Včasih res želite pogledati v oči pisca virusov in vprašati: zakaj in zakaj? Na vprašanje »kako« si lahko odgovorimo sami, zelo zanimivo pa bi bilo izvedeti, kaj je mislil ta ali oni ustvarjalec zlonamerne programske opreme. Še posebej, ko naletimo na takšne “bisere”.
Junak današnjega članka je zanimiv primer kriptografa. Očitno je bil zasnovan le kot še en "izsiljevalski program", vendar je njegova tehnična izvedba bolj podobna nečiji kruti šali. Danes bomo govorili o tej izvedbi.
Na žalost je skoraj nemogoče izslediti življenjski cikel tega kodirnika - o njem je premalo statističnih podatkov, saj na srečo ni postal razširjen. Zato bomo izvor, načine okužbe in druge navedbe izpustili. Pogovorimo se le o našem primeru srečanja z Wulfric Ransomware in kako smo uporabniku pomagali shraniti njegove datoteke.
I. Kako se je vse začelo
Ljudje, ki so bili žrtve izsiljevalske programske opreme, se pogosto obrnejo na naš protivirusni laboratorij. Nudimo pomoč ne glede na to, katere protivirusne izdelke imajo nameščeni. Tokrat se je na nas obrnila oseba, katere datoteke je prizadel neznan kodirnik.
Dober večer Datoteke so bile šifrirane v shrambi datotek (samba4) s prijavo brez gesla. Sumim, da je okužba prišla iz hčerinega računalnika (Windows 10 s standardno zaščito Windows Defender). Hčerkin računalnik potem ni bil prižgan. Datoteke so šifrirane predvsem .jpg in .cr2. Končnica datoteke po šifriranju: .aef.
Od uporabnika smo prejeli vzorce šifriranih datotek, obvestilo o odkupnini in datoteko, ki je verjetno ključ, ki ga je avtor izsiljevalske programske opreme potreboval za dešifriranje datotek.
Tukaj so vsi naši namigi:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Oglejmo si zapisek. Koliko bitcoinov tokrat?
Prevod:
Pozor, vaše datoteke so šifrirane!
Geslo je edinstveno za vaš računalnik.Plačajte znesek 0.05 BTC na Bitcoin naslov: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Po plačilu mi pošljite e-pošto in pripnite datoteko pass.key [e-pošta zaščitena] z obvestilom o plačilu.Po potrditvi vam pošljem dekriptor za datoteke.
Na spletu lahko bitcoine plačate na različne načine:
— plačilo z bančno kartico
O bitcoinih:
Če imate kakršna koli vprašanja, mi pišite na [e-pošta zaščitena]
Kot bonus vam bom povedal, kako so vdrli v vaš računalnik in kako ga zaščititi v prihodnje.
Pretentan volk, zasnovan tako, da žrtvi pokaže resnost situacije. Vendar bi lahko bilo še slabše.
riž. 1. -Kot bonus vam bom povedal, kako zaščititi svoj računalnik v prihodnosti. – Zdi se zakonito.
II. Začnimo
Najprej smo pogledali strukturo poslanega vzorca. Nenavadno ni bilo videti kot datoteka, ki jo je poškodovala izsiljevalska programska oprema. Odprite heksadecimalni urejevalnik in si oglejte. Prvi 4 bajti vsebujejo izvirno velikost datoteke, naslednjih 60 bajtov je zapolnjenih z ničlami. A najbolj zanimivo je na koncu:
riž. 2 Analizirajte poškodovano datoteko. Kaj vam takoj pade v oči?
Vse se je izkazalo za nadležno preprosto: 0x40 bajtov iz glave je bilo premaknjenih na konec datoteke. Če želite obnoviti podatke, jih preprosto vrnite na začetek. Dostop do datoteke je sicer obnovljen, ime pa ostaja šifrirano in se z njim vse bolj zapleta.
riž. 3. Šifrirano ime v Base64 je videti kot nabor znakov.
Poskusimo ugotoviti pass.key, ki ga je poslal uporabnik. V njem vidimo 162-bajtno zaporedje znakov ASCII.
riž. 4. Na žrtvinem računalniku je ostalo še 162 znakov.
Če pogledate natančno, boste opazili, da se simboli ponavljajo z določeno frekvenco. To lahko pomeni uporabo XOR, za katerega so značilna ponavljanja, katerih pogostost je odvisna od dolžine ključa. Ko smo niz razdelili na 6 znakov in uporabili XOR z nekaterimi različicami zaporedij XOR, nismo dosegli nobenega pomembnega rezultata.
riž. 5. Vidite ponavljajoče se konstante na sredini?
