Kadang-kadang anda hanya mahu melihat ke dalam mata beberapa penulis virus dan bertanya: mengapa dan mengapa? Kami boleh menjawab soalan "bagaimana" sendiri, tetapi sangat menarik untuk mengetahui apa yang difikirkan oleh pencipta perisian hasad ini atau itu. Lebih-lebih lagi apabila kita terjumpa "mutiara" sebegitu.
Wira artikel hari ini ialah contoh yang menarik bagi seorang kriptografi. Ia nampaknya hanya dianggap sebagai "perisian tebusan" lain, tetapi pelaksanaan teknikalnya kelihatan lebih seperti jenaka kejam seseorang. Kami akan bercakap mengenai pelaksanaan ini hari ini.
Malangnya, hampir mustahil untuk mengesan kitaran hayat pengekod ini - terdapat terlalu sedikit statistik mengenainya, kerana, mujurlah, ia tidak menjadi meluas. Oleh itu, kami akan meninggalkan asal, kaedah jangkitan dan rujukan lain. Mari kita bercakap tentang kes pertemuan kita dengan Wulfric Ransomware dan cara kami membantu pengguna menyimpan failnya.
I. Bagaimana semuanya bermula
Orang yang telah menjadi mangsa perisian tebusan sering menghubungi makmal anti-virus kami. Kami memberikan bantuan tanpa mengira produk antivirus yang telah mereka pasang. Kali ini kami dihubungi oleh seseorang yang failnya terjejas oleh pengekod yang tidak dikenali.
Selamat petang Fail telah disulitkan pada storan fail (samba4) dengan log masuk tanpa kata laluan. Saya mengesyaki bahawa jangkitan itu datang daripada komputer anak perempuan saya (Windows 10 dengan perlindungan Windows Defender standard). Komputer anak perempuan itu tidak dihidupkan selepas itu. Fail disulitkan terutamanya .jpg dan .cr2. Sambungan fail selepas penyulitan: .aef.
Kami menerima daripada sampel pengguna fail yang disulitkan, nota tebusan dan fail yang berkemungkinan kunci yang diperlukan oleh pengarang ransomware untuk menyahsulit fail tersebut.
Berikut adalah semua petunjuk kami:
- 01c.aef (4481K)
- digodam.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- kunci pas (0K)
Mari kita lihat nota itu. Berapa banyak bitcoin kali ini?
Terjemahan:
Perhatian, fail anda disulitkan!
Kata laluan adalah unik untuk PC anda.Bayar jumlah 0.05 BTC ke alamat Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Selepas pembayaran, hantarkan saya e-mel, melampirkan fail pass.key ke [e-mel dilindungi] dengan pemberitahuan pembayaran.Selepas pengesahan, saya akan menghantar penyahsulit untuk fail tersebut.
Anda boleh membayar bitcoin dalam talian dengan cara yang berbeza:
β pembayaran melalui kad bank
Mengenai Bitcoin:
Jika anda mempunyai sebarang pertanyaan, sila tulis kepada saya di [e-mel dilindungi]
Sebagai bonus, saya akan memberitahu anda cara komputer anda digodam dan cara melindunginya pada masa hadapan.
Serigala berlagak, direka untuk menunjukkan kepada mangsa keseriusan keadaan. Walau bagaimanapun, ia mungkin lebih teruk.
nasi. 1. -Sebagai bonus, saya akan memberitahu anda bagaimana untuk melindungi komputer anda pada masa hadapan. β Nampak legit.
II. Mari kita mulakan
Pertama sekali, kami melihat struktur sampel yang dihantar. Anehnya, ia tidak kelihatan seperti fail yang telah dirosakkan oleh ransomware. Buka editor heksadesimal dan lihat. 4 bait pertama mengandungi saiz fail asal, 60 bait seterusnya diisi dengan sifar. Tetapi perkara yang paling menarik adalah pada akhirnya:
nasi. 2 Analisis fail yang rosak. Apa yang segera menarik perhatian anda?
Segala-galanya ternyata mudah menjengkelkan: 0x40 bait daripada pengepala telah dialihkan ke hujung fail. Untuk memulihkan data, hanya kembalikannya ke permulaan. Akses kepada fail telah dipulihkan, tetapi nama itu tetap disulitkan, dan perkara menjadi lebih rumit dengannya.
nasi. 3. Nama yang disulitkan dalam Base64 kelihatan seperti set aksara yang bertele-tele.
Mari cuba fikirkan pas.kunci, diserahkan oleh pengguna. Di dalamnya kita melihat urutan 162-bait aksara ASCII.
nasi. 4. Tinggal 162 aksara pada PC mangsa.
Jika anda melihat dengan teliti, anda akan melihat bahawa simbol diulang dengan frekuensi tertentu. Ini mungkin menunjukkan penggunaan XOR, yang dicirikan oleh pengulangan, kekerapannya bergantung pada panjang kunci. Setelah membahagikan rentetan kepada 6 aksara dan XORed dengan beberapa varian urutan XOR, kami tidak mencapai sebarang hasil yang bermakna.
nasi. 5. Lihat pemalar berulang di tengah?
