Xi drabi trid biss tħares f'għajnejn xi kittieb tal-virus u tistaqsi: għaliex u għaliex? Nistgħu nwieġbu l-mistoqsija "kif" aħna stess, iżda jkun interessanti ħafna li nsiru nafu x'kien qed jaħseb dan jew dak il-kreatur tal-malware. Speċjalment meta niltaqgħu ma '"perli" bħal dawn.
L-eroj tal-artiklu tal-lum huwa eżempju interessanti ta 'kriptografu. Jidher li kien maħsub bħala "ransomware" ieħor, iżda l-implimentazzjoni teknika tagħha tidher aktar qisha ċajta krudili ta 'xi ħadd. Illum nitkellmu dwar din l-implimentazzjoni.
Sfortunatament, huwa kważi impossibbli li jiġi rintraċċat iċ-ċiklu tal-ħajja ta 'dan l-encoder - hemm ftit wisq statistika dwaru, peress li, fortunatament, ma sarx mifrux. Għalhekk, se nħallu barra l-oriġini, il-metodi ta 'infezzjoni u referenzi oħra. Ejja nitkellmu biss dwar il-każ tagħna ta 'laqgħa Wulfric Ransomware u kif għen lill-utent isalva l-fajls tiegħu.
I. Kif beda kollox
Nies li kienu vittmi ta’ ransomware spiss jikkuntattjaw lill-laboratorju tagħna kontra l-virus. Aħna nipprovdu assistenza irrispettivament minn liema prodotti antivirus installaw. Din id-darba ġejna kkuntattjati minn persuna li l-fajls tagħha kienu affettwati minn encoder mhux magħruf.
Il-waranofsinhar it-tajjeb Fajls ġew encrypted fuq ħażna ta 'fajls (samba4) b'login mingħajr password. Nissuspetta li l-infezzjoni ġiet mill-kompjuter ta 'binti (Windows 10 bi protezzjoni standard Windows Defender). Il-kompjuter tat-tifla ma kienx mixgħul wara dak. Il-fajls huma encrypted prinċipalment .jpg u .cr2. Estensjoni tal-fajl wara l-encryption: .aef.
Irċevejna mingħand l-utent kampjuni ta’ fajls encrypted, nota ta’ fidwa, u fajl li x’aktarx huwa ċ-ċavetta li l-awtur tar-ransomware kellu bżonn biex jiddekrifra l-fajls.
Hawn huma l-indikazzjonijiet kollha tagħna:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Ejja nagħtu ħarsa lejn in-nota. Kemm bitcoins din id-darba?
Traduzzjoni:
Attenzjoni, il-fajls tiegħek huma kriptati!
Il-password hija unika għall-PC tiegħek.Ħlas l-ammont ta '0.05 BTC lill-indirizz Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Wara l-ħlas, ibgħatli email, tehmeż il-fajl pass.key ma' [protett bl-email] b'notifika ta' ħlas.Wara l-konferma, nibgħatlek decryptor għall-fajls.
Tista' tħallas għall-bitcoins online b'modi differenti:
— ħlas bil-kard tal-bank
Dwar Bitcoins:
Jekk għandek xi mistoqsijiet, jekk jogħġbok iktebli fuq [protett bl-email]
Bħala bonus, jien ngħidlek kif il-kompjuter tiegħek ġie hacked u kif tipproteġih fil-futur.
Lupu pretenzjuż, iddisinjat biex juri lill-vittma s-serjetà tas-sitwazzjoni. Madankollu, seta’ kien agħar.
Ross. 1. -Bħala bonus, ngħidlek kif tipproteġi l-kompjuter tiegħek fil-futur. -Jidher leġittimu.
II. Ejja nibdew
L-ewwelnett, ħares lejn l-istruttura tal-kampjun mibgħut. B'mod stramb, ma deherx qisu fajl li kien ġie mħassar minn ransomware. Iftaħ l-editur eżadeċimali u agħti ħarsa. L-ewwel 4 bytes fihom id-daqs tal-fajl oriġinali, is-60 bytes li jmiss huma mimlija b'żerijiet. Iżda l-iktar ħaġa interessanti hija fl-aħħar:
Ross. 2 Analizza l-fajl bil-ħsara. X'jiġbidlek għajnejk immedjatament?
Kollox irriżulta li kien tedjanti sempliċi: 0x40 bytes mill-header ġew imċaqalqa lejn l-aħħar tal-fajl. Biex tirrestawra d-data, sempliċiment ritornha għall-bidu. L-aċċess għall-fajl ġie rrestawrat, iżda l-isem jibqa 'kriptat, u l-affarijiet qed isiru aktar ikkumplikati miegħu.
Ross. 3. L-isem ikkodifikat f'Base64 jidher qisu sett ta' karattri imxerred.
Ejja nippruvaw insemmu pass.key, sottomess mill-utent. Fiha naraw sekwenza ta’ 162 byte ta’ karattri ASCII.
Ross. 4. 162 karattru fadal fuq il-PC tal-vittma.
Jekk tħares mill-qrib, tinduna li s-simboli huma ripetuti b'ċerta frekwenza. Dan jista 'jindika l-użu ta' XOR, li huwa kkaratterizzat minn repetizzjonijiet, li l-frekwenza tagħhom tiddependi mit-tul taċ-ċavetta. Wara li qassam is-sekwenza f'6 karattri u XORed b'xi varjanti ta 'sekwenzi XOR, ma ksibna l-ebda riżultat sinifikanti.
Ross. 5. Ara l-kostanti li jirrepetu fin-nofs?
