සමහර විට ඔබට වෛරස් ලේඛකයෙකුගේ දෑස් දෙස බැලීමට අවශ්ය වන අතර මෙසේ අසන්න: ඇයි සහ ඇයි? "කෙසේද" යන ප්රශ්නයට අප විසින්ම පිළිතුරු දිය හැකිය, නමුත් මෙම හෝ එම අනිෂ්ට මෘදුකාංග නිර්මාපකයා සිතන්නේ කුමක්දැයි සොයා බැලීම ඉතා රසවත් වනු ඇත. විශේෂයෙන්ම අපි එවැනි "මුතු" හමුවන විට.
අද ලිපියේ වීරයා ගුප්ත ලේඛන ශිල්පියෙකුගේ සිත්ගන්නා උදාහරණයකි. එය පෙනෙන පරිදි තවත් "ransomware" ලෙස සංකල්පනය කර ඇත, නමුත් එහි තාක්ෂණික ක්රියාත්මක කිරීම යමෙකුගේ කුරිරු විහිළුවක් මෙන් පෙනේ. අපි අද මෙම ක්රියාත්මක කිරීම ගැන කතා කරමු.
අවාසනාවකට මෙන්, මෙම කේතකයේ ජීවන චක්රය සොයා ගැනීම පාහේ කළ නොහැක්කකි - එය පිළිබඳ සංඛ්යාලේඛන ඉතා ස්වල්පයක් ඇත, මන්ද, වාසනාවකට මෙන්, එය පුළුල් වී නොමැත. එබැවින්, අපි සම්භවය, ආසාදන ක්රම සහ අනෙකුත් යොමු කිරීම් ඉවත් කරමු. අපි හමුවීමේ සිද්ධිය ගැන පමණක් කතා කරමු Wulfric Ransomware සහ අපි පරිශීලකයාට ඔහුගේ ගොනු සුරැකීමට උදව් කළ ආකාරය.
I. ඒ සියල්ල ආරම්භ වූ ආකාරය
Ransomware වලට ගොදුරු වූ පුද්ගලයින් බොහෝ විට අපගේ ප්රති-වයිරස රසායනාගාරය හා සම්බන්ධ වේ. ඔවුන් ස්ථාපනය කර ඇති ප්රති-වයිරස නිෂ්පාදන කුමක් වුවත් අපි සහාය ලබා දෙන්නෙමු. මෙවර අපව සම්බන්ධ කරගනු ලැබුවේ නොදන්නා කේතකයක් මගින් ලිපිගොනුවලට බලපෑම් එල්ල වූ පුද්ගලයෙකු විසිනි.
සුභ සන්ධ්යාවක් මුරපද රහිත පිවිසුම් සහිත ගොනු ගබඩාවක් (samba4) මත ගොනු සංකේතනය කර ඇත. ආසාදනය මගේ දුවගේ පරිගණකයෙන් (Windows 10 සම්මත Windows Defender ආරක්ෂාව සහිත) පැමිණි බව මම සැක කරමි. ඊට පස්සෙ දුවගෙ කොම්පියුටරේ ඔන් කරල නෑ. ගොනු ප්රධාන වශයෙන් .jpg සහ .cr2 සංකේතනය කර ඇත. සංකේතනය කිරීමෙන් පසු ගොනු දිගුව: .aef.
සංකේතාත්මක ගොනු, කප්පම් සටහනක් සහ ගොනු විකේතනය කිරීමට ransomware කතුවරයාට අවශ්ය යතුර විය හැකි ගොනුවක් පරිශීලකයාගෙන් අපට ලැබුණි.
මෙන්න අපගේ සියලු ඉඟි:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
අපි සටහන දෙස බලමු. මෙවර බිට්කොයින් කීයක්?
පරිවර්තනය:
අවධානය, ඔබගේ ගොනු සංකේතනය කර ඇත!
මුරපදය ඔබේ පරිගණකයට අනන්ය වේ.0.05 BTC මුදල Bitcoin ලිපිනයට ගෙවන්න: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
ගෙවීමෙන් පසු, pass.key ගොනුව අමුණමින් මට විද්යුත් තැපෑලක් එවන්න [විද්යුත් ආරක්ෂිත] ගෙවීම් පිළිබඳ දැනුම්දීමක් සමඟ.තහවුරු කිරීමෙන් පසු, මම ඔබට ගොනු සඳහා විකේතනයක් එවන්නෙමි.