Kami memutuskan untuk google pemalar, kerana ya, itu juga mungkin! Dan semuanya akhirnya membawa kepada satu algoritma - Penyulitan Kelompok. Selepas mengkaji skrip, ternyata bahawa baris kami tidak lebih daripada hasil kerjanya. Perlu dinyatakan bahawa ini bukan penyulitan sama sekali, tetapi hanya pengekod yang menggantikan aksara dengan urutan 6-bait. Tiada kunci atau rahsia lain untuk anda :)
nasi. 6. Sekeping algoritma asal kepengarangan yang tidak diketahui.
Algoritma tidak akan berfungsi sebagaimana mestinya jika bukan untuk satu perincian:
nasi. 7. Morpheus diluluskan.
Menggunakan penggantian terbalik kita mengubah rentetan daripada pas.kunci ke dalam teks sebanyak 27 aksara. Teks manusia (kemungkinan besar) 'asmodat' patut diberi perhatian khusus.
Rajah 8. USGFDG=7.
Google akan membantu kami sekali lagi. Selepas mencari sedikit, kami dapati projek menarik di GitHub - Folder Locker, ditulis dalam .Net dan menggunakan perpustakaan 'asmodat' daripada akaun Git yang lain.
nasi. 9. Antara muka Loker Folder. Pastikan anda menyemak perisian hasad.
Utiliti ialah penyulitan untuk Windows 7 dan lebih tinggi, yang diedarkan sebagai sumber terbuka. Semasa penyulitan, kata laluan digunakan, yang diperlukan untuk penyahsulitan seterusnya. Membolehkan anda bekerja dengan fail individu dan dengan keseluruhan direktori.
Pustakanya menggunakan algoritma penyulitan simetri Rijndael dalam mod CBC. Perlu diperhatikan bahawa saiz blok dipilih menjadi 256 bit - berbeza dengan yang diterima pakai dalam piawaian AES. Dalam yang terakhir, saiznya terhad kepada 128 bit.
Kunci kami dijana mengikut piawaian PBKDF2. Dalam kes ini, kata laluan ialah SHA-256 daripada rentetan yang dimasukkan dalam utiliti. Yang tinggal hanyalah mencari rentetan ini untuk menjana kunci penyahsulitan.
Baiklah, mari kembali kepada kami yang telah didekod pas.kunci. Ingat baris itu dengan set nombor dan teks 'asmodat'? Mari cuba gunakan 20 bait pertama rentetan sebagai kata laluan untuk Folder Locker.
Lihat, ia berkesan! Perkataan kod muncul, dan semuanya telah dihuraikan dengan sempurna. Berdasarkan aksara dalam kata laluan, ia adalah perwakilan HEX bagi perkataan tertentu dalam ASCII. Mari cuba paparkan perkataan kod dalam bentuk teks. Kita mendapatkan 'shadowwolf'. Sudah merasai gejala lycanthropy?
Mari kita lihat sekali lagi struktur fail yang terjejas, kini mengetahui cara loker berfungsi:
- 02 00 00 00 β mod penyulitan nama;
- 58 00 00 00 β panjang nama fail yang disulitkan dan dikodkan base64;
- 40 00 00 00 β saiz pengepala yang dipindahkan.
Nama yang disulitkan itu sendiri dan pengepala yang dipindahkan masing-masing diserlahkan dalam warna merah dan kuning.
nasi. 10. Nama yang disulitkan diserlahkan dengan warna merah, pengepala yang dipindahkan diserlahkan dengan warna kuning.
Sekarang mari kita bandingkan nama yang disulitkan dan dinyahsulit dalam perwakilan heksadesimal.
Struktur data yang dinyahsulit:
- 78 B9 B8 2E β sampah yang dicipta oleh utiliti (4 bait);
- 0Π‘ 00 00 00 β panjang nama yang dinyahsulit (12 bait);
- Seterusnya datang nama fail sebenar dan padding dengan sifar kepada panjang blok yang diperlukan (padding).
nasi. 11. IMG_4114 kelihatan lebih baik.
III. Kesimpulan dan Kesimpulan
Kembali ke permulaan. Kami tidak tahu apa yang mendorong pengarang Wulfric.Ransomware dan matlamat yang dia kejar. Sudah tentu, bagi pengguna biasa, hasil kerja penyulitan sedemikian akan kelihatan seperti bencana besar. Fail tidak dibuka. Semua nama hilang. Daripada gambar biasa, terdapat serigala di skrin. Mereka memaksa anda membaca tentang bitcoin.
Benar, kali ini, di bawah samaran "pengekod yang dahsyat," terdapat percubaan peras ugut yang tidak masuk akal dan bodoh, di mana penyerang menggunakan program siap pakai dan meninggalkan kunci tepat di tempat kejadian.
By the way, tentang kunci. Kami tidak mempunyai skrip berniat jahat atau Trojan yang boleh membantu kami memahami bagaimana perkara ini berlaku. pas.kunci β mekanisme yang mana fail muncul pada PC yang dijangkiti masih tidak diketahui. Tetapi, saya masih ingat, dalam catatannya penulis menyebut keunikan kata laluan. Jadi, perkataan kod untuk penyahsulitan adalah unik seperti nama pengguna shadow wolf adalah unik :)
Namun, serigala bayangan, mengapa dan mengapa?
Sumber: www.habr.com