Понекогаш навистина сакате да погледнете во очите на некој пишувач на вируси и да прашате: зошто и зошто? Можеме самите да одговориме на прашањето „како“, но би било многу интересно да откриеме што размислувал овој или оној креатор на малициозен софтвер. Особено кога ќе наидеме на такви „бисери“.
Херојот на денешната статија е интересен пример за криптограф. Очигледно беше замислен како само уште еден „откуп“, но неговата техничка имплементација повеќе личи на нечија сурова шега. За оваа имплементација ќе зборуваме денес.
За жал, речиси е невозможно да се следи животниот циклус на овој енкодер - има премалку статистички податоци за него, бидејќи, за среќа, тој не стана широко распространет. Затоа, ќе го изоставиме потеклото, методите на инфекција и други референци. Ајде да зборуваме само за нашиот случај на средба со Wulfric Ransomware и како му помогнавме на корисникот да ги зачува неговите датотеки.
I. Како сето тоа започна
Луѓето кои биле жртви на ransomware често ја контактираат нашата антивирусна лабораторија. Ние обезбедуваме помош без оглед на тоа какви антивирусни производи имаат инсталирано. Овој пат нè контактираше лице чии датотеки беа погодени од непознат енкодер.
Добар ден Датотеките беа шифрирани на складиште на датотеки (samba4) со најавување без лозинка. Се сомневам дека инфекцијата дојде од компјутерот на ќерка ми (Windows 10 со стандардна заштита на Windows Defender). Компјутерот на ќерката после тоа не бил вклучен. Датотеките се шифрирани главно .jpg и .cr2. Продолжување на датотеката по шифрирање: .aef.
Добивме од корисникот примероци од шифрирани датотеки, белешка за откуп и датотека што веројатно е клучот што му бил потребен на авторот на откупот за да ги дешифрира датотеките.
Еве ги сите наши индиции:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Ајде да ја погледнеме белешката. Колку биткоини овој пат?
Превод:
Внимание, вашите датотеки се шифрирани!
Лозинката е единствена за вашиот компјутер.Платете го износот од 0.05 BTC на адресата на Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
По плаќањето, испратете ми е-пошта, приложувајќи ја датотеката pass.key на [заштитена по е-пошта] со известување за уплата.По потврдата, ќе ви испратам декриптор за датотеките.
Можете да платите за биткоини онлајн на различни начини:
— плаќање со банкарска картичка
За биткоинот:
Ако имате какви било прашања, пишете ми на [заштитена по е-пошта]
Како бонус, ќе ви кажам како е хакиран вашиот компјутер и како да го заштитите во иднина.
Претенциозен волк, дизајниран да и покаже на жртвата сериозноста на ситуацијата. Сепак, можеше да биде и полошо.
Ориз. 1. -Како бонус ќе ви кажам како да го заштитите вашиот компјутер во иднина. -Изгледа легално.
II. Ајде да почнеме
Пред сè, ја разгледавме структурата на испратениот примерок. Доволно чудно, тоа не личеше на датотека што е оштетена од откуп. Отворете го хексадецималниот уредник и погледнете. Првите 4 бајти ја содржат оригиналната големина на датотеката, следните 60 бајти се полни со нули. Но, најинтересното е на крајот:
Ориз. 2 Анализирајте ја оштетената датотека. Што веднаш ви паѓа во очи?
Сè се покажа како досадно едноставно: 0x40 бајти од заглавието беа преместени до крајот на датотеката. За да ги вратите податоците, едноставно вратете ги на почеток. Пристапот до датотеката е вратен, но името останува шифрирано, а работите стануваат покомплицирани со него.
Ориз. 3. Шифрираното име во Base64 изгледа како збир на знаци.
Ајде да се обидеме да го сфатиме помине.клуч, поднесена од корисникот. Во него гледаме низа од 162 бајти од ASCII знаци.
Ориз. 4. Оставени се 162 знаци на компјутерот на жртвата.
Ако погледнете внимателно, ќе забележите дека симболите се повторуваат со одредена фреквенција. Ова може да укаже на употреба на XOR, кој се карактеризира со повторувања, чија фреквенција зависи од должината на клучот. Откако ја поделивме низата на 6 знаци и XOR ја обложивме со некои варијанти на XOR секвенци, не постигнавме значаен резултат.
Ориз. 5. Видете ги константите кои се повторуваат во средината?