ඔබට විවිධ ආකාරවලින් බිට්කොයින් සඳහා අන්තර්ජාලය හරහා ගෙවිය හැකිය:
- බැංකු කාඩ්පතෙන් ගෙවීම
Bitcoins ගැන:
ඔබට කිසියම් ප්රශ්නයක් ඇත්නම්, කරුණාකර මට ලියන්න [විද්යුත් ආරක්ෂිත]
ප්රසාද දීමනාවක් ලෙස, ඔබේ පරිගණකය හැක් වූ ආකාරය සහ අනාගතයේදී එය ආරක්ෂා කරන්නේ කෙසේද යන්න මම ඔබට කියමි.
වින්දිතයාට තත්වයේ බරපතලකම පෙන්වීමට නිර්මාණය කර ඇති මවාපෑමේ වෘකයෙකි. කෙසේ වෙතත්, එය වඩාත් නරක විය හැකිය.
සහල්. 1. -ප්රසාද දීමනාවක් ලෙස, ඔබේ පරිගණකය ආරක්ෂා කරන්නේ කෙසේදැයි මම ඔබට ඉදිරියේදී කියන්නම්. -නීත්යානුකූල බව පෙනෙනවා.
II. අපි පටන් ගනිමු
පළමුවෙන්ම, අපි යවන ලද සාම්පලයේ ව්යුහය දෙස බැලුවෙමු. පුදුමයට කරුණක් නම්, එය ransomware මගින් හානි වූ ගොනුවක් ලෙස නොපෙනේ. ෂඩ් දශම සංස්කාරකය විවෘත කර බලන්න. පළමු බයිට් 4 හි මුල් ගොනු ප්රමාණය අඩංගු වේ, ඊළඟ බයිට් 60 ශුන්ය වලින් පුරවා ඇත. නමුත් වඩාත්ම සිත්ගන්නා කරුණ වන්නේ අවසානයේ:
සහල්. 2 හානියට පත් ගොනුව විශ්ලේෂණය කරන්න. වහාම ඔබේ ඇසට හසු වන්නේ කුමක්ද?
සෑම දෙයක්ම කරදරකාරී ලෙස සරල විය: ශීර්ෂයෙන් 0x40 බයිට් ගොනුවේ අවසානයට ගෙන යන ලදී. දත්ත යථා තත්ත්වයට පත් කිරීම සඳහා, එය ආරම්භයට ආපසු යන්න. ගොනුව වෙත ප්රවේශය ප්රතිසාධනය කර ඇත, නමුත් නම සංකේතාත්මකව පවතින අතර, එය සමඟ දේවල් වඩාත් සංකීර්ණ වෙමින් පවතී.
සහල්. 3. Base64 හි සංකේතනය කළ නම පෙනෙන්නේ රස්තියාදු වන අක්ෂර කට්ටලයක් ලෙසිනි.
අපි එය තේරුම් ගැනීමට උත්සාහ කරමු pass.key, පරිශීලකයා විසින් ඉදිරිපත් කරන ලදී. එහි ASCII අක්ෂරවල බයිට් 162 අනුපිළිවෙලක් අපට පෙනේ.
සහල්. 4. වින්දිතයාගේ පරිගණකයේ අක්ෂර 162 ක් ඉතිරිව ඇත.
ඔබ සමීපව බැලුවහොත්, සංකේත නිශ්චිත සංඛ්යාතයකින් පුනරාවර්තනය වන බව ඔබට පෙනෙනු ඇත. මෙය XOR භාවිතය පෙන්නුම් කරයි, එය පුනරාවර්තන මගින් සංලක්ෂිත වේ, එහි වාර ගණන යතුරු දිග මත රඳා පවතී. තන්තුව අක්ෂර 6කට බෙදා XOR අනුපිළිවෙලෙහි සමහර ප්රභේද සමඟ XOR කර ඇති බැවින්, අපි කිසිදු අර්ථවත් ප්රතිඵලයක් ලබා ගත්තේ නැත.
සහල්. 5. මැද පුනරාවර්තන නියතයන් බලන්න?
