O nisi taimi e te manaʻo moni e vaʻai i mata o se tusitala virus ma fesili: aisea ma aisea? E mafai ona tatou taliina le fesili "faʻafefea" i tatou lava, ae o le a manaia tele le suʻeina poʻo le a le mea o loʻo mafaufau i ai lenei mea poʻo lena mea leaga. Aemaise lava pe a tatou tau atu i ia “penina”.
O le toa o le tusiga o aso nei o se faʻataʻitaʻiga manaia o se cryptographer. E foliga mai na mafaufauina o se isi "ransomware", ae o lona faʻatinoga faʻapitoa e foliga mai e pei o se tausuaga leaga a se tasi. O le a tatou talanoa e uiga i lenei faʻatinoga i aso nei.
Ae paga lea, e toetoe lava a le mafai ona suʻeina le taamilosaga o le olaga o lenei encoder - e itiiti lava faʻamaumauga i luga, talu ai, o le mea e lelei ai, e leʻi faʻasalalauina. O le mea lea, o le a tatou tuua le amataga, auala o faʻamaʻi ma isi faʻamatalaga. Sei o tatou talanoa i le tatou mataupu o le feiloai ma Wulfric Ransomware ma le auala na matou fesoasoani ai i le tagata faʻaoga e faʻasaoina ana faila.
I. Na faapefea ona amata uma
O tagata na afaina i ransomware e masani ona faʻafesoʻotaʻi la matou fale suʻesuʻe anti-virus. Matou te tu'uina atu fesoasoani e tusa lava po'o a mea antivirus na latou fa'apipi'iina. O le taimi lea na fa'afeso'ota'ia ai i matou e se tagata na a'afia ana faila i se encoder e le iloa.
Manuia le aoauli O faila na fa'ailogaina i luga o se faila e teu ai (samba4) fa'atasi ai ma le saini e leai ni fa'ailoga. Ou te masalo o le faʻamaʻi na sau mai le komepiuta a loʻu afafine (Windows 10 faʻatasi ai ma le puipuiga a le Windows Defender). E lei kiina le komepiuta a le afafine ina ua uma lena. O faila o lo'o fa'aigoaina tele lava .jpg ma .cr2. Fa'aopoopo faila pe a uma fa'ailoga: .aef.
Na matou mauaina mai le tagata faʻaoga faʻataʻitaʻiga o faila faʻailoga, se faʻamatalaga tau tupe, ma se faila e foliga mai o le ki lea e manaʻomia e le tusitala ransomware e faʻamalo ai faila.
O a matou fa'amatalaga uma nei:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Sei o tatou tilotilo i le tusi. E fia bitcoins i lenei taimi?
Faʻaliliuga:
Fa'alogo, o au faila o lo'o fa'ailoga!
O le upu faataga e tulaga ese i lau PC.Totogi le aofaiga ole 0.05 BTC ile tuatusi Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
A maeʻa le totogiina, lafo mai ia te aʻu se imeli, faʻapipiʻi le faila pass.key i [imeli puipuia] fa'atasi ai ma fa'amatalaga o le totogiina.A maeʻa le faʻamaoniga, o le a ou auina atu ia te oe se decryptor mo faila.
E mafai ona e totogia bitcoins i luga ole laiga i auala eseese:
— totogi e ala ile faletupe
E uiga i Bitcoins:
Afai ei ai ni au fesili, fa'amolemole tusi mai ia te a'u ile [imeli puipuia]
O se ponesi, o le a ou taʻu atu ia te oe le auala na faʻafefe ai lau komepiuta ma le auala e puipuia ai i le lumanaʻi.
O se luko faafoliga, na fuafuaina e faʻaali atu i le tagata manua le ogaoga o le tulaga. Peitaʻi, atonu e sili atu ona leaga.
Alaisa. 1. -O se ponesi, o le a ou taʻu atu ia te oe le auala e puipuia ai lau komepiuta i le lumanaʻi. - E foliga mai e saʻo.
