Wulfric Ransomware - မရှိသော ransomware တစ်ခု

တခါတရံမှာ ဗိုင်းရပ်စ်စာရေးဆရာတချို့ရဲ့ မျက်လုံးတွေကို ကြည့်ပြီး မေးချင်တာက ဘာကြောင့်လဲ၊ ဘာကြောင့်လဲ။ ကျွန်ုပ်တို့သည် “မည်ကဲ့သို့” မေးခွန်းကို ကျွန်ုပ်တို့ဖြေဆိုနိုင်သည်၊ သို့သော် ၎င်း သို့မဟုတ် malware ဖန်တီးသူသည် မည်သို့တွေးနေသနည်းကို ရှာဖွေရန် အလွန်စိတ်ဝင်စားဖွယ်ကောင်းပါလိမ့်မည်။ အထူးသဖြင့် ဒီလို "ပုလဲ" တွေကို တွေ့တဲ့အခါ။

ယနေ့ဆောင်းပါး၏သူရဲကောင်းသည် cryptographer ၏စိတ်ဝင်စားစရာကောင်းသောဥပမာတစ်ခုဖြစ်သည်။ ၎င်းကို အခြား "ransomware" အဖြစ် ယူဆထားသော်လည်း ၎င်း၏ နည်းပညာပိုင်းဆိုင်ရာ အကောင်အထည်ဖော်မှုသည် တစ်စုံတစ်ဦး၏ ရက်စက်ကြမ်းကြုတ်သောဟာသနှင့် ပိုတူသည်။ ဒီနေ့ ဒီအကောင်အထည်ဖော်မှုအကြောင်း ပြောပါမယ်။

ကံမကောင်းစွာဖြင့်၊ ဤကုဒ်ပြောင်းကိရိယာ၏ ဘဝသံသရာကို ခြေရာခံရန် မဖြစ်နိုင်သလောက်ဖြစ်ပေသည် - ၎င်းတွင် ကိန်းဂဏန်းအနည်းငယ်များလွန်းသောကြောင့် ကံကောင်းထောက်မစွာ၊ ၎င်းသည် ကျယ်ကျယ်ပြန့်ပြန့် မဖြစ်သေးပါ။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် မူရင်း၊ ကူးစက်မှုနည်းလမ်းများနှင့် အခြားကိုးကားချက်များကို ချန်ထားခဲ့ပါမည်။ ငါတို့နဲ့တွေ့တဲ့ကိစ္စပဲ ပြောကြည့်ရအောင် Wulfric Ransomware အသုံးပြုသူကို သူ၏ဖိုင်များကို သိမ်းဆည်းရန် ကျွန်ုပ်တို့ မည်သို့ကူညီပေးခဲ့သနည်း။

I. အားလုံးဘယ်လိုစခဲ့လဲ။

ransomware ၏သားကောင်ဖြစ်ဖူးသူများသည် ကျွန်ုပ်တို့၏ဗိုင်းရပ်စ်နှိမ်နင်းရေးဓာတ်ခွဲခန်းသို့ မကြာခဏဆက်သွယ်ကြသည်။ ကျွန်ုပ်တို့သည် ၎င်းတို့ထည့်သွင်းထားသည့် ဗိုင်းရပ်စ်ပိုးသတ်ဆေးထုတ်ကုန်များကို မည်သို့ပင်အကူအညီပေးပါသည်။ ဤတစ်ကြိမ်တွင် အမည်မသိကုဒ်ပြောင်းကိရိယာတစ်ခုကြောင့် ဖိုင်များထိခိုက်ခံရသည့်သူတစ်ဦးမှ ကျွန်ုပ်တို့ထံ ဆက်သွယ်ခဲ့ပါသည်။

မင်္ဂလာနေ့လည်ခင်းပါ စကားဝှက်မဲ့ အကောင့်ဝင်ခြင်းဖြင့် ဖိုင်များကို ဖိုင်သိုလှောင်မှု (samba4) တွင် ကုဒ်ဝှက်ထားသည်။ ကျွန်ုပ်၏သမီး၏ကွန်ပြူတာမှကူးစက်မှု (Windows 10 စံ Windows Defender ကာကွယ်မှု) မှလာသည်ဟုကျွန်ုပ်သံသယရှိသည်။ အဲဒီနောက်ပိုင်း သမီးလေးရဲ့ ကွန်ပြူတာ မဖွင့်တော့ဘူး။ ဖိုင်များကို အဓိကအားဖြင့် .jpg နှင့် .cr2 ကုဒ်ဝှက်ထားသည်။ ကုဒ်ဝှက်ပြီးနောက် ဖိုင်တိုးချဲ့မှု- .aef။

