Wulfric Ransomware - एक ransomware जुन अवस्थित छैन

कहिलेकाहीँ तपाई वास्तवमै केहि भाइरस लेखकको आँखामा हेर्न चाहनुहुन्छ र सोध्न चाहनुहुन्छ: किन र किन? हामी आफैलाई "कसरी" प्रश्नको जवाफ दिन सक्छौं, तर यो वा त्यो मालवेयर सिर्जनाकर्ता के सोचिरहेको थियो भनेर पत्ता लगाउन धेरै रोचक हुनेछ। विशेष गरी जब हामी त्यस्ता "मोतीहरू" भेट्छौं।

आजको लेखको नायक क्रिप्टोग्राफरको एक रोचक उदाहरण हो। यो स्पष्ट रूपमा अर्को "ransomware" को रूपमा कल्पना गरिएको थियो, तर यसको प्राविधिक कार्यान्वयन कसैको क्रूर मजाक जस्तो देखिन्छ। हामी आज यो कार्यान्वयनको बारेमा कुरा गर्नेछौं।

दुर्भाग्यवश, यो एन्कोडरको जीवन चक्र ट्रेस गर्न लगभग असम्भव छ - यसमा धेरै थोरै तथ्याङ्कहरू छन्, किनकि, सौभाग्यवश, यो व्यापक भएको छैन। त्यसकारण, हामी उत्पत्ति, संक्रमणको विधि र अन्य सन्दर्भहरू छोड्नेछौं। हाम्रो भेटघाटको बारेमा मात्र कुरा गरौं Wulfric Ransomware र हामीले कसरी प्रयोगकर्तालाई उसको फाइलहरू बचत गर्न मद्दत गर्यौं।

I. यो सबै कसरी सुरु भयो

ransomware को शिकार भएका मानिसहरू अक्सर हाम्रो एन्टिभाइरस प्रयोगशालामा सम्पर्क गर्छन्। हामी तिनीहरूले कुन एन्टिभाइरस उत्पादनहरू स्थापना गरेका छन् वास्ता नगरी सहायता प्रदान गर्दछौं। यस पटक हामीलाई एक व्यक्तिद्वारा सम्पर्क गरियो जसको फाइलहरू अज्ञात एन्कोडरबाट प्रभावित भएका थिए।

शुभ दिउँसो फाइलहरू पासवर्डरहित लगइनको साथ फाइल भण्डारण (samba4) मा गुप्तिकरण गरिएको थियो। मलाई शंका छ कि संक्रमण मेरी छोरीको कम्प्युटरबाट आएको हो (विन्डोज १० मानक विन्डोज डिफेन्डर सुरक्षाको साथ)। त्यसपछि छोरीको कम्प्युटर अन गरेन । फाइलहरू मुख्य रूपमा .jpg र .cr10 इन्क्रिप्ट गरिएका छन्। एन्क्रिप्शन पछि फाइल विस्तार: .aef।

हामीले एन्क्रिप्टेड फाइलहरूको प्रयोगकर्ता नमूनाहरू, एक फिरौती नोट, र फाइलहरू डिक्रिप्ट गर्न आवश्यक पर्ने ransomware लेखकलाई आवश्यक पर्ने एउटा फाइलबाट प्राप्त गर्यौं।

यहाँ हाम्रा सबै सुरागहरू छन्:

• 01c.aef (4481K)
• hacked.jpg (254K)
• hacked.txt (0K)
• 04c.aef (6540K)
• pass.key (0K)

नोटमा एक नजर राखौं। यस पटक कति बिटक्वाइन?