Решивме да гугламе константи, бидејќи да, и тоа е можно! И сите тие на крајот доведоа до еден алгоритам - Batch Encryption. По проучувањето на сценариото, стана јасно дека нашата линија не е ништо повеќе од резултат на нејзината работа. Треба да се спомене дека ова воопшто не е енкриптор, туку само енкодер кој ги заменува знаците со секвенци од 6 бајти. Нема клучеви или други тајни за вас :)
Ориз. 6. Парче од оригиналниот алгоритам од непознато авторство.
Алгоритмот не би функционирал како што треба ако не за еден детал:
Ориз. 7. Морфеј одобри.
Користејќи обратна замена, ја трансформираме низата од помине.клуч во текст од 27 знаци. Човечкиот (најверојатно) текст „asmodat“ заслужува посебно внимание.
Сл.8. USGFDG=7.
Google повторно ќе ни помогне. По мало пребарување, наоѓаме интересен проект на GitHub - Folder Locker, напишан во .Net и користејќи ја библиотеката 'asmodat' од друга Git сметка.
Ориз. 9. Интерфејс за шкафче на папка. Проверете дали има малициозен софтвер.
Алатката е енкриптор за Windows 7 и понова верзија, која се дистрибуира како отворен код. За време на шифрирањето, се користи лозинка, која е неопходна за последователно дешифрирање. Ви овозможува да работите и со поединечни датотеки и со цели директориуми.
Нејзината библиотека го користи Rijndael симетричниот алгоритам за шифрирање во CBC режим. Вреди да се одбележи дека големината на блокот беше избрана да биде 256 бита - за разлика од онаа усвоена во стандардот AES. Во вториот, големината е ограничена на 128 бита.
Нашиот клуч е генериран според стандардот PBKDF2. Во овој случај, лозинката е SHA-256 од низата внесена во алатката. Останува само да се најде оваа низа за да се генерира клучот за дешифрирање.
Па, да се вратиме на нашето веќе декодирано помине.клуч. Се сеќавате на таа линија со збир од броеви и текстот „асмодат“? Ајде да се обидеме да ги користиме првите 20 бајти од низата како лозинка за Folder Locker.
Види, работи! Се појави кодниот збор и сè беше дешифрирано совршено. Судејќи според знаците во лозинката, тоа е HEX претставување на одреден збор во ASCII. Ајде да се обидеме да го прикажеме кодниот збор во текстуална форма. добивамеволк сенка'. Веќе ги чувствувате симптомите на ликантропија?
Ајде уште еднаш да ја погледнеме структурата на засегнатата датотека, сега знаејќи како работи шкафчето:
- 02 00 00 00 – режим на шифрирање на името;
- 58 00 00 00 – должина на шифрираната и основната 64 кодирана име на датотека;
- 40 00 00 00 – големина на пренесеното заглавие.
Самото шифрирано име и пренесеното заглавие се означени со црвено и жолто, соодветно.
Ориз. 10. Шифрираното име е означено со црвено, пренесеното заглавие е означено со жолто.
Сега да ги споредиме шифрираните и дешифрираните имиња во хексадецималното претставување.
Структура на дешифрирани податоци:
- 78 B9 B8 2E – ѓубре создадено од алатката (4 бајти);
- 0С 00 00 00 – должина на дешифрираното име (12 бајти);
- Следно доаѓа вистинското име на датотеката и пополнување со нули до потребната должина на блокот (полнење).
Ориз. 11. IMG_4114 изгледа многу подобро.
III. Заклучоци и Заклучок
Назад на почетокот. Не знаеме што го мотивирало авторот на Wulfric.Ransomware и која цел ја следел. Се разбира, за просечниот корисник, резултатот од работата дури и на таков енкриптор ќе изгледа како голема катастрофа. Датотеките не се отвораат. Сите имиња ги нема. Наместо вообичаената слика, на екранот има волк. Ве принудуваат да читате за биткоини.
Навистина, овој пат, под маската на „страшен шифратор“, беше скриен таков смешен и глупав обид за изнуда, каде што напаѓачот користи готови програми и ги остава клучевите веднаш на местото на злосторството.
Патем, за клучевите. Немавме злонамерна скрипта или тројанец што може да ни помогне да разбереме како се случи ова. помине.клуч – механизмот со кој датотеката се појавува на заразен компјутер останува непознат. Но, се сеќавам, во својата белешка авторот ја спомна уникатноста на лозинката. Значи, кодниот збор за дешифрирање е уникатен колку што е единствено корисничкото име shadow wolf :)
А сепак, волк сенка, зошто и зошто?
Извор: www.habr.com