ڪڏهن ڪڏهن توهان واقعي ڪجهه وائرس ليکڪ جي اکين ۾ ڏسڻ چاهيو ٿا ۽ پڇو: ڇو ۽ ڇو؟ اسان پاڻ کي "ڪيئن" سوال جو جواب ڏئي سگهون ٿا، پر اهو ڳولڻ ڏاڍو دلچسپ هوندو ته هي يا اهو مالويئر ٺاهيندڙ ڇا سوچي رهيو هو. خاص طور تي جڏهن اسان اهڙي "موتي" سان ملن ٿا.
اڄ جي مضمون جو هيرو هڪ cryptographer جو هڪ دلچسپ مثال آهي. اهو ظاهري طور تي تصور ڪيو ويو صرف هڪ ٻيو "ransomware"، پر ان جي ٽيڪنيڪل عمل کي وڌيڪ ڏسڻ ۾ اچي ٿو ڪنهن جي ظالمانه مذاق وانگر. اسان اڄ هن عمل جي باري ۾ ڳالهائينداسين.
بدقسمتي سان، هن انڪوڊر جي زندگيء جي چڪر کي ڳولڻ لاء تقريبا ناممڪن آهي - ان تي تمام گهٽ انگ اکر آهن، ڇاڪاڻ ته، خوش قسمت، اهو وسيع نه ٿيو آهي. تنهن ڪري، اسان اصل، انفيڪشن جا طريقا ۽ ٻين حوالن کي ڇڏي ڏينداسين. اچو ته صرف اسان جي ملاقات جي معاملي بابت ڳالهايون Wulfric Ransomware ۽ ڪيئن اسان صارف کي سندس فائلون محفوظ ڪرڻ ۾ مدد ڪئي.
I. اهو سڀ ڪيئن شروع ٿيو
جيڪي ماڻهو ransomware جو شڪار ٿيا آهن اڪثر اسان جي اينٽي وائرس ليبارٽري سان رابطو ڪندا آهن. اسان مدد فراهم ڪندا آهيون بغير ڪنهن اينٽي وائرس پروڊڪٽس جيڪي انهن انسٽال ڪيا آهن. هن ڀيري اسان هڪ شخص سان رابطو ڪيو جنهن جون فائلون اڻڄاتل انڪوڊر کان متاثر ٿيون.
منجهند جو سلام فائلن کي فائل اسٽوريج (samba4) تي بي پاسورڊ لاگ ان سان گڏ ڪيو ويو. مون کي شڪ آهي ته انفيڪشن منهنجي ڌيءَ جي ڪمپيوٽر مان آئي آهي (Windows 10 معياري Windows Defender تحفظ سان). ان کان پوءِ ڌيءَ جو ڪمپيوٽر آن نه ٿيو. فائلون خاص طور تي .jpg ۽ .cr2 ۾ ڳجھي ٿيل آھن. انڪرپشن کان پوءِ فائل جي واڌ: .aef.
اسان صارف کان انڪرپٽ ٿيل فائلن جا نمونا، هڪ رينسم نوٽ، ۽ هڪ فائل حاصل ڪئي آهي جيڪا ممڪن آهي ته اهم آهي ransomware ليکڪ کي فائلن کي ڊڪرپٽ ڪرڻ جي ضرورت آهي.
هتي اسان جا سڀئي اشارا آهن:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
اچو ته نوٽ تي هڪ نظر وٺو. هن وقت ڪيترا bitcoins؟
ترجمو:
ڌيان، توهان جون فائلون انڪوڊ ٿيل آهن!
پاسورڊ توهان جي PC لاء منفرد آهي.Bitcoin پتي تي 0.05 BTC جي رقم ادا ڪريو: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
ادائگي کان پوء، مون کي اي ميل موڪليو، pass.key فائل کي ڳنڍيندي [ايميل محفوظ ٿيل] ادائگي جي اطلاع سان.تصديق کان پوء، مان توهان کي فائلن لاء هڪ ڊسڪٽر موڪليندس.
