Niekedy sa naozaj chcete pozrieť do očí nejakého autora vírusov a opýtať sa: prečo a prečo? Na otázku „ako“ si môžeme odpovedať sami, ale bolo by veľmi zaujímavé zistiť, čo si ten či onen tvorca malvéru myslel. Najmä keď narazíme na takéto „perly“.
Hrdina dnešného článku je zaujímavým príkladom kryptografa. Zjavne bol koncipovaný ako ďalší „ransomvér“, ale jeho technická implementácia vyzerá skôr ako niečí krutý vtip. Dnes budeme hovoriť o tejto implementácii.
Bohužiaľ je takmer nemožné sledovať životný cyklus tohto kódovača - existuje o ňom príliš málo štatistík, pretože sa našťastie nerozšíril. Pôvod, spôsoby nákazy a iné odkazy preto vynecháme. Hovorme len o našom prípade stretnutia s Wulfric Ransomware a ako sme pomohli používateľovi uložiť jeho súbory.
I. Ako to všetko začalo
Ľudia, ktorí sa stali obeťami ransomvéru, často kontaktujú naše antivírusové laboratórium. Poskytujeme pomoc bez ohľadu na to, aké antivírusové produkty majú nainštalované. Tentokrát nás kontaktovala osoba, ktorej súbory boli ovplyvnené neznámym kódovačom.
Dobrý deň Súbory boli šifrované na úložisku súborov (samba4) s prihlásením bez hesla. Mám podozrenie, že infekcia pochádza z počítača mojej dcéry (Windows 10 so štandardnou ochranou Windows Defender). Dcérkin počítač potom nebol zapnutý. Súbory sú šifrované hlavne .jpg a .cr2. Prípona súboru po zašifrovaní: .aef.
Od používateľov sme dostali vzorky zašifrovaných súborov, výkupné a súbor, ktorý je pravdepodobne kľúčom, ktorý autor ransomvéru potreboval na dešifrovanie súborov.
Tu sú všetky naše indície:
- 01c.aef (4481K)
- hacked.jpg (254 kB)
- hacked.txt (0 kB)
- 04c.aef (6540K)
- pass.key (0K)
Pozrime sa na poznámku. Koľko bitcoinov tentoraz?
Preklad:
Pozor, vaše súbory sú šifrované!
Heslo je jedinečné pre váš počítač.Zaplaťte čiastku 0.05 BTC na bitcoinovú adresu: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Po zaplatení mi pošlite e-mail s prílohou súboru pass.key [chránené e-mailom] s oznámením o platbe.Po potvrdení vám pošlem dešifrovač súborov.
Za bitcoiny online môžete platiť rôznymi spôsobmi:
- platba bankovou kartou
O bitcoinoch:
Ak máte nejaké otázky, napíšte mi na [chránené e-mailom]
Ako bonus vám poviem, ako bol váš počítač napadnutý a ako ho v budúcnosti chrániť.
Domýšľavý vlk, ktorý má obeti ukázať vážnosť situácie. Mohlo to však byť aj horšie.
Ryža. 1. -Ako bonus vám prezradím, ako si v budúcnosti chrániť počítač. – Vyzerá to legitímne.
II. Začnime
V prvom rade sme sa pozreli na štruktúru odoslanej vzorky. Napodiv to nevyzeralo ako súbor, ktorý bol poškodený ransomware. Otvorte hexadecimálny editor a pozrite sa. Prvé 4 bajty obsahujú pôvodnú veľkosť súboru, ďalších 60 bajtov je vyplnených nulami. Ale to najzaujímavejšie je na konci:
Ryža. 2 Analyzujte poškodený súbor. Čo vám hneď padne do oka?
Všetko sa ukázalo byť nepríjemne jednoduché: 0x40 bajtov z hlavičky sa presunulo na koniec súboru. Ak chcete obnoviť údaje, jednoducho ich vráťte na začiatok. Prístup k súboru bol obnovený, ale názov zostáva zašifrovaný a veci sa s ním skomplikujú.
Ryža. 3. Zašifrované meno v Base64 vyzerá ako nesúrodá množina znakov.
Skúsme na to prísť pass.key, odoslaný používateľom. V ňom vidíme 162-bajtovú sekvenciu ASCII znakov.
Ryža. 4. Na PC obete zostáva 162 znakov.
Ak sa pozriete pozorne, všimnete si, že symboly sa opakujú s určitou frekvenciou. To môže naznačovať použitie XOR, ktorý sa vyznačuje opakovaniami, ktorých frekvencia závisí od dĺžky kľúča. Po rozdelení reťazca na 6 znakov a XORed s niektorými variantmi XOR sekvencií sme nedosiahli žiadny zmysluplný výsledok.
Ryža. 5. Vidíte opakujúce sa konštanty v strede?