ကုဒ်ဝှက်ထားသော ဖိုင်များ၊ ရွေးနုတ်ဖိုးမှတ်စုနှင့် ဖိုင်များကို ကုဒ်ကုဒ်ဝှက်ရန် လိုအပ်သော ransomware ရေးသားသူ၏ သော့ဖြစ်ဖွယ်ရှိသော ဖိုင်များ၏ အသုံးပြုသူနမူနာများမှ ကျွန်ုပ်တို့ ရရှိခဲ့ပါသည်။

ဤသည်မှာ ကျွန်ုပ်တို့၏ သဲလွန်စများ ဖြစ်သည်-

• 01c.aef (4481K)
• hacked.jpg (254K)
• hacked.txt (0K)
• 04c.aef (6540K)
• pass.key (0K)

မှတ်စုကို လေ့လာကြည့်ရအောင်။ ဒီတစ်ကြိမ်မှာ bitcoin ဘယ်လောက်လဲ။

ဘာသာပြန်ချက်:

သတိထားပါ၊ သင့်ဖိုင်များကို ကုဒ်ဝှက်ထားသည်။
စကားဝှက်သည် သင့် PC အတွက် သီးသန့်ဖြစ်သည်။

Bitcoin လိပ်စာသို့ 0.05 BTC ပမာဏကို ပေးချေပါ- 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
ငွေပေးချေပြီးနောက် pass.key ဖိုင်ကို ပူးတွဲ၍ အီးမေးလ်တစ်စောင် ပေးပို့ပါ။ [အီးမေးလ်ကိုကာကွယ်ထားသည်] ငွေပေးချေမှုအကြောင်းကြားစာနှင့်အတူ။

အတည်ပြုပြီးနောက်၊ ဖိုင်များအတွက် ကုဒ်ဝှက်ကိရိယာတစ်ခု သင့်ထံ ကျွန်ုပ်ပေးပို့ပါမည်။

Bitcoins များအတွက် အွန်လိုင်းတွင် မတူညီသောနည်းလမ်းများဖြင့် သင်ငွေပေးချေနိုင်ပါသည်။
buy.blockexplorer.com - ဘဏ်ကတ်ဖြင့် ငွေပေးချေခြင်း။
www.buybitcoinworldwide.com
localbitcoins.net

Bitcoins အကြောင်း-
en.wikipedia.org/wiki/Bitcoin
သင့်တွင်မေးခွန်းများရှိပါက ကျွန်ုပ်ထံသို့ စာရေးပါ။ [အီးမေးလ်ကိုကာကွယ်ထားသည်]
အပိုဆုအနေဖြင့် သင့်ကွန်ပျူတာကို ဟက်ခ်ခံရပုံနှင့် ၎င်းကို အနာဂတ်တွင် မည်သို့ကာကွယ်ရမည်ကို ပြောပြပါမည်။

သားကောင်အား အခြေအနေ၏ လေးနက်မှုကို ပြသရန် ဟန်ဆောင်ထားသော ဝံပုလွေတစ်ကောင်။ သို့သော် ပိုဆိုးသွားနိုင်သည်။

ထမင်း။ 1. - ဘောနပ်စ်အနေနဲ့ အနာဂတ်မှာ သင့်ကွန်ပြူတာကို ဘယ်လိုကာကွယ်ရမလဲဆိုတာ ပြောပြပါမယ်။ -တရားဝင်လို့ထင်ရပါတယ်။

II စလိုက်ကြစို့

ပထမဦးစွာ ကျွန်ုပ်တို့သည် ပေးပို့ထားသော နမူနာ၏ ဖွဲ့စည်းပုံကို ကြည့်ရှုခဲ့ပါသည်။ ထူးဆန်းသည်မှာ၊ ၎င်းသည် ransomware ကြောင့် ပျက်စီးသွားသော ဖိုင်နှင့် မတူပါ။ hexadecimal တည်းဖြတ်သူကိုဖွင့်ပြီး ကြည့်ရှုပါ။ ပထမ 4 bytes တွင် မူရင်းဖိုင်အရွယ်အစားပါရှိပြီး နောက် 60 bytes တွင် သုညနှင့် ပြည့်နေပါသည်။ ဒါပေမယ့် စိတ်ဝင်စားစရာအကောင်းဆုံးကတော့ အဆုံးမှာ

ထမင်း။ 2 ပျက်စီးနေသောဖိုင်ကို ပိုင်းခြားစိတ်ဖြာပါ။ ဘယ်အရာက ချက်ချင်း မျက်လုံးကို ဖမ်းတာလဲ။