अनुवाद:

ध्यान दिनुहोस्, तपाइँका फाइलहरू इन्क्रिप्टेड छन्!
पासवर्ड तपाइँको पीसी को लागी अद्वितीय छ।

बिटकोइन ठेगानामा ०.०५ BTC को रकम तिर्नुहोस्: 0.05ERtRjWAKyG1Edm2nKLLCzd9p8CjjdTiF
भुक्तानी पछि, मलाई pass.key फाइल संलग्न गर्दै इमेल पठाउनुहोस् [ईमेल सुरक्षित] भुक्तानीको सूचनाको साथ।

पुष्टि गरेपछि, म तपाईंलाई फाइलहरूको लागि डिक्रिप्टर पठाउनेछु।

तपाईं विभिन्न तरिकामा अनलाइन बिटकोइनहरूको लागि भुक्तान गर्न सक्नुहुन्छ:
buy.blockexplorer.com - बैंक कार्ड द्वारा भुक्तानी
www.buybitcoinworldwide.com
localbitcoins.net

Bitcoins को बारेमा:
en.wikipedia.org/wiki/Bitcoin
यदि तपाइँसँग कुनै प्रश्नहरू छन् भने, कृपया मलाई लेख्नुहोस् [ईमेल सुरक्षित]
बोनसको रूपमा, म तपाइँलाई तपाइँको कम्प्युटर कसरी ह्याक गरियो र भविष्यमा यसलाई कसरी सुरक्षित गर्ने भनेर बताउनेछु।

एक ढोंगी ब्वाँसो, पीडितलाई स्थितिको गम्भीरता देखाउन डिजाइन गरिएको। यद्यपि, यो अझ खराब हुन सक्छ।

चामल। 1. - बोनसको रूपमा, म तपाईंलाई भविष्यमा तपाईंको कम्प्युटर कसरी सुरक्षित गर्ने भनेर बताउनेछु। -सही जस्तो देखिन्छ।

II। सुरु गरौं

सबै भन्दा पहिले, हामीले पठाइएको नमूनाको संरचना हेर्यौं। अनौठो कुरा, यो ransomware द्वारा क्षतिग्रस्त भएको फाइल जस्तो देखिएन। हेक्साडेसिमल सम्पादक खोल्नुहोस् र एक नजर लिनुहोस्। पहिलो 4 बाइटहरूमा मूल फाइल साइज समावेश छ, अर्को 60 बाइटहरू शून्यले भरिएका छन्। तर सबैभन्दा रोचक कुरा अन्तमा छ:

चामल। २ क्षतिग्रस्त फाइलको विश्लेषण गर्नुहोस्। के तुरुन्तै तपाईंको आँखा समात्छ?

सबै कुरा कष्टकर रूपमा सरल भयो: हेडरबाट 0x40 बाइटहरू फाइलको अन्त्यमा सारियो। डाटा पुनर्स्थापना गर्न, यसलाई सुरुमा फर्काउनुहोस्। फाइलमा पहुँच पुनर्स्थापित गरिएको छ, तर नाम इन्क्रिप्टेड रहन्छ, र चीजहरू यससँग थप जटिल हुँदैछन्।

चामल। 3. Base64 मा इन्क्रिप्टेड नाम क्यारेक्टरहरूको रैम्बलिंग सेट जस्तो देखिन्छ।

यसलाई बाहिर निकाल्ने प्रयास गरौं pass.key, प्रयोगकर्ता द्वारा पेश। यसमा हामी ASCII क्यारेक्टरहरूको 162-बाइट अनुक्रम देख्छौं।

चामल। 4. पीडितको पीसीमा 162 वर्णहरू बाँकी छन्।

यदि तपाईंले नजिकबाट हेर्नुभयो भने, तपाईंले याद गर्नुहुनेछ कि प्रतीकहरू निश्चित आवृत्तिको साथ दोहोर्याइएको छ। यसले XOR को प्रयोगलाई संकेत गर्न सक्छ, जुन पुनरावृत्ति द्वारा विशेषता हो, जसको आवृत्ति कुञ्जी लम्बाइमा निर्भर गर्दछ। स्ट्रिङलाई ६ क्यारेक्टरमा विभाजन गरेर र XOR क्रमका केही भेरियन्टहरूसँग XORed गरेर, हामीले कुनै अर्थपूर्ण नतिजा हासिल गर्न सकेनौं।

चामल। 5. बीचमा दोहोरिने स्थिरांकहरू हेर्नुहोस्?

