Mararka qaarkood waxaad rabtaa inaad eegto indhaha qaar ka mid ah qoraayaasha fayraska oo aad waydiiso: sabab iyo sabab? Waxaan ka jawaabi karnaa su'aasha "sida" nafteena, laakiin waxay noqon doontaa mid aad u xiiso badan in la ogaado waxa kan ama kan abuuray malware uu ku fekerayo. Gaar ahaan marka aan la kulanno "luul" noocan oo kale ah.
Halyeyga maqaalka maanta waa tusaale xiiso leh oo ku saabsan cryptographer. Sida muuqata waxaa loo maleeyay inay tahay "ransomware" kale, laakiin dhaqangelinteeda farsamo waxay u egtahay kaftan naxariis darro ah oo qof. Waxaan ka hadli doonaa hirgelintan maanta.
Nasiib darro, waa wax aan macquul aheyn in la raadiyo wareegga nolosha ee encoder-kan - waxaa jira tirokoobyo aad u yar, tan iyo, nasiib wanaag, ma aysan noqon mid baahsan. Sidaa darteed, waxaan ka tagi doonaa asalka, hababka caabuqa iyo tixraacyada kale. Aan ka hadalno kiiskeena la kulanka Wulfric Ransomware iyo sida aan uga caawinay isticmaaluhu inuu kaydiyo faylashiisa.
I. Siday ku bilaabmeen
Dadka dhibanayaasha madax furasho loo geystay waxay inta badan la xidhiidhaan shaybaadhkayaga ka hortagga fayraska. Waxaanu bixinaa caawimo iyada oo aan loo eegin agabka fayraska ee ay rakibeen. Markan waxa nala soo xidhiidhay qof faylashiisa ay saamaysay codeer aan la garanayn.
Galab wanaagsan Faylasha waxaa lagu sireeyay kaydinta faylka (samba4) oo leh sir la'aan. Waxaan ka shakisanahay in caabuqa uu ka yimid kombiyuutarka gabadhayda (Windows 10 oo leh ilaalinta caadiga ah ee Difaaca Windows). Inanta kombuyuutarkeeda lama daarin intaas ka dib. Faylasha waa la sir ah inta badan .jpg iyo .cr2. Fidinta faylka ka dib sirta: .aef.
Waxaan ka helnay muunadaha isticmaalaha ee faylasha sir ah, warqad madax furasho ah, iyo fayl ay u badan tahay furaha qoraaga madaxfurasho u baahan yahay si uu u furfuro faylasha.
Waa kuwan dhammaan tilmaamahayaga:
- 01c.aef (4481K)
- la jabsaday.jpg (254K)
- la jabsaday.txt (0K)
- 04c.aef (6540K)
- furaha.furaha (0K)
Bal aan eegno qoraalka. Imisa bitcoins markan?
Tarjumaad:
Fiiro gaar ah, faylashaada waa la siryay!
Furaha sirta ah waa mid gaar u ah PC-gaaga.Ku bixi qaddarka 0.05 BTC ciwaanka Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Bixinta ka dib, ii soo dir iimayl, adoo ku lifaaqaya faylka pass.key [emailka waa la ilaaliyay] ogaysiis bixinta.Xaqiijinta ka dib, waxaan kuu soo diri doonaa furaha faylasha.
Waxaad ku bixin kartaa bitcoins online siyaabo kala duwan:
- bixinta kaarka bangiga
Ku saabsan Bitcoins:
Haddii aad wax su'aalo ah qabtid, fadlan iigu soo qor at [emailka waa la ilaaliyay]
Gunno ahaan, waxaan kuu sheegi doonaa sida kombiyuutarkaaga loo jabsaday iyo sida loo ilaaliyo mustaqbalka.
Yeey iska yeelyeel ah, oo loogu talagalay inuu tuso dhibbanaha halista xaaladda. Si kastaba ha ahaatee, way ka sii dari kartaa.
Bariis 1. - Gunno ahaan, waxaan kuu sheegi doonaa sida loo ilaaliyo kombiyuutarka mustaqbalka. -Xalaal ayey u egtahay.
II. Aan bilowno
Ugu horreyntii, waxaanu eegnay qaabka muunadda la soo diray. Si la yaab leh, uma eka fayl uu waxyeello u geystay ransomware. Fur tifaftiraha hexadecimal oo eeg. 4-ta bytes ee ugu horreeya waxa ay ka kooban yihiin cabbirka faylka asalka ah, 60-ka bytes ee xiga waxaa ka buuxa eber. Laakiin waxa ugu xiisaha badan ayaa ah dhamaadka:
Bariis 2 Falanqee faylka dhaawacmay. Maxaa isla markiiba ishaada qabanaya?
Wax walba waxay noqdeen kuwo fudud oo dhibsado: 0x40 bytes laga soo bilaabo madaxa ayaa loo raray dhamaadka faylka. Si loo soo celiyo xogta, si fudud ugu soo celi bilawga. Gelitaanka faylka ayaa dib loo soo celiyay, laakiin magaca ayaa weli ah mid sir ah, oo arrimuhu aad bay ugu sii cakirnaanayaan.