အရာအားလုံးသည် စိတ်အနှောက်အယှက်ဖြစ်လောက်အောင် ရိုးရှင်းသွားသည်- ခေါင်းစီးမှ 0x40 bytes ကို ဖိုင်၏အဆုံးသို့ ရွှေ့ထားသည်။ ဒေတာကို ပြန်လည်ရယူရန်၊ ၎င်းကို အစမှ ပြန်စပါ။ ဖိုင်သို့ဝင်ရောက်ခွင့်ကို ပြန်လည်ရယူထားပြီးဖြစ်သော်လည်း အမည်ကို ကုဒ်ဝှက်ထားဆဲဖြစ်ပြီး ၎င်းနှင့်အရာများ ပိုမိုရှုပ်ထွေးလာသည်။

ထမင်း။ 3. Base64 တွင် ကုဒ်ဝှက်ထားသော အမည်သည် ပြေးလွှားနေသော ဇာတ်ကောင်အစုတစ်ခုနှင့် တူသည်။

အဖြေရှာကြည့်ရအောင် pass.keyအသုံးပြုသူမှ တင်ပြသည်။ ၎င်းတွင် ကျွန်ုပ်တို့သည် ASCII စာလုံးများ၏ 162-byte အစီအရီကိုတွေ့မြင်ရသည်။

ထမင်း။ 4. သားကောင်၏ PC တွင် စာလုံး 162 လုံးကျန်ခဲ့သည်။

အနီးကပ်ကြည့်လျှင် သင်္ကေတများသည် သတ်မှတ်ထားသော ကြိမ်နှုန်းဖြင့် ထပ်ခါထပ်ခါ ဖြစ်နေသည်ကို သတိပြုမိပါလိမ့်မည်။ ၎င်းသည် သော့အရှည်ပေါ်တွင်မူတည်သည့် အကြိမ်ရေကို ထပ်ခါတလဲလဲပြုလုပ်ခြင်းဖြင့် သွင်ပြင်လက္ခဏာဖြစ်သော XOR ကိုအသုံးပြုခြင်းကို ညွှန်ပြနိုင်သည်။ string ကို စာလုံး 6 လုံး ခွဲပြီး XOR ၏ အချို့သော မူကွဲများဖြင့် XOR ဖြင့် အဓိပ္ပါယ်ရှိသော ရလဒ်ကို ကျွန်ုပ်တို့ မရရှိခဲ့ပါ။

ထမင်း။ 5. အလယ်တွင် ထပ်ခါတလဲလဲကိန်းသေများကို ကြည့်ပါ။

ကျွန်ုပ်တို့သည် google constants ကိုသုံးရန် ဆုံးဖြတ်ခဲ့သည်၊ ဟုတ်တယ်၊ ဒါကလည်း ဖြစ်နိုင်လို့ပါ။ နောက်ဆုံးတွင် ၎င်းတို့အားလုံးသည် အယ်လဂိုရီသမ်တစ်ခုဖြစ်သည့် Batch Encryption ကို ဖြစ်ပေါ်စေခဲ့သည်။ ဇာတ်ညွှန်းကိုလေ့လာပြီးနောက်၊ ကျွန်ုပ်တို့၏လိုင်းသည် ၎င်း၏အလုပ်၏ရလဒ်ထက် ဘာမှမပိုကြောင်း ထင်ရှားလာသည်။ ၎င်းသည် ကုဒ်ဝှက်စနစ် လုံးဝမဟုတ်ပါ၊ သို့သော် 6-byte အစီအမံများဖြင့် ဇာတ်ကောင်များကို အစားထိုးသည့် ကုဒ်ဒါတစ်ခုသာဖြစ်ကြောင်း ဖော်ပြသင့်ပါသည်။ သင့်အတွက် သော့ သို့မဟုတ် အခြားလျှို့ဝှက်ချက်များ မရှိပါ :)

ထမင်း။ 6. အမည်မသိရေးသားသူ၏မူရင်း အယ်လဂိုရီသမ်၏အပိုင်းတစ်ခု။

အသေးစိတ်တစ်ခုအတွက်မဟုတ်ပါက algorithm သည် သင့်အနေဖြင့် အလုပ်မဖြစ်ပါ။

ထမင်း။ 7. Morpheus အတည်ပြုသည်။

ပြောင်းပြန်အစားထိုးခြင်းကို အသုံးပြု၍ ကျွန်ုပ်တို့သည် စာကြောင်းမှ အသွင်ပြောင်းသည်။ pass.key အက္ခရာ ၂၇ လုံးပါသော စာသားတစ်ခုသို့။ လူသား (ဖြစ်နိုင်ချေအများဆုံး) စာသား 'asmodat' သည် အထူးဂရုပြုထိုက်ပါသည်။

