Czasami naprawdę chcesz spojrzeć w oczy twórcy wirusów i zadać sobie pytanie: dlaczego i dlaczego? Możemy sami odpowiedzieć na pytanie „jak”, ale bardzo interesujące byłoby dowiedzieć się, co myślał ten czy inny twórca szkodliwego oprogramowania. Zwłaszcza, gdy natrafiamy na takie „perły”.
Bohater dzisiejszego artykułu jest ciekawym przykładem kryptografa. Najwyraźniej został pomyślany jako kolejne „oprogramowanie ransomware”, ale jego techniczna implementacja wygląda bardziej na czyjś okrutny żart. Dzisiaj porozmawiamy o tej implementacji.
Niestety prześledzenie cyklu życia tego kodera jest prawie niemożliwe - jest na jego temat zbyt mało statystyk, ponieważ na szczęście nie rozpowszechnił się. Dlatego pominiemy pochodzenie, metody infekcji i inne odniesienia. Porozmawiajmy tylko o naszym przypadku spotkania z Ransomware Wulfric i jak pomogliśmy użytkownikowi zapisać jego pliki.
I. Jak to się wszystko zaczęło
Osoby, które stały się ofiarami oprogramowania ransomware, często kontaktują się z naszym laboratorium antywirusowym. Zapewniamy pomoc niezależnie od zainstalowanych produktów antywirusowych. Tym razem skontaktowała się z nami osoba, której pliki zostały dotknięte przez nieznany koder.
Dzień dobry Pliki zostały zaszyfrowane w magazynie plików (samba4) przy logowaniu bez hasła. Podejrzewam, że infekcja pochodzi z komputera mojej córki (Windows 10 ze standardową ochroną Windows Defender). Komputer córki nie został później włączony. Pliki są szyfrowane głównie w formacie .jpg i .cr2. Rozszerzenie pliku po zaszyfrowaniu: .aef.
Otrzymaliśmy od użytkownika próbki zaszyfrowanych plików, żądanie okupu i plik będący prawdopodobnie kluczem, którego autor oprogramowania ransomware potrzebował do odszyfrowania plików.
Oto wszystkie nasze wskazówki:
- 01c.aef (4481K)
- zhakowany.jpg (254K)
- zhakowany.txt (0K)
- 04c.aef (6540K)
- klucz-hasło (0K)
Przyjrzyjmy się notatce. Ile bitcoinów tym razem?
Tłumaczenie:
Uwaga, Twoje pliki są zaszyfrowane!
Hasło jest unikalne dla Twojego komputera.Wpłać kwotę 0.05 BTC na adres Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Po dokonaniu płatności wyślij mi e-mail, załączając plik pass.key [email chroniony] z powiadomieniem o płatności.Po potwierdzeniu wyślę Ci deszyfrator plików.
Za bitcoiny online możesz płacić na różne sposoby:
— płatność kartą bankową
O Bitcoinach:
Jeśli masz jakieś pytania, napisz do mnie na adres [email chroniony]
Jako bonus opowiem Ci jak włamano się do Twojego komputera i jak go zabezpieczyć na przyszłość.
Pretensjonalny wilk, mający na celu pokazać ofierze powagę sytuacji. Mogło być jednak gorzej.
Ryż. 1. - Jako bonus podpowiem Ci jak zabezpieczyć swój komputer w przyszłości. –Wydaje się legalne.
II. Zacznijmy
Przede wszystkim przyjrzeliśmy się strukturze przesłanej próbki. Co dziwne, nie wyglądał on na plik uszkodzony przez oprogramowanie ransomware. Otwórz edytor szesnastkowy i spójrz. Pierwsze 4 bajty zawierają oryginalny rozmiar pliku, kolejne 60 bajtów jest wypełnionych zerami. Ale najciekawsze jest na końcu:
Ryż. 2 Przeanalizuj uszkodzony plik. Co od razu rzuca się w oczy?
Wszystko okazało się irytująco proste: 0x40 bajtów z nagłówka zostało przeniesionych na koniec pliku. Aby przywrócić dane, po prostu wróć do początku. Dostęp do pliku został przywrócony, ale nazwa pozostaje zaszyfrowana, a sprawy stają się coraz bardziej skomplikowane.
Ryż. 3. Zaszyfrowana nazwa w Base64 wygląda jak chaotyczny zestaw znaków.
Spróbujmy to rozgryźć klucz uniwersalny, przesłane przez użytkownika. Widzimy w nim 162-bajtową sekwencję znaków ASCII.
Ryż. 4. Na komputerze ofiary pozostało 162 znaków.
Jeśli przyjrzysz się uważnie, zauważysz, że symbole powtarzają się z określoną częstotliwością. Może to wskazywać na zastosowanie XOR, który charakteryzuje się powtórzeniami, których częstotliwość zależy od długości klucza. Po podzieleniu ciągu na 6 znaków i wykonaniu XOR z niektórymi wariantami sekwencji XOR nie osiągnęliśmy żadnego znaczącego wyniku.
Ryż. 5. Widzisz powtarzające się stałe w środku?