हामीले स्थिरताहरू गुगल गर्ने निर्णय गर्यौं, किनभने हो, यो पनि सम्भव छ! र ती सबैले अन्ततः एउटा एल्गोरिथ्ममा नेतृत्व गरे - ब्याच एन्क्रिप्शन। स्क्रिप्ट अध्ययन गरेपछि, यो स्पष्ट भयो कि हाम्रो लाइन यसको कामको नतिजा भन्दा बढी केहि छैन। यो उल्लेख गर्नुपर्दछ कि यो कुनै पनि एन्क्रिप्टर होइन, तर केवल एक एन्कोडर हो जसले क्यारेक्टरहरू 6-बाइट अनुक्रमहरूसँग बदल्छ। तपाईको लागि कुनै कुञ्जी वा अन्य गोप्य छैन :)

चामल। 6. अज्ञात लेखकत्व को मूल एल्गोरिदम को एक टुक्रा।

एल्गोरिदमले काम गर्दैन यदि यो एक विवरणको लागि होइन भने:

चामल। 7. मोर्फियस स्वीकृत।

उल्टो प्रतिस्थापन प्रयोग गरेर हामी स्ट्रिङलाई बाट रूपान्तरण गर्छौं pass.key 27 वर्णहरूको पाठमा। मानव (सम्भवतः) पाठ 'asmodat' विशेष ध्यानको योग्य छ।

चित्र ८। USGFDG=8।

गुगलले हामीलाई फेरि मद्दत गर्नेछ। थोरै खोजी पछि, हामीले GitHub - Folder Locker मा .Net मा लेखिएको र अर्को Git खाताबाट 'asmodat' पुस्तकालय प्रयोग गरेर एउटा रोचक परियोजना भेट्टायौं।

चामल। 9. फोल्डर लकर इन्टरफेस। मालवेयर जाँच गर्न निश्चित हुनुहोस्।

उपयोगिता विन्डोज 7 र माथिको लागि एक एन्क्रिप्टर हो, जुन खुला स्रोतको रूपमा वितरण गरिएको छ। एन्क्रिप्शनको समयमा, पासवर्ड प्रयोग गरिन्छ, जुन पछिको डिक्रिप्शनको लागि आवश्यक छ। तपाईंलाई व्यक्तिगत फाइलहरू र सम्पूर्ण डाइरेक्टरीहरूसँग काम गर्न अनुमति दिन्छ।

यसको पुस्तकालयले CBC मोडमा Rijndael सिमेट्रिक इन्क्रिप्शन एल्गोरिथ्म प्रयोग गर्दछ। यो उल्लेखनीय छ कि ब्लक साइज 256 बिट हुन रोजिएको थियो - AES मानक मा अपनाईएको विपरीत। पछिल्लो मा, आकार 128 बिट सीमित छ।

हाम्रो कुञ्जी PBKDF2 मानक अनुसार उत्पन्न हुन्छ। यस अवस्थामा, पासवर्ड युटिलिटीमा प्रविष्ट गरिएको स्ट्रिङबाट SHA-256 हो। डिक्रिप्शन कुञ्जी उत्पन्न गर्नका लागि यो स्ट्रिङ फेला पार्न बाँकी रहेको छ।

खैर, हाम्रो पहिले नै डिकोड गरिएकोमा फर्कौं pass.key। संख्याहरूको सेट र पाठ 'asmodat' भएको त्यो रेखा सम्झनुहोस्? फोल्डर लकरको लागि पासवर्डको रूपमा स्ट्रिङको पहिलो 20 बाइटहरू प्रयोग गर्ने प्रयास गरौं।

हेर्नुहोस्, यसले काम गर्छ! कोड शब्द आयो, र सबै कुरा पूर्ण रूपमा व्याख्या गरिएको थियो। पासवर्डमा क्यारेक्टरहरू द्वारा न्याय गर्दै, यो ASCII मा एक विशिष्ट शब्दको HEX प्रतिनिधित्व हो। पाठ फारममा कोड शब्द प्रदर्शन गर्ने प्रयास गरौं। हामीले पायौ 'shadowwolf'। पहिले नै lycanthropy को लक्षणहरू महसुस गर्दै हुनुहुन्छ?

