Uneori chiar vrei să te uiți în ochii unui scriitor de viruși și să întrebi: de ce și de ce? Putem răspunde noi înșine la întrebarea „cum”, dar ar fi foarte interesant să aflăm la ce se gândea acest sau acel creator de malware. Mai ales când întâlnim astfel de „perle”.
Eroul articolului de astăzi este un exemplu interesant de criptograf. Se pare că a fost conceput doar ca un alt „ransomware”, dar implementarea sa tehnică seamănă mai mult cu gluma crudă a cuiva. Despre această implementare vom vorbi astăzi.
Din păcate, este aproape imposibil să urmăriți ciclul de viață al acestui codificator - există prea puține statistici despre el, deoarece, din fericire, nu a devenit larg răspândit. Prin urmare, vom omite originea, metodele de infectare și alte referințe. Să vorbim doar despre cazul nostru de întâlnire cu Wulfric Ransomware și cum l-am ajutat pe utilizator să-și salveze fișierele.
I. Cum a început totul
Persoanele care au fost victime ale ransomware-ului contactează adesea laboratorul nostru antivirus. Oferim asistență indiferent de produsele antivirus pe care le-au instalat. De data aceasta am fost contactați de o persoană ale cărei fișiere au fost afectate de un codificator necunoscut.
Bună ziua Fișierele au fost criptate pe o stocare de fișiere (samba4) cu autentificare fără parolă. Bănuiesc că infecția a venit de la computerul fiicei mele (Windows 10 cu protecție standard Windows Defender). Computerul fiicei nu a mai fost pornit după aceea. Fișierele sunt criptate în principal .jpg și .cr2. Extensie de fișier după criptare: .aef.
Am primit de la utilizatori mostre de fișiere criptate, o notă de răscumpărare și un fișier care este probabil cheia de care autorul ransomware-ului avea nevoie pentru a decripta fișierele.
Iată toate indiciile noastre:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- cheie de acces (0K)
Să aruncăm o privire la notă. Câți bitcoini de data asta?
Traducere:
Atenție, fișierele dvs. sunt criptate!
Parola este unică pentru computerul dvs.Plătiți suma de 0.05 BTC la adresa Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
După plată, trimiteți-mi un e-mail, atașând fișierul pass.key la [e-mail protejat] cu notificarea platii.După confirmare, vă voi trimite un decriptor pentru fișiere.
Puteți plăti pentru bitcoins online în diferite moduri:
- plata cu card bancar
Despre Bitcoins:
Dacă aveți întrebări, vă rog să-mi scrieți la [e-mail protejat]
Ca bonus, vă voi spune cum a fost spart computerul dvs. și cum să îl protejați în viitor.
Un lup pretențios, menit să arate victimei gravitatea situației. Cu toate acestea, ar fi putut fi mai rău.
Orez. 1. -Ca bonus, vă voi spune cum să vă protejați computerul în viitor. -Pare legitim.
II. Să începem
În primul rând, ne-am uitat la structura eșantionului trimis. Destul de ciudat, nu arăta ca un fișier care a fost deteriorat de ransomware. Deschideți editorul hexazecimal și aruncați o privire. Primii 4 octeți conțin dimensiunea originală a fișierului, următorii 60 de octeți sunt umpluți cu zerouri. Dar cel mai interesant lucru este la final:
Orez. 2 Analizați fișierul deteriorat. Ce vă atrage imediat atenția?
Totul s-a dovedit a fi enervant de simplu: 0x40 de octeți din antet au fost mutați la sfârșitul fișierului. Pentru a restabili datele, pur și simplu returnați-le la început. Accesul la fișier a fost restabilit, dar numele rămâne criptat și lucrurile se complică cu el.
Orez. 3. Numele criptat în Base64 arată ca un set divagator de caractere.
Să încercăm să ne dăm seama trece.cheie, trimis de utilizator. În el vedem o secvență de 162 de octeți de caractere ASCII.
Orez. 4. Au rămas 162 de caractere pe computerul victimei.
Dacă te uiți cu atenție, vei observa că simbolurile se repetă cu o anumită frecvență. Acest lucru poate indica utilizarea XOR, care se caracterizează prin repetări, a căror frecvență depinde de lungimea cheii. După ce am împărțit șirul în 6 caractere și am făcut XOR cu unele variante de secvențe XOR, nu am obținut niciun rezultat semnificativ.
Orez. 5. Vedeți constantele care se repetă în mijloc?