توهان مختلف طريقن سان آن لائن bitcoins لاء ادا ڪري سگهو ٿا:
- بئنڪ ڪارڊ ذريعي ادائيگي
Bitcoins بابت:
جيڪڏھن توھان وٽ ڪو سوال آھي، مھرباني ڪري مون ڏانھن لکو [ايميل محفوظ ٿيل]
بونس طور، مان توهان کي ٻڌايان ٿو ته توهان جو ڪمپيوٽر ڪيئن هيڪ ڪيو ويو ۽ مستقبل ۾ ان جي حفاظت ڪيئن ڪجي.
هڪ پرهيزگار بگھڙ، قرباني کي صورتحال جي سنگيني کي ڏيکارڻ لاء ٺهيل آهي. بهرحال، اهو بدترين ٿي سگهي ٿو.
چانور. 1. -هڪ بونس جي طور تي، مان توهان کي ٻڌائيندس ته توهان جي ڪمپيوٽر کي مستقبل ۾ ڪيئن محفوظ ڪجي. - جائز لڳي ٿو.
II. اچو ته شروع ڪريون
سڀ کان پهريان، اسان موڪليل نموني جي جوڙجڪ کي ڏٺو. حيرت انگيز طور تي، اهو هڪ فائل وانگر نظر نٿو اچي جيڪا ransomware طرفان خراب ٿي وئي هئي. هيڪساڊيڪل ايڊيٽر کوليو ۽ هڪ نظر وٺو. پهرين 4 بائيٽ اصل فائل سائيز تي مشتمل آهي، ايندڙ 60 بائيٽ زيرو سان ڀرجي ويا آهن. پر سڀ کان وڌيڪ دلچسپ شيء آخر ۾ آهي:
چانور. 2 خراب ٿيل فائل جو تجزيو ڪريو. ڇا توهان جي اکين کي فوري طور تي پڪڙيو؟
هر شيءِ ظاهري طور تي سادو ٿي وئي: هيڊر کان 0x40 بائيٽ فائل جي آخر ۾ منتقل ڪيا ويا. ڊيٽا کي بحال ڪرڻ لاء، صرف ان کي واپس شروع ڪرڻ لاء. فائل تائين رسائي بحال ڪئي وئي آهي، پر نالو انڪوڊ ٿيل رهي ٿو، ۽ شيون ان سان وڌيڪ پيچيده ٿي رهيون آهن.
چانور. 3. بيس 64 ۾ انڪريپٽ ٿيل نالو ڪردارن جي هڪ ٻرندڙ سيٽ وانگر نظر اچي ٿو.
اچو ته ان کي سمجهڻ جي ڪوشش ڪريون pass.keyاستعمال ڪندڙ طرفان پيش ڪيل. ان ۾ اسان ڏسون ٿا ASCII اکرن جو 162 بائيٽ تسلسل.
چانور. 4. قرباني جي PC تي 162 اکر ڇڏي ويا.
جيڪڏهن توهان ويجهڙائي سان ڏسندا، توهان کي خبر پوندي ته علامتون هڪ خاص تعدد سان ورجائي رهيا آهن. اهو شايد XOR جي استعمال کي ظاهر ڪري ٿو، جيڪو ورهاڱي سان منسوب ڪيو ويو آهي، جنهن جي تعدد تي منحصر آهي اهم ڊگھائي. اسٽرنگ کي 6 اکرن ۾ ورهائڻ ۽ XOR جي ڪجهه مختلف قسمن سان XOR جي ترتيب سان، اسان ڪو به بامعني نتيجو حاصل نه ڪيو.