II. Tatou amata
Muamua lava, matou te tilotilo i le fausaga o le faʻataʻitaʻiga na lafoina. O le mea e ese ai, e leʻi foliga mai o se faila na faʻaleagaina e le ransomware. Tatala le faatonu hexadecimal ma vaai. O le 4 paita muamua o loʻo i ai le faila faila muamua, o le isi 60 paita e tumu i zeros. Ae o le mea e sili ona manaia i le faaiuga:
Alaisa. 2 Iloilo le faila ua faaleagaina. O le a le mea e vave ona pu'eina lou mata?
O mea uma na foliga mai e faigofie tele: 0x40 bytes mai le ulutala na siitia i le pito o le faila. Ina ia toe faʻafoʻi faʻamaumauga, toe faʻafoʻi i le amataga. O le avanoa i le faila ua toe faʻafoʻisia, ae o le igoa o loʻo faʻapipiʻiina, ma ua atili ai ona faigata.
Alaisa. 3. O le igoa fa'ailoga i Base64 e foliga mai o se seti o mataitusi.
Sei o tatou taumafai e mafaufau i ai pasi.ki, tu'uina atu e le tagata fa'aoga. I totonu tatou te vaʻaia ai se faʻasologa 162-byte o mataitusi ASCII.
Alaisa. 4. 162 mataitusi na totoe i le PC a le tagata manua.
Afai e te vaʻavaʻai totoʻa, o le a e matauina o faʻailoga e toe fai i se taimi faʻapitoa. E mafai ona faʻaalia ai le faʻaogaina o le XOR, lea e faʻaalia i le toe fai, o le taimi e faʻalagolago i le umi o le ki. O le vaevaeina o le manoa i 6 mataitusi ma XORed ma nisi o fesuiaiga o XOR sequences, matou te leʻi ausia se taunuuga aoga.
Alaisa. 5. Vaʻai i mea faifai pea i le ogatotonu?
Na matou filifili e google tumau, aua ioe, e mafai foi! Ma na latou taʻitaʻia uma i le tasi algorithm - Batch Encryption. Ina ua uma ona suʻesuʻeina le tusitusiga, na manino ai o la matou laina e leai se mea e sili atu nai lo le taunuuga o lana galuega. E tatau ona taʻua e le o se faʻailoga, ae naʻo se encoder e sui ai mataitusi i le 6-byte sequences. Leai ni ki po'o isi mealilo mo oe :)
Alaisa. 6. O se vaega o le uluai algorithm o le tusitala le iloa.
O le algorithm o le a le aoga e pei ona tatau ai pe a le mo se tasi auiliiliga:
Alaisa. 7. Ua faamaonia e Morpheus.
O le fa'aogaina o le sui fa'afo'i matou te suia le manoa mai pasi.ki i totonu o se tusitusiga e 27 mataitusi. O le tagata (e foliga mai) tusitusiga 'asmodat' e tatau ona fa'apitoa.
Ata.8. USGFDG=7.
Google o le a toe fesoasoani mai. A maeʻa sina suʻesuʻega, matou te maua se galuega manaia ile GitHub - Folder Locker, tusia ile .Net ma faʻaoga le faletusi 'asmodat' mai se isi tala Git.
Alaisa. 9. Fa'asinomaga Loka Folder. Ia mautinoa e siaki mo malware.
O le aoga o se faʻailoga mo Windows 7 ma maualuga atu, lea e tufatufa atu e avea ma punaoa tatala. I le taimi o faʻamatalaga, e faʻaaogaina se upu faʻamaonia, lea e manaʻomia mo le faʻamalo mulimuli ane. Fa'ataga oe e galue uma i faila ta'itasi ma fa'amaumauga atoa.
O lona faletusi e faʻaaogaina le Rijndael symmetric encryption algorithm i le CBC mode. E maitauina o le poloka poloka na filifilia e 256 bits - faʻatusatusa i le faʻaaogaina i le tulaga AES. I le vaega mulimuli, o le tele e gata i le 128 bits.