Odločili smo se, da bomo poguglali konstante, ker ja, tudi to je mogoče! In vsi so na koncu pripeljali do enega algoritma - paketnega šifriranja. Po študiju scenarija je postalo jasno, da naša linija ni nič drugega kot rezultat njenega dela. Treba je omeniti, da to sploh ni šifrirnik, ampak le kodirnik, ki zamenjuje znake s 6-bajtnimi zaporedji. Brez ključev ali drugih skrivnosti za vas :)
riž. 6. Del izvirnega algoritma neznanega avtorja.
Algoritem ne bi deloval, kot bi moral, če ne bi bilo ene podrobnosti:
riž. 7. Morpheus odobren.
Z obratno zamenjavo pretvorimo niz iz pass.key v besedilo s 27 znaki. Človeško (najverjetneje) besedilo 'asmodat' si zasluži posebno pozornost.
Slika 8. USGFDG=7.
Google nam bo spet pomagal. Po kratkem iskanju najdemo zanimiv projekt na GitHubu - Folder Locker, napisan v .Net in uporablja knjižnico 'asmodat' iz drugega računa Git.
riž. 9. Vmesnik Folder Locker. Ne pozabite preveriti zlonamerne programske opreme.
Pripomoček je šifrirnik za Windows 7 in novejše, ki se distribuira kot odprtokoden. Med šifriranjem se uporablja geslo, ki je potrebno za naknadno dešifriranje. Omogoča delo tako s posameznimi datotekami kot s celotnimi imeniki.
Njegova knjižnica uporablja algoritem simetričnega šifriranja Rijndael v načinu CBC. Omeniti velja, da je bila izbrana velikost bloka 256 bitov - v nasprotju s tistim, sprejetim v standardu AES. Pri slednjem je velikost omejena na 128 bitov.
Naš ključ je generiran po standardu PBKDF2. V tem primeru je geslo SHA-256 iz niza, vnesenega v pripomoček. Vse, kar ostane, je najti ta niz za generiranje ključa za dešifriranje.
No, vrnimo se k našemu že dekodiranemu pass.key. Se spomnite tiste vrstice z nizom številk in besedilom 'asmodat'? Poskusimo uporabiti prvih 20 bajtov niza kot geslo za Folder Locker.
Glej, deluje! Pojavila se je kodna beseda in vse je bilo popolnoma dešifrirano. Po znakih v geslu sodeč gre za HEX predstavitev določene besede v ASCII. Poskusimo kodno besedo prikazati v besedilni obliki. Dobimo 'shadowwolf'. Že čutite simptome likantropije?
Oglejmo si še enkrat strukturo prizadete datoteke, zdaj pa vemo, kako deluje omarica:
- 02 00 00 00 – način šifriranja imena;
- 58 00 00 00 – dolžina šifriranega in base64 kodiranega imena datoteke;
- 40 00 00 00 – velikost prenesene glave.
Samo šifrirano ime in prenesena glava sta označena z rdečo oziroma rumeno.
riž. 10. Šifrirano ime je označeno rdeče, prenesena glava pa rumeno.
Zdaj pa primerjajmo šifrirana in dešifrirana imena v šestnajstiški predstavitvi.
Struktura dešifriranih podatkov:
- 78 B9 B8 2E – smeti, ki jih je ustvaril pripomoček (4 bajti);
- 0С 00 00 00 – dolžina dešifriranega imena (12 bajtov);
- Sledi dejansko ime datoteke in polnjenje z ničlami do zahtevane dolžine bloka (polnilo).
riž. 11. IMG_4114 izgleda veliko bolje.
III. Sklepi in Zaključek
Nazaj na začetek. Ne vemo, kaj je motiviralo avtorja Wulfric.Ransomware in kakšen cilj je zasledoval. Seveda se bo za povprečnega uporabnika rezultat dela celo takšnega šifrirnika zdel velika katastrofa. Datoteke se ne odprejo. Vsa imena so izginila. Namesto običajne slike je na ekranu volk. Silijo vas, da berete o bitcoinih.
Res je, tokrat se je pod krinko "groznega kodirnika" skrival tako smešen in neumen poskus izsiljevanja, kjer napadalec uporablja že pripravljene programe in pusti ključe kar na kraju zločina.
Mimogrede, o ključih. Nismo imeli zlonamernega skripta ali trojanca, ki bi nam lahko pomagal razumeti, kako se je to zgodilo. pass.key – mehanizem, s katerim se datoteka pojavi na okuženem računalniku, ostaja neznan. Toda spomnim se, da je avtor v svoji opombi omenil edinstvenost gesla. Torej, kodna beseda za dešifriranje je tako edinstvena, kot je edinstveno uporabniško ime shadow wolf :)
In vendar, senčni volk, zakaj in zakaj?
Vir: www.habr.com