Am decis să căutăm pe Google constante, pentru că da, și asta este posibil! Și toate au condus în cele din urmă la un singur algoritm - Criptarea lotului. După ce am studiat scenariul, a devenit clar că linia noastră nu este altceva decât rezultatul muncii sale. De menționat că acesta nu este deloc un codificator, ci doar un codificator care înlocuiește caracterele cu secvențe de 6 octeți. Fără chei sau alte secrete pentru tine :)
Orez. 6. O bucată din algoritmul original de autor necunoscut.
Algoritmul nu ar funcționa așa cum ar trebui dacă nu pentru un detaliu:
Orez. 7. Morpheus a aprobat.
Folosind substituția inversă transformăm șirul din trece.cheie într-un text de 27 de caractere. Textul uman (cel mai probabil) „asmodat” merită o atenție specială.
Fig.8. USGFDG=7.
Google ne va ajuta din nou. După puțină căutare, găsim un proiect interesant pe GitHub - Folder Locker, scris în .Net și folosind biblioteca 'asmodat' dintr-un alt cont Git.
Orez. 9. Interfață Folder Locker. Asigurați-vă că verificați dacă există programe malware.
Utilitarul este un criptator pentru Windows 7 și versiuni ulterioare, care este distribuit ca sursă deschisă. În timpul criptării, este utilizată o parolă, care este necesară pentru decriptarea ulterioară. Vă permite să lucrați atât cu fișiere individuale, cât și cu directoare întregi.
Biblioteca sa folosește algoritmul de criptare simetrică Rijndael în modul CBC. Este de remarcat faptul că dimensiunea blocului a fost aleasă să fie de 256 de biți - spre deosebire de cea adoptată în standardul AES. În cel din urmă, dimensiunea este limitată la 128 de biți.
Cheia noastră este generată conform standardului PBKDF2. În acest caz, parola este SHA-256 din șirul introdus în utilitar. Tot ce rămâne este să găsiți acest șir pentru a genera cheia de decriptare.
Ei bine, să revenim la deja decodat trece.cheie. Îți amintești acea linie cu un set de numere și textul „asmodat”? Să încercăm să folosim primii 20 de octeți ai șirului ca parolă pentru Folder Locker.
Uite, funcționează! Cuvântul cod a apărut și totul a fost descifrat perfect. Judecând după caracterele din parolă, este o reprezentare HEX a unui anumit cuvânt în ASCII. Să încercăm să afișăm cuvântul cod sub formă de text. Primim 'lupul de umbră'. Simțiți deja simptomele licantropiei?
Să aruncăm o altă privire asupra structurii fișierului afectat, știind acum cum funcționează dulapul:
- 02 00 00 00 – modul de criptare a numelui;
- 58 00 00 00 – lungimea numelui fișierului criptat și codificat în bază64;
- 40 00 00 00 – dimensiunea antetului transferat.
Numele criptat în sine și antetul transferat sunt evidențiate cu roșu, respectiv galben.
Orez. 10. Numele criptat este evidențiat cu roșu, antetul transferat este evidențiat cu galben.
Acum să comparăm numele criptate și decriptate în reprezentare hexazecimală.
Structura datelor decriptate:
- 78 B9 B8 2E – gunoi creat de utilitar (4 octeți);
- 0С 00 00 00 – lungimea numelui decriptat (12 octeți);
- Urmează numele real al fișierului și completarea cu zerouri până la lungimea blocului necesară (padding).
Orez. 11. IMG_4114 arată mult mai bine.
III. Concluzii și concluzii
Înapoi la început. Nu știm ce l-a motivat pe autorul cărții Wulfric.Ransomware și ce scop a urmărit. Desigur, pentru utilizatorul obișnuit, rezultatul muncii chiar și a unui astfel de criptator va părea un mare dezastru. Fișierele nu se deschid. Toate numele au dispărut. În loc de imaginea obișnuită, pe ecran este un lup. Te obligă să citești despre bitcoins.
Adevărat, de data aceasta, sub pretextul unui „coder teribil”, a fost ascunsă o tentativă atât de ridicolă și stupidă de extorcare, în care atacatorul folosește programe gata făcute și lasă cheile chiar la locul crimei.
Apropo, despre chei. Nu aveam un script rău intenționat sau un troian care să ne ajute să înțelegem cum s-a întâmplat acest lucru. trece.cheie – mecanismul prin care fișierul apare pe un PC infectat rămâne necunoscut. Dar, îmi amintesc, în nota sa autorul a menționat unicitatea parolei. Deci, cuvântul de cod pentru decriptare este la fel de unic pe cât este unic numele de utilizator shadow wolf :)
Și totuși, lupul de umbră, de ce și de ce?
Sursa: www.habr.com