چانور. 5. وچ ۾ ورجائيندڙ تسلسل ڏسو؟
اسان فيصلو ڪيو ته گوگل مستقل، ڇو ته ها، اهو پڻ ممڪن آهي! ۽ اهي سڀ آخرڪار هڪ الگورٿم ڏانهن ويا - بيچ انڪرپشن. لکت جي مطالعي کان پوء، اهو واضح ٿيو ته اسان جي لائن ان جي ڪم جي نتيجي کان سواء ٻيو ڪجهه ناهي. اهو ياد رکڻ گهرجي ته هي سڀ ڪجهه هڪ انڪوڊر نه آهي، پر صرف هڪ انڪوڊر آهي جيڪو ڪردارن کي 6 بائيٽ جي ترتيب سان تبديل ڪري ٿو. توهان لاءِ ڪي به چاٻيون يا ٻيون راز نه آهن :)
چانور. 6. اڻڄاتل ليکڪ جي اصل الگورتھم جو ھڪڙو ٽڪرو.
الورورٿم ڪم نه ڪندو جيئن اهو هڪ تفصيل لاء نه هجڻ گهرجي:
چانور. 7. Morpheus منظور.
ريورس متبادل استعمال ڪندي اسان اسٽرنگ کي تبديل ڪريون ٿا pass.key 27 اکرن جي متن ۾. انساني (گهڻو ڪري) متن 'اسمودات' خاص ڌيان جو مستحق آهي.
تصوير 8. USGFDG = 7.
گوگل اسان جي ٻيهر مدد ڪندو. ٿوري ڳولها کان پوءِ، اسان کي GitHub - Folder Locker تي هڪ دلچسپ پروجيڪٽ ملي ٿو، جيڪو .Net ۾ لکيل آهي ۽ ٻئي Git اڪائونٽ مان 'asmodat' لائبريري استعمال ڪندي.
چانور. 9. فولڊر لاڪر انٽرفيس. مالويئر جي چڪاس ڪرڻ جي پڪ ڪريو.
افاديت ونڊوز 7 ۽ اعليٰ لاءِ هڪ انڪرپٽر آهي، جيڪو اوپن سورس طور ورهايو ويو آهي. انڪرپشن دوران، پاسورڊ استعمال ڪيو ويندو آهي، جيڪو بعد ۾ ڊسڪشن لاء ضروري آهي. توهان کي ڪم ڪرڻ جي اجازت ڏئي ٿي انفرادي فائلن سان ۽ پوري ڊائريڪٽرن سان.
ان جي لائبريري CBC موڊ ۾ Rijndael symmetric encryption algorithm استعمال ڪري ٿي. اهو قابل ذڪر آهي ته بلاڪ سائيز چونڊيو ويو 256 بٽ - ان جي ابتڙ جيڪو AES معيار ۾ منظور ڪيو ويو آهي. بعد ۾، سائيز 128 بٽ تائين محدود آهي.
اسان جي چاٻي PBKDF2 معيار جي مطابق ٺاهي وئي آهي. انهي حالت ۾، پاسورڊ يوٽيلٽي ۾ داخل ٿيل اسٽرنگ مان SHA-256 آهي. باقي اهو آهي ته هن تار کي ڳولهڻ لاءِ ڊيڪرپشن ڪيچ ٺاهي.
خير، اچو ته اسان جي اڳ ۾ ئي decoded ڏانھن موٽي pass.key. نمبرن جي هڪ سيٽ ۽ ٽيڪسٽ 'asmodat' سان اها قطار ياد آهي؟ اچو ته فولڊر لاڪر لاءِ پاسورڊ طور اسٽرنگ جي پهرين 20 بائيٽس کي استعمال ڪرڻ جي ڪوشش ڪريون.