अब लकरले कसरी काम गर्छ भनेर जान्दै, प्रभावित फाइलको संरचनामा अर्को नजर राखौं:

• 02 00 00 00 - नाम इन्क्रिप्शन मोड;
• 58 00 00 00 - एन्क्रिप्टेड र base64 एन्कोड गरिएको फाइल नामको लम्बाइ;
• 40 00 00 00 - स्थानान्तरण गरिएको हेडरको आकार।

इन्क्रिप्टेड नाम आफैं र स्थानान्तरण गरिएको हेडर क्रमशः रातो र पहेंलोमा हाइलाइट गरिएको छ।

चामल। 10. इन्क्रिप्टेड नाम रातोमा हाइलाइट गरिएको छ, हस्तान्तरण गरिएको हेडर पहेंलोमा हाइलाइट गरिएको छ।

अब हेक्साडेसिमल प्रतिनिधित्वमा एन्क्रिप्टेड र डिक्रिप्टेड नामहरू तुलना गरौं।

डिक्रिप्टेड डाटाको संरचना:

• 78 B9 B8 2E - उपयोगिता द्वारा बनाईएको फोहोर (4 बाइट्स);
• 0С 00 00 00 - डिक्रिप्टेड नामको लम्बाइ (१२ बाइट्स);
• अर्को आवश्यक ब्लक लम्बाइ (प्याडिङ) मा शून्यसँग वास्तविक फाइल नाम र प्याडिङ आउँछ।

चामल। 11. IMG_4114 धेरै राम्रो देखिन्छ।

III। निष्कर्ष र निष्कर्ष

सुरुमा फर्कनुहोस्। Wulfric.Ransomware को लेखकले के उत्प्रेरित गर्यो र उसले कुन लक्ष्य पछ्यायो हामीलाई थाहा छैन। निस्सन्देह, औसत प्रयोगकर्ताको लागि, यस्तो एन्क्रिप्टरको कामको नतिजा ठूलो आपदा जस्तो देखिन्छ। फाइलहरू खुल्दैनन्। सबै नाम हराएका छन् । सामान्य चित्रको सट्टा, स्क्रिनमा ब्वाँसो छ। तिनीहरूले तपाईंलाई बिटकोइनहरूको बारेमा पढ्न बाध्य पार्छन्।

साँचो, यस पटक, "भयानक एन्कोडर" को आडमा, लुकेको यस्तो हास्यास्पद र बेवकूफ प्रयास जबरजस्ती लुकाइएको थियो, जहाँ आक्रमणकारीले तयार-निर्मित कार्यक्रमहरू प्रयोग गर्दछ र कुञ्जीहरू अपराध स्थलमा छोड्छ।

खैर, कुञ्जीहरूको बारेमा। हामीसँग यो कसरी भयो भनेर बुझ्न मद्दत गर्न सक्ने खराब लिपि वा ट्रोजन थिएन। pass.key - संक्रमित पीसीमा फाइल प्रकट हुने संयन्त्र अज्ञात रहन्छ। तर, मलाई याद छ, उनको नोटमा लेखकले पासवर्डको विशिष्टता उल्लेख गरे। त्यसोभए, डिक्रिप्शनको लागि कोड शब्द प्रयोगकर्तानाम छाया ब्वाँसोको रूपमा अद्वितीय छ :)

र अझै, छाया ब्वाँसो, किन र किन?

स्रोत: www.habr.com