Noen ganger vil du bare se inn i øynene til en virusskribent og spørre: hvorfor og hvorfor? Vi kan svare på spørsmålet "hvordan" selv, men det ville være veldig interessant å finne ut hva denne eller den skadevareskaperen tenkte. Spesielt når vi kommer over slike "perler".
Helten i dagens artikkel er et interessant eksempel på en kryptograf. Det ble tilsynelatende tenkt som bare en annen "ransomware", men dens tekniske implementering ser mer ut som noens grusomme spøk. Vi skal snakke om denne implementeringen i dag.
Dessverre er det nesten umulig å spore livssyklusen til denne koderen - det er for lite statistikk på den, siden den heldigvis ikke har blitt utbredt. Derfor vil vi utelate opprinnelsen, smittemetodene og andre referanser. La oss bare snakke om vår sak om møte med Wulfric Ransomware og hvordan vi hjalp brukeren med å lagre filene sine.
I. Hvordan det hele begynte
Folk som har vært ofre for løsepengevare tar ofte kontakt med vårt antiviruslaboratorium. Vi yter assistanse uavhengig av hvilke antivirusprodukter de har installert. Denne gangen ble vi kontaktet av en person hvis filer ble påvirket av en ukjent koder.
God ettermiddag Filer ble kryptert på et fillager (samba4) med passordløs pålogging. Jeg mistenker at infeksjonen kom fra min datters datamaskin (Windows 10 med standard Windows Defender-beskyttelse). Datterens datamaskin var ikke slått på etter det. Filene er kryptert hovedsakelig .jpg og .cr2. Filtype etter kryptering: .aef.
Vi mottok fra brukeren prøver av krypterte filer, en løsepengenotat og en fil som sannsynligvis er nøkkelen løsepengevareforfatteren trengte for å dekryptere filene.
Her er alle våre ledetråder:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
La oss ta en titt på notatet. Hvor mange bitcoins denne gangen?
Oversettelse:
OBS, filene dine er kryptert!
Passordet er unikt for din PC.Betal beløpet på 0.05 BTC til Bitcoin-adressen: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Etter betaling, send meg en e-post, legg ved pass.key-filen til [e-postbeskyttet] med melding om betaling.Etter bekreftelse vil jeg sende deg en dekryptering for filene.
Du kan betale for bitcoins online på forskjellige måter:
- betaling med bankkort
Om Bitcoins:
Hvis du har spørsmål, vennligst skriv til meg på [e-postbeskyttet]
Som en bonus vil jeg fortelle deg hvordan datamaskinen din ble hacket og hvordan du kan beskytte den i fremtiden.
En pretensiøs ulv, designet for å vise offeret alvoret i situasjonen. Det kunne imidlertid vært verre.
Ris. 1. -Som en bonus vil jeg fortelle deg hvordan du beskytter datamaskinen din i fremtiden. – Virker lovlig.
II. La oss komme i gang
Først av alt så vi på strukturen til den sendte prøven. Merkelig nok så det ikke ut som en fil som hadde blitt skadet av løsepengevare. Åpne den heksadesimale editoren og ta en titt. De første 4 bytene inneholder den opprinnelige filstørrelsen, de neste 60 bytene er fylt med nuller. Men det mest interessante er på slutten:
Ris. 2 Analyser den skadede filen. Hva fanger umiddelbart oppmerksomheten din?
Alt viste seg å være irriterende enkelt: 0x40 byte fra overskriften ble flyttet til slutten av filen. For å gjenopprette data, bare gå tilbake til begynnelsen. Tilgangen til filen er gjenopprettet, men navnet forblir kryptert, og ting blir mer komplisert med det.
Ris. 3. Det krypterte navnet i Base64 ser ut som et springende sett med tegn.
La oss prøve å finne ut av det pass.nøkkel, sendt inn av bruker. I den ser vi en 162-byte sekvens av ASCII-tegn.
Ris. 4. 162 tegn igjen på offerets PC.
Hvis du ser nøye etter, vil du legge merke til at symbolene gjentas med en viss frekvens. Dette kan indikere bruk av XOR, som er preget av repetisjoner, hvor hyppigheten avhenger av nøkkellengden. Etter å ha delt strengen i 6 tegn og XORed med noen varianter av XOR-sekvenser, oppnådde vi ikke noe meningsfullt resultat.
Ris. 5. Ser du de gjentatte konstantene i midten?