ڏس، اهو ڪم ڪري ٿو! ڪوڊ لفظ آيو، ۽ سڀڪنھن شيء کي چڱي طرح deciphered ويو. پاس ورڊ ۾ اکرن جي حساب سان، اهو ASCII ۾ هڪ مخصوص لفظ جي HEX نمائندگي آهي. اچو ته ڪوڊ لفظ کي ٽيڪسٽ فارم ۾ ڏيکارڻ جي ڪوشش ڪريون. اسان حاصل ڪريون.پاڇي وارو'. اڳ ۾ ئي محسوس ڪيو lycanthropy جي علامات؟
اچو ته متاثر ٿيل فائل جي ساخت تي هڪ ٻيو نظر وجهون، هاڻي ڄاڻون ٿا ته لاڪر ڪيئن ڪم ڪندو آهي:
- 02 00 00 00 - نالو انڪرپشن موڊ؛
- 58 00 00 00 - انڪريپٽڊ ۽ بيس 64 انڪوڊ ٿيل فائل جو نالو؛
- 40 00 00 00 - منتقل ڪيل هيڊر جي ماپ.
انڪوڊ ٿيل نالو پاڻ ۽ منتقل ٿيل هيڊر ترتيب سان ڳاڙهي ۽ پيلي ۾ نمايان ٿيل آهن.
چانور. 10. انڪرپٽ ٿيل نالو ڳاڙهي رنگ ۾ نمايان ٿيل آھي، منتقل ٿيل ھيڊر پيلو ۾ نمايان ٿيل آھي.
ھاڻي اچو ته ھيڪساڊيڪل نمائندي ۾ اينڪريپٹڊ ۽ ڊڪرپٽ ٿيل نالن جو مقابلو ڪريون.
ڊريڪٽ ٿيل ڊيٽا جي جوڙجڪ:
- 78 B9 B8 2E - يوٽيلٽي پاران ٺهيل گندگي (4 بائيٽ)؛
- 0С 00 00 00 - ڊريڪٽ ٿيل نالي جي ڊيگهه (12 بائيٽ)؛
- اڳيان اچي ٿو اصل فائل جو نالو ۽ پيڊنگ کي زيرو سان گهربل بلاڪ جي ڊيگهه (پيڊنگ).
چانور. 11. IMG_4114 گهڻو بهتر نظر اچي ٿو.
III. نتيجو ۽ نتيجو
شروعات ڏانهن واپس. اسان کي خبر ناهي ته Wulfric.Ransomware جي ليکڪ کي ڪهڙي حوصلا افزائي ڪئي ۽ ڪهڙي مقصد جو تعاقب ڪيو. يقينن، سراسري استعمال ڪندڙ لاء، اهڙي اينڪرپٽر جي ڪم جو نتيجو هڪ وڏي آفت وانگر نظر ايندو. فائلون نه کليل آهن. سڀ نالا گم آهن. عام تصوير جي بدران، اسڪرين تي هڪ بگھڙ آهي. اهي توهان کي bitcoins بابت پڙهڻ لاء مجبور ڪن ٿا.
سچ پچ، هن ڀيري، "خوفناڪ انڪوڊر" جي آڙ ۾، ڀڄڻ جي اهڙي مضحکہ خیز ۽ بيوقوف ڪوشش لڪيل هئي، جتي حملو ڪندڙ تيار ڪيل پروگرامن کي استعمال ڪري ٿو ۽ چابيون صحيح طور تي جرم جي منظر تي ڇڏي ٿو.
رستي جي ذريعي، ڪنجين بابت. اسان وٽ ڪا خراب اسڪرپٽ يا ٽروجن نه هئي جيڪا اسان کي سمجهڻ ۾ مدد ڪري سگهي ته اهو ڪيئن ٿيو. pass.key - ميڪانيزم جنهن جي ذريعي فائل هڪ متاثر ٿيل پي سي تي ظاهر ٿئي ٿو نامعلوم رهي ٿو. پر، مون کي ياد آهي، ليکڪ پنهنجي نوٽ ۾ پاسورڊ جي انفراديت جو ذڪر ڪيو آهي. تنهن ڪري، ڊيڪرپشن لاءِ ڪوڊ لفظ ايترو ئي منفرد آهي جيترو يوزرنيم شيڊ ولف منفرد آهي :)
۽ اڃا تائين، ڇانو ولف، ڇو ۽ ڇو؟
جو ذريعو: www.habr.com