Заримдаа та вирус зохиогчийн нүд рүү хараад: яагаад, яагаад? "Яаж" гэсэн асуултанд бид өөрсдөө хариулж болох ч энэ эсвэл бусад хортой програм бүтээгч юу бодож байгааг олж мэдэх нь маш сонирхолтой байх болно. Ялангуяа ийм “сувдтай” тааралддаг.
Өнөөдрийн нийтлэлийн баатар бол криптографийн сонирхолтой жишээ юм. Энэ нь зүгээр л нэг "зөвшөөрлийн програм" гэж бодож байсан бололтой, гэхдээ түүний техникийн хэрэгжилт нь хэн нэгний харгис хошигнол шиг харагдаж байна. Энэ хэрэгжилтийн талаар бид өнөөдөр ярих болно.
Харамсалтай нь, энэ кодлогчийн амьдралын мөчлөгийг хянах нь бараг боломжгүй юм - үүнтэй холбоотой статистик тоо маш цөөхөн байдаг, учир нь аз болоход энэ нь өргөн тархаагүй байна. Тиймээс бид гарал үүсэл, халдварын арга болон бусад лавлагааг орхих болно. Уулзсан тохиолдлынхоо тухай л ярья Wulfric Ransomware мөн хэрэглэгчдэд файлаа хадгалахад хэрхэн тусалсан талаар.
I. Энэ бүхэн хэрхэн эхэлсэн бэ
Ransomware-ийн хохирогч болсон хүмүүс манай вирусын эсрэг лабораторид байнга ханддаг. Тэд ямар вирусны эсрэг бүтээгдэхүүн суулгаснаас үл хамааран бид тусламж үзүүлдэг. Энэ удаад бидэнтэй холбогдож файлд нь үл мэдэгдэх кодлогч өртсөн.
Өдрийн мэнд Файлуудыг нууц үггүй нэвтрэх боломжтой файлын сан (samba4) дээр шифрлэсэн. Халдвар миний охины компьютерээс (Windows Defender стандарт хамгаалалттай Windows 10) ирсэн гэж би сэжиглэж байна. Үүний дараа охины компьютер асаагүй. Файлууд нь ихэвчлэн .jpg болон .cr2 шифрлэгдсэн байдаг. Шифрлэлтийн дараа файлын өргөтгөл: .aef.
Бид хэрэглэгчээс шифрлэгдсэн файлуудын дээж, золиослолын тэмдэглэл болон ransomware зохиогчийн файлуудын шифрийг тайлахад шаардлагатай түлхүүр байж болзошгүй файлыг хүлээн авсан.
Энд бидний бүх сэжүүр байна:
- 01c.aef (4481K)
- хакердсан.jpg (254К)
- хакердсан.txt (0К)
- 04c.aef (6540K)
- нэвтрэх түлхүүр (0К)
Тэмдэглэлийг харцгаая. Энэ удаад хичнээн биткойн байна вэ?
Орчуулга:
Анхаар, таны файлууд шифрлэгдсэн байна!
Нууц үг нь зөвхөн таны компьютерт зориулагдсан.0.05 BTC-ийн дүнг Bitcoin хаягаар төлнө үү: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Төлбөрийн дараа надад pass.key файлыг хавсаргасан имэйл илгээнэ үү [имэйлээр хамгаалагдсан] төлбөрийн мэдэгдлийн хамт.Баталгаажуулсны дараа би танд файлуудын шифрлэгчийг илгээх болно.
Та биткойныг онлайнаар янз бүрийн аргаар төлж болно.
- банкны картаар төлбөр хийх
Биткойны тухай:
Хэрэв танд асуулт байвал над руу бичнэ үү [имэйлээр хамгаалагдсан]
Урамшууллын хувьд би таны компьютерийг хэрхэн хакердсан, цаашид хэрхэн хамгаалах талаар танд хэлэх болно.
Хохирогчдод нөхцөл байдлын ноцтой байдлыг харуулах зорилготой дүр эсгэсэн чоно. Гэсэн хэдий ч энэ нь илүү муу байж болох юм.
Цагаан будаа. 1. -Урамшууллын хувьд ирээдүйд компьютерээ хэрхэн хамгаалах талаар танд хэлье. -Хууль ёсны юм шиг байна.
