Às vezes você realmente quer olhar nos olhos de algum criador de vírus e perguntar: por que e por quê? Podemos responder à pergunta “como” nós mesmos, mas seria muito interessante descobrir o que este ou aquele criador de malware estava pensando. Principalmente quando nos deparamos com tais “pérolas”.
O herói do artigo de hoje é um exemplo interessante de criptógrafo. Aparentemente foi concebido apenas como mais um “ransomware”, mas a sua implementação técnica parece mais uma piada cruel de alguém. Falaremos sobre essa implementação hoje.
Infelizmente, é quase impossível traçar o ciclo de vida deste codificador - existem poucas estatísticas sobre ele, pois, felizmente, não se generalizou. Portanto, deixaremos de fora a origem, métodos de infecção e outras referências. Vamos apenas falar sobre o nosso caso de encontro com Wulfric ransomware e como ajudamos o usuário a salvar seus arquivos.
I. Como tudo começou
Pessoas que foram vítimas de ransomware frequentemente entram em contato com nosso laboratório antivírus. Fornecemos assistência independentemente dos produtos antivírus instalados. Desta vez fomos contactados por uma pessoa cujos ficheiros foram afectados por um codificador desconhecido.
Boa tarde Os arquivos foram criptografados em um armazenamento de arquivos (samba4) com login sem senha. Suspeito que a infecção veio do computador da minha filha (Windows 10 com proteção padrão do Windows Defender). O computador da filha não ligou depois disso. Os arquivos são criptografados principalmente em .jpg e .cr2. Extensão do arquivo após criptografia: .aef.
Recebemos do usuário amostras de arquivos criptografados, uma nota de resgate e um arquivo que provavelmente é a chave que o autor do ransomware precisava para descriptografar os arquivos.
Aqui estão todas as nossas pistas:
- 01c.aef (4481K)
- hackeado.jpg (254K)
- hackeado.txt (0K)
- 04c.aef (6540K)
- senha.chave (0K)
Vamos dar uma olhada na nota. Quantos bitcoins desta vez?
Tradução:
Atenção, seus arquivos estão criptografados!
A senha é exclusiva do seu PC.Pague o valor de 0.05 BTC para o endereço Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Após o pagamento, envie-me um e-mail, anexando o arquivo pass.key para [email protegido] com notificação de pagamento.Após a confirmação, enviarei a você um descriptografador dos arquivos.
Você pode pagar por bitcoins online de diferentes maneiras:
— pagamento com cartão bancário
Sobre Bitcoins:
Se você tiver alguma dúvida, escreva para mim em [email protegido]
Como bônus, contarei como seu computador foi hackeado e como protegê-lo no futuro.
Um lobo pretensioso, pensado para mostrar à vítima a gravidade da situação. No entanto, poderia ter sido pior.
Arroz. 1. -Como bônus, direi como proteger seu computador no futuro. -Parece legítimo.
II. Vamos começar
Em primeiro lugar, analisamos a estrutura da amostra enviada. Curiosamente, não parecia um arquivo danificado por ransomware. Abra o editor hexadecimal e dê uma olhada. Os primeiros 4 bytes contêm o tamanho original do arquivo, os próximos 60 bytes são preenchidos com zeros. Mas o mais interessante está no final:
Arroz. 2 Analise o arquivo danificado. O que imediatamente chama sua atenção?
Tudo acabou sendo irritantemente simples: 0x40 bytes do cabeçalho foram movidos para o final do arquivo. Para restaurar os dados, basta retorná-los ao início. O acesso ao arquivo foi restaurado, mas o nome permanece criptografado e as coisas estão ficando mais complicadas.
Arroz. 3. O nome criptografado em Base64 parece um conjunto confuso de caracteres.
Vamos tentar descobrir senha.chave, enviado pelo usuário. Nele vemos uma sequência de 162 bytes de caracteres ASCII.
Arroz. 4. Restam 162 caracteres no PC da vítima.
Se você olhar atentamente, notará que os símbolos se repetem com certa frequência. Isso pode indicar o uso do XOR, que se caracteriza por repetições cuja frequência depende do comprimento da chave. Depois de dividir a string em 6 caracteres e fazer XOR com algumas variantes de sequências XOR, não obtivemos nenhum resultado significativo.
Arroz. 5. Vê as constantes repetidas no meio?