අපි ගූගල් නියතයන් කිරීමට තීරණය කළෙමු, මන්ද ඔව්, එය ද හැකි ය! ඒවා සියල්ලම අවසානයේ එක් ඇල්ගොරිතමයකට යොමු විය - කණ්ඩායම් සංකේතනය. පිටපත අධ්යයනය කිරීමෙන් පසු, අපගේ රේඛාව එහි කාර්යයේ ප්රති result ලයට වඩා වැඩි දෙයක් නොවන බව පැහැදිලි විය. මෙය කිසිසේත්ම encryptor එකක් නොවන බවත්, 6-byte අනුපිළිවෙලින් අක්ෂර ආදේශ කරන encoder එකක් බවත් සඳහන් කළ යුතුය. ඔබට යතුරු හෝ වෙනත් රහස් නැත :)
සහල්. 6. නොදන්නා කර්තෘත්වයේ මුල් ඇල්ගොරිතමයේ කොටසක්.
එක් විස්තරයක් සඳහා නොවේ නම් ඇල්ගොරිතම ක්රියා නොකරනු ඇත:
සහල්. 7. Morpheus අනුමත කරන ලදී.
ප්රතිලෝම ආදේශනය භාවිතයෙන් අපි තන්තුව පරිවර්තනය කරමු pass.key අක්ෂර 27 ක පෙළකට. මානව (බොහෝ දුරට ඉඩ ඇති) පාඨය 'asmodat' විශේෂ අවධානයක් ලැබිය යුතුය.
Fig.8. USGFDG=7.
Google අපට නැවත උදව් කරනු ඇත. මදක් සෙවීමෙන් පසු, අපට GitHub - Folder Locker හි රසවත් ව්යාපෘතියක් .Net හි ලියා වෙනත් Git ගිණුමකින් 'asmodat' පුස්තකාලය භාවිතා කරයි.
සහල්. 9. ෆෝල්ඩර් ලොකර් අතුරුමුහුණත. අනිෂ්ට මෘදුකාංග සඳහා පරීක්ෂා කිරීමට වග බලා ගන්න.
උපයෝගිතා යනු වින්ඩෝස් 7 සහ ඊට වැඩි එන්ක්රිප්ටරයකි, එය විවෘත මූලාශ්ර ලෙස බෙදා හරිනු ලැබේ. සංකේතනය අතරතුර, මුරපදයක් භාවිතා කරනු ලැබේ, එය පසුව විකේතනය කිරීම සඳහා අවශ්ය වේ. තනි ගොනු සහ සම්පූර්ණ නාමාවලි සමඟ වැඩ කිරීමට ඔබට ඉඩ සලසයි.
එහි පුස්තකාලය CBC මාදිලියේ Rijndael සමමිතික සංකේතාංකන ඇල්ගොරිතම භාවිතා කරයි. බ්ලොක් ප්රමාණය බිටු 256ක් ලෙස තෝරාගෙන තිබීම සැලකිය යුතු කරුණකි - AES ප්රමිතියෙන් සම්මත කර ඇති ප්රමාණයට ප්රතිවිරුද්ධව. අන්තිමේදී, ප්රමාණය බිටු 128 කට සීමා වේ.
අපගේ යතුර PBKDF2 ප්රමිතියට අනුව ජනනය වේ. මෙම අවස්ථාවෙහිදී, උපයෝගිතා තුළ ඇතුළත් කර ඇති තන්තුවෙන් මුරපදය SHA-256 වේ. ඉතිරිව ඇත්තේ විකේතන යතුර උත්පාදනය කිරීම සඳහා මෙම තන්තුව සොයා ගැනීමයි.
හොඳයි, අපි දැනටමත් විකේතනය කර ඇති අපගේ වෙත ආපසු යමු pass.key. ඉලක්කම් කට්ටලයක් සහ 'asmodat' යන පාඨය සහිත එම පේළිය මතකද? ෆෝල්ඩර් ලොකර් සඳහා මුරපදයක් ලෙස තන්තුවේ පළමු බයිට් 20 භාවිතා කිරීමට උත්සාහ කරමු.