Vi bestemte oss for å google konstanter, for ja, det er også mulig! Og de førte til slutt til én algoritme - Batch Encryption. Etter å ha studert manuset, ble det klart at linjen vår ikke er noe annet enn resultatet av arbeidet. Det skal nevnes at dette ikke er en kryptering i det hele tatt, men bare en koder som erstatter tegn med 6-byte sekvenser. Ingen nøkler eller andre hemmeligheter for deg :)
Ris. 6. En del av den originale algoritmen for ukjent forfatterskap.
Algoritmen ville ikke fungert som den skulle hvis ikke for en detalj:
Ris. 7. Morpheus godkjent.
Ved å bruke omvendt substitusjon transformerer vi strengen fra pass.nøkkel til en tekst på 27 tegn. Den menneskelige (mest sannsynlig) teksten 'asmodat' fortjener spesiell oppmerksomhet.
Fig.8. USGFDG=7.
Google hjelper oss igjen. Etter litt leting finner vi et interessant prosjekt på GitHub - Folder Locker, skrevet i .Net og bruker 'asmodat'-biblioteket fra en annen Git-konto.
Ris. 9. Grensesnitt for mappeskap. Sørg for å se etter skadelig programvare.
Verktøyet er en kryptering for Windows 7 og høyere, som distribueres som åpen kildekode. Under kryptering brukes et passord, som er nødvendig for etterfølgende dekryptering. Lar deg jobbe både med individuelle filer og med hele kataloger.
Biblioteket bruker Rijndael symmetrisk krypteringsalgoritme i CBC-modus. Det er bemerkelsesverdig at blokkstørrelsen ble valgt til å være 256 biter - i motsetning til det som er tatt i bruk i AES-standarden. I sistnevnte er størrelsen begrenset til 128 biter.
Vår nøkkel er generert i henhold til PBKDF2-standarden. I dette tilfellet er passordet SHA-256 fra strengen som er angitt i verktøyet. Alt som gjenstår er å finne denne strengen for å generere dekrypteringsnøkkelen.
Vel, la oss gå tilbake til våre allerede dekodede pass.nøkkel. Husker du den linjen med et sett med tall og teksten 'asmodat'? La oss prøve å bruke de første 20 bytene av strengen som et passord for Folder Locker.
Se, det fungerer! Kodeordet kom opp, og alt ble dechiffrert perfekt. Etter tegnene i passordet å dømme, er det en HEX-representasjon av et spesifikt ord i ASCII. La oss prøve å vise kodeordet i tekstform. Vi får 'skyggeulv'. Føler du allerede symptomene på lykantropi?
La oss ta en ny titt på strukturen til den berørte filen, nå vet vi hvordan skapet fungerer:
- 02 00 00 00 – navnekrypteringsmodus;
- 58 00 00 00 – lengden på det krypterte og base64-kodede filnavnet;
- 40 00 00 00 – størrelsen på den overførte overskriften.
Selve det krypterte navnet og den overførte overskriften er uthevet i henholdsvis rødt og gult.
Ris. 10. Det krypterte navnet er uthevet i rødt, den overførte overskriften er uthevet i gult.
La oss nå sammenligne de krypterte og dekrypterte navnene i heksadesimal representasjon.
Struktur av dekrypterte data:
- 78 B9 B8 2E – søppel opprettet av verktøyet (4 byte);
- 0С 00 00 00 – lengden på det dekrypterte navnet (12 byte);
- Deretter kommer det faktiske filnavnet og utfylling med nuller til ønsket blokklengde (utfylling).
Ris. 11. IMG_4114 ser mye bedre ut.
III. Konklusjoner og konklusjon
Tilbake til begynnelsen. Vi vet ikke hva som motiverte forfatteren av Wulfric.Ransomware og hvilket mål han forfulgte. Selvfølgelig, for den gjennomsnittlige brukeren, vil resultatet av arbeidet til selv en slik kryptering virke som en stor katastrofe. Filer åpnes ikke. Alle navn er borte. I stedet for det vanlige bildet er det en ulv på skjermen. De tvinger deg til å lese om bitcoins.
Riktignok var det denne gangen, under dekke av en "forferdelig koder", skjult et så latterlig og dumt forsøk på utpressing, der angriperen bruker ferdige programmer og etterlater nøklene rett på åstedet.
Forresten, om nøklene. Vi hadde ikke et ondsinnet skript eller trojaner som kunne hjelpe oss å forstå hvordan dette skjedde. pass.nøkkel – mekanismen som filen vises med på en infisert PC forblir ukjent. Men jeg husker at forfatteren i notatet nevnte det unike med passordet. Så kodeordet for dekryptering er like unikt som brukernavnet shadow wolf er unikt :)
Og likevel, skyggeulv, hvorfor og hvorfor?
Kilde: www.habr.com