Decidimos pesquisar constantes no Google, porque sim, isso também é possível! E todos eles levaram a um algoritmo - criptografia em lote. Depois de estudar o roteiro, ficou claro que nossa linha nada mais é do que o resultado do seu trabalho. Deve-se mencionar que este não é um criptografador, mas apenas um codificador que substitui caracteres por sequências de 6 bytes. Sem chaves ou outros segredos para você :)
Arroz. 6. Um pedaço do algoritmo original de autoria desconhecida.
O algoritmo não funcionaria como deveria se não fosse por um detalhe:
Arroz. 7. Morfeu aprovou.
Usando a substituição reversa, transformamos a string de senha.chave em um texto de 27 caracteres. O texto humano (muito provavelmente) 'asmodat' merece atenção especial.
Figura 8. USGFDG=7.
O Google nos ajudará novamente. Depois de um pouco de pesquisa, encontramos um projeto interessante no GitHub - Folder Locker, escrito em .Net e usando a biblioteca 'asmodat' de outra conta Git.
Arroz. 9. Interface do armário de pastas. Certifique-se de verificar se há malware.
O utilitário é um criptografador para Windows 7 e superior, distribuído como código aberto. Durante a criptografia, é usada uma senha, necessária para a descriptografia posterior. Permite trabalhar tanto com arquivos individuais quanto com diretórios inteiros.
Sua biblioteca usa o algoritmo de criptografia simétrica Rijndael no modo CBC. Vale ressaltar que o tamanho do bloco foi escolhido para ser de 256 bits – em contraste com o adotado no padrão AES. Neste último, o tamanho é limitado a 128 bits.
Nossa chave é gerada de acordo com o padrão PBKDF2. Neste caso, a senha é SHA-256 da string inserida no utilitário. Resta encontrar essa string para gerar a chave de descriptografia.
Bem, vamos voltar ao nosso já decodificado senha.chave. Lembra daquela linha com um conjunto de números e o texto ‘asmodat’? Vamos tentar usar os primeiros 20 bytes da string como senha para o Folder Locker.
Olha, funciona! A palavra-código surgiu e tudo foi decifrado perfeitamente. A julgar pelos caracteres da senha, é uma representação HEX de uma palavra específica em ASCII. Vamos tentar exibir a palavra-código em formato de texto. Nós temos 'lobo das sombras'. Já está sentindo os sintomas da licantropia?
Vamos dar uma outra olhada na estrutura do arquivo afetado, agora sabendo como funciona o locker:
- 02 00 00 00 – modo de criptografia de nome;
- 58 00 00 00 – comprimento do nome do arquivo criptografado e codificado em base64;
- 40 00 00 00 – tamanho do cabeçalho transferido.
O próprio nome criptografado e o cabeçalho transferido são destacados em vermelho e amarelo, respectivamente.
Arroz. 10. O nome criptografado é destacado em vermelho, o cabeçalho transferido é destacado em amarelo.
Agora vamos comparar os nomes criptografados e descriptografados em representação hexadecimal.
Estrutura dos dados descriptografados:
- 78 B9 B8 2E – lixo criado pela concessionária (4 bytes);
- 0С 00 00 00 – comprimento do nome descriptografado (12 bytes);
- Em seguida, vem o nome real do arquivo e o preenchimento com zeros até o comprimento do bloco necessário (preenchimento).
Arroz. 11. IMG_4114 parece muito melhor.
III. Conclusões e Conclusão
De volta ao começo. Não sabemos o que motivou o autor do Wulfric.Ransomware e que objetivo ele perseguiu. É claro que, para o usuário médio, o resultado do trabalho de tal criptografador parecerá um grande desastre. Os arquivos não abrem. Todos os nomes desapareceram. Em vez da imagem habitual, há um lobo na tela. Eles forçam você a ler sobre bitcoins.
É verdade que desta vez, sob o disfarce de um “codificador terrível”, estava escondida uma tentativa tão ridícula e estúpida de extorsão, onde o invasor usa programas prontos e deixa as chaves na cena do crime.
A propósito, sobre as chaves. Não tínhamos um script malicioso ou Trojan que pudesse nos ajudar a entender como isso aconteceu. senha.chave – o mecanismo pelo qual o arquivo aparece em um PC infectado permanece desconhecido. Mas, lembro-me, em sua nota o autor mencionou a singularidade da senha. Portanto, a palavra-código para descriptografia é tão única quanto o nome de usuário shadow wolf é único :)
E ainda assim, lobo das sombras, por que e por quê?
Fonte: habr.com