Rozhodli sme sa vygoogliť konštanty, pretože áno, aj to je možné! A všetky nakoniec viedli k jednému algoritmu - dávkovému šifrovaniu. Po preštudovaní scenára sa ukázalo, že naša línia nie je ničím iným ako výsledkom jej práce. Treba spomenúť, že nejde vôbec o šifrovač, ale len o kodér, ktorý nahrádza znaky 6-bajtovými sekvenciami. Žiadne kľúče ani iné tajomstvá pre vás :)
Ryža. 6. Časť pôvodného algoritmu neznámeho autorstva.
Algoritmus by nefungoval tak, ako by mal, nebyť jedného detailu:
Ryža. 7. Morfeus schválil.
Pomocou spätnej substitúcie transformujeme reťazec z pass.key do textu s 27 znakmi. Ľudský (s najväčšou pravdepodobnosťou) text „asmodat“ si zaslúži osobitnú pozornosť.
Obr.8. USGFDG=7.
Google nám opäť pomôže. Po menšom hľadaní nájdeme na GitHub zaujímavý projekt – Folder Locker, napísaný v .Net a využívajúci knižnicu 'asmodat' z iného Git účtu.
Ryža. 9. Rozhranie priečinka Locker. Nezabudnite skontrolovať prítomnosť škodlivého softvéru.
Nástroj je šifrovač pre Windows 7 a vyšší, ktorý je distribuovaný ako open source. Pri šifrovaní sa používa heslo, ktoré je potrebné pre následné dešifrovanie. Umožňuje prácu s jednotlivými súbormi aj s celými adresármi.
Jeho knižnica používa Rijndael symetrický šifrovací algoritmus v režime CBC. Je pozoruhodné, že veľkosť bloku bola zvolená na 256 bitov - na rozdiel od veľkosti prijatej v štandarde AES. V druhom prípade je veľkosť obmedzená na 128 bitov.
Náš kľúč je generovaný podľa štandardu PBKDF2. V tomto prípade je heslo SHA-256 z reťazca zadaného v obslužnom programe. Zostáva len nájsť tento reťazec na vygenerovanie dešifrovacieho kľúča.
No vráťme sa k nášmu už dekódovanému pass.key. Pamätáte si ten riadok so sadou čísel a textom „asmodat“? Skúsme použiť prvých 20 bajtov reťazca ako heslo pre Folder Locker.
Pozri, funguje to! Prišlo kódové slovo a všetko bolo dokonale rozlúštené. Súdiac podľa znakov v hesle ide o HEX reprezentáciu konkrétneho slova v ASCII. Skúsme zobraziť kódové slovo v textovej podobe. Dostaneme 'tieňový vlk'. Pociťujete už príznaky lykantropie?
Pozrime sa ešte raz na štruktúru ovplyvneného súboru, teraz vieme, ako skrinka funguje:
- 02 00 00 00 – režim šifrovania názvu;
- 58 00 00 00 – dĺžka zašifrovaného a base64 kódovaného názvu súboru;
- 40 00 00 00 – veľkosť prenášanej hlavičky.
Samotný zašifrovaný názov a prenesená hlavička sú zvýraznené červenou a žltou farbou.
Ryža. 10. Zašifrované meno je zvýraznené červenou farbou, prenášaná hlavička je zvýraznená žltou.
Teraz porovnajme zašifrované a dešifrované mená v hexadecimálnom vyjadrení.
Štruktúra dešifrovaných údajov:
- 78 B9 B8 2E – odpad vytvorený obslužným programom (4 bajty);
- 0С 00 00 00 – dĺžka dešifrovaného názvu (12 bajtov);
- Ďalej nasleduje skutočný názov súboru a výplň s nulami na požadovanú dĺžku bloku (výplň).
Ryža. 11. IMG_4114 vyzerá oveľa lepšie.
III. Závery a záver
Späť na začiatok. Nevieme, čo motivovalo autora Wulfric.Ransomware a aký cieľ sledoval. Samozrejme, pre bežného používateľa bude výsledok práce aj takéhoto šifrovača pôsobiť ako veľká katastrofa. Súbory sa neotvárajú. Všetky mená sú preč. Namiesto bežného obrazu je na obrazovke vlk. Nútia vás čítať o bitcoinoch.
Pravda, tentoraz sa pod rúškom „strašného kodéra“ skrýval taký smiešny a hlúpy pokus o vydieranie, kde útočník používa hotové programy a kľúče necháva priamo na mieste činu.
Mimochodom, o kľúčoch. Nemali sme škodlivý skript ani trójsky kôň, ktorý by nám pomohol pochopiť, ako sa to stalo. pass.key – mechanizmus, ktorým sa súbor objaví na infikovanom počítači, zostáva neznámy. Ale pamätám si, že autor vo svojej poznámke spomenul jedinečnosť hesla. Takže kódové slovo pre dešifrovanie je také jedinečné, ako je jedinečné používateľské meno tieňový vlk :)
A predsa, tieňový vlk, prečo a prečo?
Zdroj: hab.com