O la matou ki e gaosia e tusa ai ma le tulaga PBKDF2. I lenei tulaga, o le upu faʻamaonia o le SHA-256 mai le manoa na tuʻuina i totonu o le aoga. Pau lava le mea o loʻo totoe o le suʻeina lea o lenei manoa e faʻatupu ai le ki decryption.
Ia, tatou toe fo'i i la tatou fa'avasegaina pasi.ki. Manatua lena laina ma se seti o numera ma le tusitusiga 'asmodat'? Tatou taumafai e fa'aoga le 20 paita muamua o le manoa e fai ma fa'aupuga mo le Folder Locker.
Vaai, e aoga! Na oo mai le upu code, ma sa faauigaina atoatoa mea uma. Fa'amasinoina i mataitusi i totonu o le fa'aupuga, o se fa'atusa HEX o se upu fa'apitoa i le ASCII. Se'i o tatou taumafai e fa'aali le upu fa'ailoga ile faiga o tusitusiga. matou maua 'luko luko'. Ua uma ona lagona auga o le lycanthropy?
Sei o tatou toe tilotilo i le fausaga o le faila ua afaina, ua iloa nei le auala e galue ai le loka:
- 02 00 00 00 - faʻailoga faʻailoga igoa;
- 58 00 00 00 - umi ole igoa faila fa'ailoga ma base64;
- 40 00 00 00 - lapo'a o le ulutala ua fa'aliliuina.
O le igoa fa'ailoga lava ia ma le ulutala fa'aliliu e fa'ailoa i le mumu ma le samasama, fa'asologa.
Alaisa. 10. O le igoa fa'ailoga ua fa'amamafaina i le mumu, o le ulutala fa'aliliu e fa'ailoa i le samasama.
Se'i o tatou fa'atusatusa igoa fa'ailoga ma fa'a'ese'ese ile fa'atusa o le hexadecimal.
Fa'atulagaga o fa'amaumauga ua fa'asalaina:
- 78 B9 B8 2E - lapisi na faia e le aoga (4 paita);
- 0С 00 00 00 - umi o le igoa decrypted (12 bytes);
- E soso'o mai le igoa faila ma le padding ma zeros i le umi poloka mana'omia (padding).
Alaisa. 11. IMG_4114 foliga sili atu ona lelei.
III. Fa'ai'uga ma Fa'ai'uga
Toe foi i le amataga. Matou te le iloa po o le a le mea na faaosofia ai le tusitala o Wulfric.Ransomware ma o le a le sini na ia tuliloaina. Ioe, mo le averesi tagata faʻaoga, o le taunuuga o le galuega e oʻo lava i se faʻailoga faʻailoga o le a foliga mai o se faʻalavelave tele. E le tatalaina faila. Ua leai uma igoa. Nai lo le ata masani, o loʻo i ai se luko i luga o le lau. Latou te faʻamalosia oe e faitau e uiga i bitcoins.
E moni, o le taimi lenei, i lalo o le faafoliga o se "encoder mataʻutia," na natia ai se taumafaiga faʻavalevalea ma faʻavalevalea i le faoa faamalosi, lea e faʻaaogaina ai e le tagata osofaʻi polokalame ua saunia ma tuʻu saʻo ki i le nofoaga o solitulafono.
I le ala, e uiga i ki. E leai sa matou tusitusiga leaga poʻo Trojan e mafai ona fesoasoani ia matou malamalama pe faʻapefea ona tupu lenei mea. pasi.ki - o le masini e faʻaalia ai le faila i luga o se PC faʻamaʻi e le o iloa. Ae, ou te manatua, i lana tusi na taʻua ai e le tusitala le tulaga ese o le uputatala. O lea la, o le upu code mo decryption e tulaga ese e pei o le username shadow wolf e tulaga ese :)
Ae ui i lea, luko paolo, aisea ma aisea?
puna: www.habr.com