Postanowiliśmy sprawdzić w Google stałe, bo tak, to też jest możliwe! Wszystkie ostatecznie doprowadziły do jednego algorytmu – szyfrowania wsadowego. Po przestudiowaniu scenariusza stało się jasne, że nasza linia to nic innego jak wynik jego pracy. Należy wspomnieć, że nie jest to wcale szyfrator, a po prostu koder, który zastępuje znaki ciągami 6-bajtowymi. Żadnych kluczy i innych tajemnic dla Ciebie :)
Ryż. 6. Fragment oryginalnego algorytmu nieznanego autorstwa.
Algorytm nie działałby tak jak powinien, gdyby nie jeden szczegół:
Ryż. 7. Morfeusz zatwierdził.
Używając odwrotnego podstawienia, przekształcamy ciąg znaków klucz uniwersalny w tekście o długości 27 znaków. Na szczególną uwagę zasługuje ludzki (najprawdopodobniej) tekst „asmodat”.
Ryc.8. USGFDG=7.
Google pomoże nam ponownie. Po krótkich poszukiwaniach znajdujemy ciekawy projekt na GitHubie - Folder Locker, napisany w .Net i korzystający z biblioteki „asmodat” z innego konta Git.
Ryż. 9. Interfejs folderu Locker. Pamiętaj, aby sprawdzić, czy nie ma złośliwego oprogramowania.
Narzędzie to jest narzędziem szyfrującym dla systemu Windows 7 i nowszych wersji, które jest rozpowszechniane jako oprogramowanie typu open source. Podczas szyfrowania wykorzystywane jest hasło, które jest niezbędne do późniejszego odszyfrowania. Umożliwia pracę zarówno z pojedynczymi plikami, jak i całymi katalogami.
Jego biblioteka wykorzystuje algorytm szyfrowania symetrycznego Rijndael w trybie CBC. Warto zauważyć, że rozmiar bloku został wybrany na 256 bitów – w przeciwieństwie do tego przyjętego w standardzie AES. W tym ostatnim rozmiar jest ograniczony do 128 bitów.
Nasz klucz generowany jest zgodnie ze standardem PBKDF2. W tym przypadku hasło to SHA-256 z ciągu wprowadzonego w narzędziu. Pozostaje tylko znaleźć ten ciąg, aby wygenerować klucz deszyfrujący.
Cóż, wróćmy do naszego już rozszyfrowanego klucz uniwersalny. Pamiętasz tę linię z zestawem liczb i tekstem „asmodat”? Spróbujmy użyć pierwszych 20 bajtów ciągu jako hasła do Folder Locker.
Spójrz, to działa! Pojawiło się słowo kodowe i wszystko zostało doskonale rozszyfrowane. Sądząc po znakach hasła, jest to szesnastkowa reprezentacja określonego słowa w kodzie ASCII. Spróbujmy wyświetlić słowo kodowe w formie tekstowej. Dostajemy 'cienisty Wilk'. Czujesz już objawy likantropii?
Przyjrzyjmy się jeszcze raz strukturze pliku, którego dotyczy problem, wiedząc już, jak działa szafka:
- 02 00 00 00 – tryb szyfrowania nazwy;
- 58 00 00 00 – długość zaszyfrowanej i zakodowanej w base64 nazwy pliku;
- 40 00 00 00 – rozmiar przesyłanego nagłówka.
Sama zaszyfrowana nazwa i przesłany nagłówek są podświetlone odpowiednio na czerwono i żółto.
Ryż. 10. Zaszyfrowana nazwa jest podświetlona na czerwono, przesłany nagłówek jest podświetlony na żółto.
Porównajmy teraz zaszyfrowane i odszyfrowane nazwy w reprezentacji szesnastkowej.
Struktura odszyfrowanych danych:
- 78 B9 B8 2E – śmieci utworzone przez narzędzie (4 bajty);
- 0С 00 00 00 – długość odszyfrowanej nazwy (12 bajtów);
- Następnie następuje rzeczywista nazwa pliku i dopełnienie zerami do wymaganej długości bloku (dopełnienie).
Ryż. 11. IMG_4114 wygląda znacznie lepiej.
III. Wnioski i wnioski
Powrót do początku. Nie wiemy, co motywowało autora Wulfric.Ransomware i jaki cel mu przyświecał. Oczywiście dla przeciętnego użytkownika wynik pracy nawet takiego szyfratora będzie wydawał się wielką katastrofą. Pliki nie otwierają się. Wszystkie imiona zniknęły. Zamiast zwykłego obrazka na ekranie pojawia się wilk. Zmuszają Cię do przeczytania o bitcoinach.
To prawda, że tym razem pod przykrywką „strasznego kodera” ukryta była tak absurdalna i głupia próba wymuszenia, podczas której napastnik korzysta z gotowych programów i zostawia klucze bezpośrednio na miejscu zbrodni.
Nawiasem mówiąc, o kluczach. Nie mieliśmy złośliwego skryptu ani trojana, który mógłby pomóc nam zrozumieć, jak to się stało. klucz uniwersalny – mechanizm pojawienia się pliku na zainfekowanym komputerze pozostaje nieznany. Ale pamiętam, że w swojej notatce autor wspomniał o wyjątkowości hasła. Zatem słowo kodowe do odszyfrowania jest tak samo unikalne, jak nazwa użytkownika Shadow Wolf jest wyjątkowa :)
A jednak, wilku cieniu, dlaczego i dlaczego?
Źródło: www.habr.com