiso amin'ny rakitra pass.key [email voaaro] miaraka amin'ny fampahafantarana ny fandoavam-bola.Aorian'ny fanamafisana dia handefa anao decryptor ho an'ny rakitra aho.
Afaka mandoa bitcoins amin'ny Internet amin'ny fomba samihafa ianao:
- fandoavam-bola amin'ny karatra banky
Momba ny Bitcoins:
Raha manana fanontaniana ianao dia manorata amiko amin'ny [email voaaro]
Amin'ny maha-bonus azy dia holazaiko aminao ny fomba nijirika ny solosainao sy ny fomba hiarovana azy amin'ny ho avy.
Amboadia mihatsaravelatsihy, natao hanehoana an'ilay niharam-boina ny maha zava-dehibe ny toe-javatra. Mety ho ratsy kokoa anefa izany.
vary. 1. -Amin'ny maha-bonus dia holazaiko aminao ny fomba hiarovana ny solosainao amin'ny ho avy. -Toa azo antoka.
II. Andeha isika hanomboka
Voalohany indrindra, nijery ny firafitry ny santionany nalefa izahay. Mahagaga fa tsy toy ny rakitra simban'ny ransomware ilay izy. Sokafy ny tonian-dahatsoratra hexadecimal ary jereo. Ny 4 bytes voalohany dia misy ny haben'ny rakitra tany am-boalohany, ny 60 bytes manaraka dia feno aotra. Fa ny tena mahaliana dia amin'ny farany:
vary. 2 Diniho ny rakitra simba. Inona avy hatrany no mahasarika ny masonao?
Nivadika ho tsotra ny zava-drehetra: 0x40 bytes avy amin'ny lohapejy dia nafindra tany amin'ny faran'ny rakitra. Mba hamerenana ny angona dia avereno amin'ny voalohany fotsiny. Naverina tamin'ny laoniny ny fidirana amin'ny rakitra, saingy mbola voatahiry ny anarana, ary mihasarotra ny raharaha.
vary. 3. Ny anarana voafefy ao amin'ny Base64 dia toa andian-tsoratra maromaro.
Andeha hojerentsika izany pass.key, natolotry ny mpampiasa. Ao anatin'izany dia mahita filaharana 162-byte misy tarehintsoratra ASCII isika.
vary. 4. tarehintsoratra 162 sisa ao amin'ny PC-n'ilay niharam-boina.
Raha mijery akaiky ianao dia ho tsikaritrao fa miverimberina matetika ireo marika. Izany dia mety manondro ny fampiasana XOR, izay miavaka amin'ny famerimberenana, ny matetika dia miankina amin'ny halavan'ny fanalahidy. Rehefa nizara ny tady ho tarehintsoratra 6 ary XORed miaraka amin'ny karazany sasany amin'ny filaharana XOR, dia tsy nahazo vokatra manan-danja izahay.
vary. 5. Jereo ny tsy miova miverimberina eo afovoany?
Nanapa-kevitra ny hanao google constants izahay, satria eny, azo atao koa izany! Ary izy rehetra dia nitarika ho amin'ny algorithm iray - Batch Encryption. Rehefa avy nianatra ny script, dia nanjary nazava fa ny andalanay dia tsy inona fa ny vokatry ny asany. Marihina fa tsy encryption mihitsy io fa encoder manolo ny tarehintsoratra amin'ny sequence 6-byte. Tsy misy fanalahidy na tsiambaratelo hafa ho anao :)
vary. 6. Ampahany amin'ny algorithm tany am-boalohany momba ny mpanoratra tsy fantatra.
Ny algorithm dia tsy mandeha araka ny tokony ho izy raha tsy amin'ny antsipiriany iray:
vary. 7. Nankatoavina i Morpheus.
Amin'ny fampiasana fanoloana mivadika dia manova ny tady avy amin'ny pass.key ho lahatsoratra misy tarehintsoratra 27. Ny soratra 'asmodat' olombelona (azo inoana indrindra) dia mendrika ny hojerena manokana.
Fig.8. USGFDG=7.
Hanampy antsika indray i Google. Rehefa avy nikaroka kely izahay dia mahita tetikasa mahaliana ao amin'ny GitHub - Folder Locker, voasoratra ao amin'ny .Net ary mampiasa ny tranomboky 'asmodat' avy amin'ny kaonty Git hafa.
vary. 9. Folder Locker interface tsara. Aza hadino ny manamarina ny malware.