බලන්න, එය ක්රියා කරයි! කේත වචනය මතු වූ අතර සෑම දෙයක්ම පරිපූර්ණ ලෙස විකේතනය විය. මුරපදයේ අක්ෂර අනුව විනිශ්චය කිරීම, එය ASCII හි නිශ්චිත වචනයක HEX නිරූපණයකි. කේත වචනය පෙළ ආකාරයෙන් පෙන්වීමට උත්සාහ කරමු. අපිට ලැබෙනවා'shadowwolf'. දැනටමත් lycanthropy රෝග ලක්ෂණ දැනෙනවාද?
බලපෑමට ලක් වූ ගොනුවේ ව්යුහය දෙස අපි තවත් බලමු, දැන් ලොකරය ක්රියා කරන ආකාරය දැන ගන්න:
- 02 00 00 00 - නම සංකේතාංකන මාදිලිය;
- 58 00 00 00 - සංකේතාත්මක සහ base64 කේතනය කරන ලද ගොනු නාමයේ දිග;
- 40 00 00 00 - මාරු කළ ශීර්ෂයේ විශාලත්වය.
සංකේතනය කළ නම සහ මාරු කළ ශීර්ෂය පිළිවෙලින් රතු සහ කහ පැහැයෙන් උද්දීපනය කර ඇත.
සහල්. 10. සංකේතනය කළ නම රතු පැහැයෙන් උද්දීපනය කර ඇත, මාරු කළ ශීර්ෂය කහ පැහැයෙන් උද්දීපනය කර ඇත.
දැන් අපි ෂඩාස්රාකාර නිරූපණයේ සංකේතාත්මක සහ විකේතනය කළ නාම සංසන්දනය කරමු.
විකේතනය කළ දත්තවල ව්යුහය:
- 78 B9 B8 2E - උපයෝගීතාවයෙන් නිර්මාණය කරන ලද කසළ (බයිට් 4);
- 0С 00 00 00 - විකේතනය කළ නමේ දිග (බයිට් 12);
- ඊළඟට පැමිණෙන්නේ සත්ය ගොනු නාමය සහ අවශ්ය බ්ලොක් දිගට (පැඩිං) බිංදු සහිත පෑඩින් එකයි.
සහල්. 11. IMG_4114 වඩා හොඳ පෙනුමක්.
III. නිගමන සහ නිගමන
නැවත මුලට. Wulfric.Ransomware හි කතුවරයා පෙළඹවූයේ කුමක්ද සහ ඔහු අනුගමනය කළ ඉලක්කය කුමක්දැයි අපි නොදනිමු. ඇත්ත වශයෙන්ම, සාමාන්ය පරිශීලකයෙකුට, එවැනි සංකේතාකකයෙකුගේ පවා කාර්යයේ ප්රතිඵලය විශාල ව්යසනයක් ලෙස පෙනෙනු ඇත. ගොනු විවෘත නොවේ. සියලුම නම් නැති වී ඇත. සුපුරුදු පින්තූරය වෙනුවට, තිරය මත වෘකයෙක් ඇත. ඔවුන් ඔබට බිට්කොයින් ගැන කියවීමට බල කරයි.
ඇත්ත වශයෙන්ම, මෙවර, “බිහිසුණු කේතකයක” මුවාවෙන්, එවැනි හාස්යජනක හා මෝඩ කප්පම් ගැනීමේ උත්සාහයක් සඟවා ඇති අතර, එහිදී ප්රහාරකයා සූදානම් කළ වැඩසටහන් භාවිතා කර අපරාධ ස්ථානයේදී යතුරු තබයි.
මාර්ගය වන විට, යතුරු ගැන. මෙය සිදු වූ ආකාරය තේරුම් ගැනීමට අපට උපකාර කළ හැකි ද්වේෂසහගත පිටපතක් හෝ ට්රෝජන් අප සතුව නොතිබුණි. pass.key - ආසාදිත පරිගණකයක ගොනුව දිස්වන යාන්ත්රණය තවමත් නොදනී. නමුත්, මට මතකයි, කතුවරයා ඔහුගේ සටහනේ මුරපදයේ සුවිශේෂත්වය සඳහන් කර ඇත. එබැවින්, විකේතනය සඳහා කේත වචනය shadow wolf යන පරිශීලක නාමය අද්විතීයයි :)
සහ තවමත්, සෙවන වෘකයා, ඇයි සහ ඇයි?
මූලාශ්රය: www.habr.com