Aħna ddeċidejna li niddejjaq il-kostanti, għax iva, dan huwa possibbli wkoll! U dawn kollha finalment wasslu għal algoritmu wieħed - Batch Encryption. Wara li studja l-iskrittura, deher ċar li l-linja tagħna mhi xejn aktar milli r-riżultat tax-xogħol tagħha. Ta’ min isemmi li dan m’hu encryptor xejn, iżda biss encoder li jissostitwixxi karattri b’sekwenzi ta’ 6 byte. L-ebda ċwievet jew sigrieti oħra għalik :)
Ross. 6. Biċċa mill-algoritmu oriġinali ta' awtur mhux magħruf.
L-algoritmu ma jaħdimx kif suppost kieku mhux għal dettall wieħed:
Ross. 7. Morpheus approvat.
Bl-użu tas-sostituzzjoni inversa nittrasformaw is-sekwenza minn pass.key f’test ta’ 27 karattru. It-test uman (x'aktarx) 'asmodat' jistħoqqlu attenzjoni speċjali.
Fig.8. USGFDG=7.
Google jerġa' jgħinna. Wara ftit tiftix, insibu proġett interessanti fuq GitHub - Folder Locker, miktub f'.Net u bl-użu tal-librerija 'asmodat' minn kont Git ieħor.
Ross. 9. Folder Locker interface. Kun żgur li tiċċekkja għal malware.
L-utilità hija encryptor għall-Windows 7 u ogħla, li huwa mqassam bħala sors miftuħ. Waqt l-encryption, tintuża password, li hija meħtieġa għad-decryption sussegwenti. Jippermettilek taħdem kemm b'fajls individwali kif ukoll b'direttorji sħaħ.
Il-librerija tagħha tuża l-algoritmu tal-kriptaġġ simetriku Rijndael fil-modalità CBC. Ta 'min jinnota li d-daqs tal-blokk intgħażel biex ikun ta' 256 bit - b'kuntrast ma 'dak adottat fl-istandard AES. F'dan tal-aħħar, id-daqs huwa limitat għal 128 bit.
Iċ-ċavetta tagħna hija ġġenerata skont l-istandard PBKDF2. F'dan il-każ, il-password hija SHA-256 mis-sekwenza mdaħħla fl-utilità. Li jibqa 'huwa li ssib din is-sekwenza biex tiġġenera ċ-ċavetta tad-decryption.
Ukoll, ejja nerġgħu lura għal tagħna diġà dekodifikat pass.key. Ftakar dik il-linja b'sett ta' numri u t-test 'asmodat'? Ejja nippruvaw nużaw l-ewwel 20 bytes tas-sekwenza bħala password għal Folder Locker.
Ara, taħdem! Il-kelma tal-kodiċi ħarġet, u kollox ġie deċifrat perfettament. Ġġudikati mill-karattri fil-password, hija rappreżentazzjoni HEX ta 'kelma speċifika fl-ASCII. Ejja nippruvaw nuru l-kelma tal-kodiċi f'forma ta 'test. Ikollna 'shadowwolf'. Diġà qed tħoss is-sintomi tal-lycanthropy?
Ejja nagħtu ħarsa oħra lejn l-istruttura tal-fajl affettwat, issa nafu kif jaħdem il-locker:
- 02 00 00 00 – mod ta' kriptaġġ tal-isem;
- 58 00 00 00 – it-tul tal-isem tal-fajl encrypted u kodifikat base64;
- 40 00 00 00 – daqs tal-header trasferit.
L-isem kriptat innifsu u l-header trasferit huma enfasizzati bl-aħmar u isfar, rispettivament.
Ross. 10. L-isem kriptat huwa enfasizzat bl-aħmar, l-intestatura trasferita hija enfasizzata bl-isfar.
Issa ejja nqabblu l-ismijiet encrypted u decrypted f'rappreżentazzjoni eżadeċimali.
Struttura tad-dejta decrypted:
- 78 B9 B8 2E – żibel maħluq mill-utilità (4 bytes);
- 0С 00 00 00 – it-tul tal-isem decrypted (12 bytes);
- Sussegwentement jiġi l-isem attwali tal-fajl u l-ikkuttunar b'żeri għat-tul tal-blokk meħtieġ (ikkuttunar).
Ross. 11. IMG_4114 jidher ħafna aħjar.
III. Konklużjonijiet u Konklużjoni
Lura għall-bidu. Ma nafux x'motivat lill-awtur ta 'Wulfric.Ransomware u liema għan segwiet. Naturalment, għall-utent medju, ir-riżultat tax-xogħol ta 'anke tali encryptor se jidher bħala diżastru kbir. Il-fajls ma jinfetħux. L-ismijiet kollha spiċċaw. Minflok l-istampa tas-soltu, hemm lupu fuq l-iskrin. Huma jġiegħlek taqra dwar il-bitcoins.
Veru, din id-darba, taħt l-iskuża ta '"kodifikatur terribbli," kien hemm moħbi tali attentat redikoli u stupidi ta' estorsjoni, fejn l-attakkant juża programmi lesti u jħalli ċ-ċwievet eżatt fuq il-post tad-delitt.
Mill-mod, dwar iċ-ċwievet. Ma kellniex skript malizzjuż jew Trojan li jista 'jgħinna nifhmu kif ġara dan. pass.key – il-mekkaniżmu li bih il-fajl jidher fuq PC infettat għadu mhux magħruf. Imma, niftakar, fin-nota tiegħu l-awtur semma l-uniċità tal-password. Allura, il-kelma tal-kodiċi għad-dekriptaġġ hija unika daqs kemm hu uniku l-username shadow wolf :)
U madankollu, dell lupu, għaliex u għaliex?
Sors: www.habr.com