Ny fitaovana dia encryptor ho an'ny Windows 7 sy ambony, izay zaraina ho loharano misokatra. Mandritra ny fanafenana dia ampiasaina ny tenimiafina iray, izay ilaina amin'ny decryption manaraka. Mamela anao hiasa amin'ny rakitra tsirairay sy amin'ny lahatahiry manontolo.
Ny tranomboky dia mampiasa ny algorithm encryption symmetric Rijndael amin'ny fomba CBC. Marihina fa ny haben'ny sakana dia nofidina ho 256 bits - mifanohitra amin'ny fenitra AES. Amin'ity farany ity dia voafetra ho 128 bit ny habeny.
Ny lakilentsika dia novolavolaina araka ny fenitra PBKDF2. Amin'ity tranga ity, ny tenimiafina dia SHA-256 avy amin'ny tady niditra tao amin'ny utility. Ny hany sisa tavela dia ny fitadiavana io tady io mba hamoronana ny fanalahidin'ny decryption.
Eny ary, andao hiverina amin'ny efa novakianay pass.key. Tadidinao ve ilay andalana misy isa maromaro sy soratra 'asmodat'? Andeha isika hampiasa ny 20 bytes voalohany amin'ny tady ho tenimiafina ho an'ny Folder Locker.
Jereo fa miasa izany! Nipoitra ny teny kaody, ary nazava tsara ny zava-drehetra. Raha tsaraina amin'ny tarehin-tsoratra ao amin'ny tenimiafina, dia fanehoana HEX amin'ny teny manokana ao amin'ny ASCII izy io. Andao hiezaka hampiseho ny teny kaody amin'ny endrika lahatsoratra. Mahazo'shadowwolf'. Efa mahatsapa ny soritr'aretin'ny lycanthropy ve?
Andeha hojerentsika indray ny firafitry ny rakitra voakasika, fantatra izao ny fomba fiasan'ny locker:
- 02 00 00 00 - fomba fanafenana anarana;
- 58 00 00 00 – halavan'ny anaran'ny rakitra miafina sy base64;
- 40 00 00 00 – haben'ny lohatenin'ny nafindra.
Asongadina amin'ny loko mena sy mavo ny anarana miafina sy ny lohapejy nafindra.
vary. 10. Asongadina amin'ny loko mena ny anarana miafina, asongadina amin'ny loko mavo ny lohapejy nafindra.
Andeha isika hampitaha ireo anarana voafehina sy voahidy amin'ny fanehoana hexadecimal.
Firafitry ny angona voafafa:
- 78 B9 B8 2E - fako noforonin'ny utility (4 bytes);
- 0С 00 00 00 - halavan'ny anarana decrypted (12 bytes);
- Manaraka dia tonga ny tena anaran'ny rakitra sy ny padding misy aotra amin'ny halavan'ny sakana ilaina (padding).
vary. 11. IMG_4114 dia toa tsara kokoa.
III. Fehiny sy Fehiny
Miverina amin'ny voalohany. Tsy fantatsika hoe inona no nanosika ny mpanoratra ny Wulfric.Ransomware ary inona no tanjony. Mazava ho azy, ho an'ny mpampiasa mahazatra, ny vokatry ny asan'ny encryptor toy izany dia toa loza lehibe. Tsy misokatra ny rakitra. Lasa ny anarana rehetra. Raha tokony ho ny sary mahazatra, misy amboadia eo amin'ny efijery. Manery anao hamaky momba ny bitcoins izy ireo.
Marina fa tamin'ity indray mitoraka ity, teo ambanin'ny mody "encodeur mahatsiravina", dia nafenina ny fikasana maneso sy adala amin'ny fanaovana an-keriny, izay ampiasain'ny mpanafika ny programa efa vita ary mamela ny fanalahidy eo amin'ny sehatry ny heloka bevava.
Raha ny marina, momba ny fanalahidy. Tsy nanana script maloto na Trojan afaka manampy anay hahatakatra ny nitrangan'izany. pass.key – mbola tsy fantatra ny fomba isehoan'ilay rakitra amin'ny PC voan'ny aretina. Saingy, tsaroako, tao amin'ny fanamarihany ny mpanoratra dia nilaza ny maha-tokana ny tenimiafina. Noho izany, ny teny kaody ho an'ny decryption dia miavaka toy ny solon'anarana shadow wolf dia miavaka :)
Saingy, amboadia aloka, nahoana ary nahoana?
Source: www.habr.com