ပုံ။၈။ USGFDG=၇။

Google က ကျွန်ုပ်တို့ကို ထပ်မံကူညီပေးပါမည်။ အနည်းငယ်ရှာဖွေပြီးနောက်၊ .Net တွင်ရေးသားထားသော GitHub - Folder Locker တွင် စိတ်ဝင်စားဖွယ်ကောင်းသော ပရောဂျက်တစ်ခုကို ကျွန်ုပ်တို့တွေ့ရှိပြီး အခြား Git အကောင့်မှ 'asmodat' စာကြည့်တိုက်ကို အသုံးပြု၍ တွေ့ရှိပါသည်။

ထမင်း။ 9. Folder Locker မျက်နှာပြင်။ malware ရှိမရှိ သေချာစစ်ဆေးပါ။

အသုံးဝင်မှုသည် Windows 7 နှင့်အထက်အတွက် ကုဒ်ကုဒ်တစ်ခုဖြစ်ပြီး open source အဖြစ် ဖြန့်ဝေထားသည်။ ကုဒ်ဝှက်နေစဉ်အတွင်း၊ နောက်ဆက်တွဲစာဝှက်ခြင်းအတွက် လိုအပ်သော စကားဝှက်ကို အသုံးပြုပါသည်။ ဖိုင်တစ်ခုချင်းစီနှင့် လမ်းကြောင်းတစ်ခုလုံးနှင့် နှစ်ခုစလုံးကို လုပ်ဆောင်နိုင်စေပါသည်။

၎င်း၏စာကြည့်တိုက်သည် CBC မုဒ်တွင် Rijndael symmetric encryption algorithm ကိုအသုံးပြုသည်။ ဘလောက်အရွယ်အစားကို 256 bits အဖြစ်ရွေးချယ်ခဲ့သည် - AES စံနှုန်းနှင့် ဆန့်ကျင်ဘက်ဖြစ်သည်။ နောက်ပိုင်းတွင်၊ အရွယ်အစားကို 128 bits ကန့်သတ်ထားသည်။

ကျွန်ုပ်တို့၏သော့ကို PBKDF2 စံနှုန်းအတိုင်း ထုတ်ပေးပါသည်။ ဤကိစ္စတွင်၊ စကားဝှက်သည် utility တွင်ထည့်သွင်းထားသောစာကြောင်းမှ SHA-256 ဖြစ်သည်။ ကျန်ရှိနေသေးသည်မှာ ကုဒ်ဝှက်ခြင်းသော့ကို ထုတ်လုပ်ရန် ဤစာကြောင်းကို ရှာဖွေရန်ဖြစ်သည်။

ကောင်းပြီ၊ ငါတို့ ကုဒ်သုံးပြီးသားကို ပြန်သွားကြရအောင် pass.key. နံပါတ်အစုံနှင့် 'asmodat' ဟူသော စာသားပါသော စာကြောင်းကို သတိရပါ။ Folder Locker အတွက် စကားဝှက်တစ်ခုအနေနဲ့ string ရဲ့ ပထမ 20 bytes ကို သုံးကြည့်ရအောင်။

ကြည့်ပါ။ ကုဒ်စကားလုံးပေါ်လာပြီး အရာအားလုံးကို ပြီးပြည့်စုံစွာ ပုံဖော်နိုင်ခဲ့သည်။ စကားဝှက်ရှိ အက္ခရာများဖြင့် အကဲဖြတ်ပါက၊ ၎င်းသည် ASCII တွင် သီးခြားစကားလုံးတစ်လုံး၏ HEX ကိုယ်စားပြုမှုဖြစ်သည်။ ကုဒ်စကားလုံးကို စာသားပုံစံဖြင့် ပြသရန် ကြိုးစားကြပါစို့။ ငါတို့ရတယ်၊အရိပ်ဝံပုလွေ'။ lycanthropy ၏ လက္ခဏာများကို ခံစားပြီးပြီလား။

လော့ခ်ကာ ဘယ်လိုအလုပ်လုပ်လဲဆိုတာကို အခုပဲ ထိခိုက်စေတဲ့ ဖိုင်ရဲ့ ဖွဲ့စည်းပုံကို နောက်တစ်မျိုး လေ့လာကြည့်ကြရအောင်။

• 02 00 00 00 - အမည်ဝှက်စာဝှက်မုဒ်။
• 58 00 00 00 – ကုဒ်ဝှက်ထားသော နှင့် base64 ကုဒ်ဝှက်ထားသော ဖိုင်အမည်၏ အရှည်။
• 40 00 00 00 - လွှဲပြောင်းထားသော ခေါင်းစီးအရွယ်အစား။