II. Эхэлцгээе
Юуны өмнө бид илгээсэн дээжийн бүтцийг авч үзсэн. Хачирхалтай нь, энэ нь ransomware гэмтсэн файл шиг харагдахгүй байв. Арван арван тоот засварлагчийг нээгээд харна уу. Эхний 4 байт нь анхны файлын хэмжээг агуулсан, дараагийн 60 байт нь тэгээр дүүрсэн байна. Гэхдээ хамгийн сонирхолтой нь төгсгөлд нь:
Цагаан будаа. 2 Гэмтсэн файлд дүн шинжилгээ хийх. Таны анхаарлыг юу шууд татдаг вэ?
Бүх зүйл ядаргаатай энгийн болж хувирав: толгой хэсгээс 0x40 байт файлын төгсгөлд шилжсэн. Өгөгдлийг сэргээхийн тулд зүгээр л эхэнд нь буцаана уу. Файлд хандах хандалтыг сэргээсэн боловч нэр нь шифрлэгдсэн хэвээр байгаа тул бүх зүйл улам төвөгтэй болж байна.
Цагаан будаа. 3. Base64 дээрх шифрлэгдсэн нэр нь эргэлдэж буй тэмдэгтүүд шиг харагдаж байна.
Үүнийг ойлгохыг хичээцгээе нэвтрүүлэх.түлхүүр, хэрэглэгчийн оруулсан. Үүн дээр бид ASCII тэмдэгтүүдийн 162 байт дарааллыг харж байна.
Цагаан будаа. 4. Хохирогчийн компьютер дээр 162 тэмдэгт үлдсэн.
Хэрэв та анхааралтай ажиглавал тэмдэгтүүд тодорхой давтамжтайгаар давтагдаж байгааг анзаарах болно. Энэ нь XOR-ийн хэрэглээг илэрхийлж болох бөгөөд энэ нь давталтаар тодорхойлогддог бөгөөд давтамж нь түлхүүрийн уртаас хамаардаг. Тэмдэгт мөрийг 6 тэмдэгт болгон хувааж, XOR дарааллын зарим хувилбаруудыг XOR болгосноор бид ямар ч утга учиртай үр дүнд хүрсэнгүй.
Цагаан будаа. 5. Дунд хэсэгт давтагдах тогтмолуудыг харна уу?
Бид Google-ийн тогтмол тоонуудыг хайхаар шийдсэн, учир нь тийм ээ, энэ нь бас боломжтой! Тэд бүгд эцэст нь нэг алгоритм руу хөтөлсөн - Багц шифрлэлт. Зохиолыг судалсны дараа манай шугам бол түүний ажлын үр дүнгээс өөр юу ч биш гэдэг нь тодорхой болсон. Энэ нь огт шифрлэгч биш, харин 6 байт дараалал бүхий тэмдэгтүүдийг орлуулдаг кодлогч гэдгийг дурдах хэрэгтэй. Танд түлхүүр эсвэл өөр нууц байхгүй :)
Цагаан будаа. 6. Үл мэдэгдэх зохиогчийн анхны алгоритмын хэсэг.
Хэрэв нэг нарийн ширийн зүйлийг заагаагүй бол алгоритм нь хэвийн ажиллахгүй.
Цагаан будаа. 7. Морфиус зөвшөөрөв.
Урвуу орлуулалтыг ашиглан бид мөрийг өөрчилдөг нэвтрүүлэх.түлхүүр 27 тэмдэгтээс бүрдсэн текст болгон. Хүний (хамгийн их магадлалтай) текст "asmodat" нь онцгой анхаарал хандуулах ёстой.
Зураг 8. USGFDG=7.
Google бидэнд дахин туслах болно. Жаахан хайсны эцэст бид GitHub дээр .Net дээр бичигдсэн, өөр Git дансны 'asmodat' номын санг ашигласан сонирхолтой төслийг оллоо.
Цагаан будаа. 9. Folder Locker интерфейс. Хортой програм байгаа эсэхийг шалгахаа мартуузай.
Энэхүү хэрэгсэл нь Windows 7 ба түүнээс дээш хувилбаруудад зориулсан шифрлэгч бөгөөд үүнийг нээлттэй эх хэлбэрээр түгээдэг. Шифрлэлтийн явцад нууц үгийг ашигладаг бөгөөд энэ нь дараагийн шифрлэлтийг тайлахад шаардлагатай байдаг. Тус тусад нь файлууд болон бүхэл бүтэн сангуудтай ажиллах боломжийг танд олгоно.
Түүний номын сан нь CBC горимд Rijndael тэгш хэмт шифрлэлтийн алгоритмыг ашигладаг. AES стандартад батлагдсан блокийн хэмжээнээс ялгаатай нь 256 бит байхаар сонгосон нь анхаарал татаж байна. Сүүлийнх нь хэмжээ нь 128 битээр хязгаарлагддаг.
Манай түлхүүрийг PBKDF2 стандартын дагуу үйлдвэрлэдэг. Энэ тохиолдолд нууц үг нь хэрэгсэлд оруулсан мөрийн SHA-256 байна. Шифр тайлах түлхүүрийг үүсгэхийн тулд энэ мөрийг олоход л үлдлээ.
За, аль хэдийн тайлагдсан зүйл рүүгээ буцъя нэвтрүүлэх.түлхүүр. Тоонууд болон "asmodat" гэсэн бичвэр бүхий мөрийг санаж байна уу? Мөрний эхний 20 байтыг Folder Locker-ийн нууц үг болгон ашиглахыг оролдъё.
Хараач, энэ ажиллаж байна! Код үг гарч ирээд бүх зүйлийг төгс тайлсан. Нууц үг дэх тэмдэгтүүдээс харахад энэ нь ASCII дахь тодорхой үгийн HEX дүрслэл юм. Код үгийг текст хэлбэрээр харуулахыг хичээцгээе. Бид авдаг'сүүдрийн чоно'. Ликантропийн шинж тэмдгийг аль хэдийн мэдэрч байна уу?
Нөлөөлөлд өртсөн файлын бүтцийг дахин харцгаая, одоо түгжигч хэрхэн ажилладагийг олж мэдье.
- 02 00 00 00 - нэрийг шифрлэх горим;
- 58 00 00 00 – шифрлэгдсэн болон base64 кодлогдсон файлын нэрний урт;
- 40 00 00 00 - шилжүүлсэн толгойн хэмжээ.
Шифрлэгдсэн нэр өөрөө болон шилжүүлсэн толгой хэсгийг улаан, шар өнгөөр тус тус тодруулсан.
Цагаан будаа. 10. Шифрлэгдсэн нэрийг улаанаар, шилжүүлсэн толгой хэсгийг шараар тодруулсан.
Одоо арван зургаан тоот дүрслэл дэх шифрлэгдсэн болон тайлагдсан нэрсийг харьцуулж үзье.
Шифрлэгдсэн өгөгдлийн бүтэц:
- 78 B9 B8 2E – хэрэгслийн үүсгэсэн хог хаягдал (4 байт);
- 0С 00 00 00 – шифрлэгдсэн нэрний урт (12 байт);
- Дараа нь файлын жинхэнэ нэр болон шаардлагатай блокийн уртыг тэгээр дүүргэсэн дэвсгэр (дуулгах) ирнэ.
Цагаан будаа. 11. IMG_4114 хамаагүй дээр харагдаж байна.
III. Дүгнэлт ба Дүгнэлт
Эхлэл рүү буцах. Wulfric.Ransomware-ийн зохиогчийг юу өдөөсөн, ямар зорилготой байсныг бид мэдэхгүй. Мэдээжийн хэрэг, энгийн хэрэглэгчийн хувьд ийм шифрлэгчийн ажлын үр дүн нь том гамшиг мэт санагдах болно. Файлууд нээгддэггүй. Бүх нэр алга болсон. Дэлгэц дээр ердийн зургийн оронд чоно байна. Тэд чамайг биткойны тухай уншихыг албаддаг.
Энэ удаад "аймшигтай кодлогч" нэрийн дор халдлага үйлдэгч бэлэн програм ашиглаж, хэргийн газарт түлхүүрээ үлдээдэг ийм инээдтэй, тэнэг оролдлого нуугдаж байсан нь үнэн.
Дашрамд хэлэхэд, түлхүүрүүдийн тухай. Энэ нь хэрхэн болсныг ойлгоход туслах хортой скрипт эсвэл троян бидэнд байгаагүй. нэвтрүүлэх.түлхүүр – Халдвар авсан компьютер дээр файл гарч ирэх механизм тодорхойгүй хэвээр байна. Гэхдээ зохиогч тэмдэглэлдээ нууц үгийн өвөрмөц байдлыг дурьдсаныг би санаж байна. Тиймээс, сүүдэр чоно хэрэглэгчийн нэр өвөрмөц байдаг шиг шифрийг тайлах код үг нь өвөрмөц юм :)
Гэсэн хэдий ч, сүүдрийн чоно, яагаад, яагаад?
Эх сурвалж: www.habr.com