ကုဒ်ဝှက်ထားသော အမည်ကိုယ်တိုင်နှင့် လွှဲပြောင်းထားသော ခေါင်းစီးကို အနီရောင်နှင့် အဝါရောင်ဖြင့် မီးမောင်းထိုးပြထားသည်။

ထမင်း။ 10. ကုဒ်ဝှက်ထားသောအမည်ကို အနီရောင်ဖြင့် မီးမောင်းထိုးပြထားပြီး လွှဲပြောင်းထားသော ခေါင်းစီးကို အဝါရောင်ဖြင့် မီးမောင်းထိုးပြထားသည်။

အခု ကုဒ်နံပါတ်နဲ့ ကုဒ်ဝှက်ထားတဲ့ နာမည်တွေကို ဆယ့်ခြောက်ခုမြောက် ကိုယ်စားပြုမှုမှာ နှိုင်းယှဉ်ကြည့်ရအောင်။

ကုဒ်ဝှက်ထားသော ဒေတာဖွဲ့စည်းပုံ-

• 78 B9 B8 2E – အသုံးဝင်ပုံ (4 bytes);
• 0C 00 00 00 - ကုဒ်ဝှက်ထားသောအမည်၏အရှည် (12 bytes);
• ထို့နောက် လိုအပ်သော ဘလောက်အရှည် (padding) သို့ သုညပါသော ဖိုင်အမည်နှင့် padding ကို ရောက်လာသည်။

ထမင်း။ 11. IMG_4114 က ပိုကောင်းပါတယ်။

III နိဂုံးနှင့် နိဂုံး

အစသို့ ပြန်သွားရန်။ Wulfric.Ransomware ရေးသားသူအား အဘယ်အရာက လှုံ့ဆော်ပေးခဲ့သနည်း နှင့် သူသည် မည်သည့်ပန်းတိုင်ကို အရောက်လှမ်းခဲ့သည်ကို ကျွန်ုပ်တို့ မသိပါ။ ဟုတ်ပါတယ်၊ ပျမ်းမျှအသုံးပြုသူအတွက်၊ ထိုသို့သော ကုဒ်ဝှက်စနစ်တစ်ခု၏ လုပ်ဆောင်မှု၏ရလဒ်သည် ကြီးမားသောဘေးဒုက္ခတစ်ခုလိုပင် ဖြစ်လိမ့်မည် ။ ဖိုင်များမဖွင့်ပါ။ နာမည်တွေ အကုန်ပျောက်ကုန်ပြီ။ သာမာန်ပုံတွေအစား မျက်နှာပြင်ပေါ်မှာ ဝံပုလွေတစ်ကောင်ရှိတယ်။ သူတို့ကသင့်ကို bitcoins အကြောင်းဖတ်ရန် အတင်းအကြပ်လုပ်သည်။

မှန်ပါသည်၊ ဤတစ်ကြိမ်တွင်၊ တိုက်ခိုက်သူသည် အသင့်လုပ်ပရိုဂရမ်များကို အသုံးပြုပြီး မှုခင်းအခင်းဖြစ်ပွားရာနေရာတွင် သော့များကို ချန်ထားခဲ့ရသည့် ရယ်စရာကောင်းပြီး မိုက်မဲသော ကြိုးပမ်းမှုတစ်ခုတွင်၊ ဤတစ်ကြိမ်တွင်၊

စကားမစပ် သော့တွေအကြောင်း။ ကျွန်ုပ်တို့တွင် ဤအရာဖြစ်ပျက်ပုံကို နားလည်ရန် ကူညီပေးနိုင်သည့် အန္တရာယ်ရှိသော ဇာတ်ညွှန်း သို့မဟုတ် Trojan မရှိပါ။ pass.key - ရောဂါပိုးရှိသော PC တွင်ဖိုင်ပေါ်လာသည့်ယန္တရားကိုမသိရသေးပါ။ ဒါပေမယ့် စာရေးသူက စကားဝှက်ရဲ့ ထူးခြားမှုကို ဖော်ပြခဲ့တာကို မှတ်သားဖူးပါတယ်။ ထို့ကြောင့်၊ အသုံးပြုသူအမည်အရိပ်ဝံပုလွေသည်ထူးခြားသကဲ့သို့၊ စာဝှက်ခြင်းအတွက်ကုဒ်စကားလုံးသည်ထူးခြားသည် :)

အရိပ်ဝံပုလွေ၊ အဘယ်ကြောင့်နည်း။

source: www.habr.com