Bariis 3. Magaca qarsoodiga ah ee ku yaal Base64 wuxuu u eg yahay xarfo xarago leh.
Aan isku dayno inaan ogaano dhaaf.furaha, waxaa soo gudbiyay isticmaale Dhexdeeda waxaan ku aragnaa isku xigxiga 162-byte ee jilayaasha ASCII.
Bariis 4. 162 xaraf oo ku hadhay PC dhibbanaha.
Haddii aad si dhow u eegto, waxaad ogaan doontaa in calaamadaha lagu soo celceliyo inta jeer ee go'an. Tani waxay muujin kartaa isticmaalka XOR, kaas oo lagu garto soo noqnoqoshada, inta jeer ee ay ku xiran tahay dhererka furaha. Anagoo xadhiga u kala qaybinay 6 xaraf oo XOR lagu daray noocyo taxane ah oo XOR ah, ma aanaan gaadhin natiijo macno leh.
Bariis 5. Bal eeg joogtooyinka soo noqnoqda ee dhexda ah?
Waxaan go'aansanay inaan Google-ka joogto, sababtoo ah haa, taasi sidoo kale waa suurtagal! Dhammaantoodna ugu dambeyntii waxay keeneen hal algorithm - Batch Encryption. Ka dib markii aan baranay qoraalka, waxaa caddaatay in khadkeennu aanu ahayn wax ka badan natiijada shaqadeeda. Waa in la xuso in kani aanu gabi ahaanba ahayn encryptor, balse uu yahay un codeer ku bedelaya jilayaasha isku xigxiga 6-byte. Furayaal ama siro kale kuu ma jiraan :)
Bariis 6. Qayb ka mid ah algorithm-kii asalka ahaa ee qoraaga aan la garanayn.
Algorithm uma shaqeyn doono sidii la rabay haddii aysan ahayn hal tafaasiil:
Bariis 7. Morpheus waa la ansixiyay.
Isticmaalka beddelka gadaasha waxaanu ka beddelnaa xadhigga dhaaf.furaha qoraal ka kooban 27 xaraf. Qoraalka bini'aadamka (oo ay u badan tahay) 'asmodat' wuxuu mudan yahay fiiro gaar ah.
Jaantus.8. USGFDG=7.
Google ayaa mar kale na caawin doonta. Wax yar ka dib raadinta, waxaan ka helnaa mashruuc xiiso leh GitHub - Folder Locker, oo ku qoran .Net oo isticmaalaya maktabadda 'asmodat' akoon kale oo Git ah.
Bariis 9. Faylka Locker interface. Hubi inaad iska hubiso malware.
Utility waa encryptor Windows 7 iyo wixii ka sareeya, kaas oo loo qaybiyay il furan. Inta lagu jiro sirta, erayga sirta ah ayaa la isticmaalaa, kaas oo lagama maarmaan u ah fur-furka xiga. Waxay kuu ogolaanaysaa inaad ku shaqeyso faylal gaar ah iyo hagayaal dhan.
Maktabadeedu waxay u isticmaashaa Rijndael summetric encryption algorithm ee qaabka CBC. Waxaa xusid mudan in cabbirka baloogga loo doortay inuu noqdo 256-bits - taas oo ka duwan tii lagu qaatay heerka AES. Midda dambe, cabbirku wuxuu ku kooban yahay 128 bits.
Fureheena waxaa loo soo saaray si waafaqsan heerka PBKDF2. Xaaladdan oo kale, erayga sirta ah waa SHA-256 ee xadhigga la geliyey utility. Waxa hadhay waa in la helo xadhigan si loo dhaliyo furaha furaha.
Hagaag, aan ku soo laabano koodkii hore dhaaf.furaha. Xusuusnow xariiqdaas leh tirooyin tiro iyo qoraalka 'asmodat'? Aynu isku dayno inaan u isticmaalno 20-ka bytes ee ugu horreeya ee xadhigga sirta ah ee Lockerka Folderka.
Bal eeg, way shaqeysaa! Erayga kood ayaa soo baxay, wax walbana si fiican ayaa loo qeexay. Marka la eego jilayaasha erayga sirta ah, waa HEX matalaad kelmad gaar ah oo ku jirta ASCII. Aan isku dayno inaan ku muujino ereyga koodka qaab qoraal ah. Waan helnaa'shadowwolf'. Ma dareemaysaa calaamadaha lycanthropy?
Aan mid kale eegno qaab dhismeedka faylka la saameeyay, anagoo og sida uu u shaqeeyo sanduuqa:
- 02 00 00 00 - qaabka qarsoodiga magaca;
- 58 00 00 00 - dhererka sirta ah iyo saldhigga64 magaca faylka la calaamadeeyay;
- 40 00 00 00 - cabbirka madaxa la wareejiyay.
Magaca qarsoon laftiisa iyo madaxa la wareejiyay ayaa lagu muujiyay casaan iyo jaalle, siday u kala horreeyaan.
Bariis 10. Magaca sirta ah waxaa lagu iftiimiyay casaan, madaxa la wareejiyay waxaa lagu muujiyay jaale.
Hadda aan is barbar dhigno magacyada la sireeyay iyo kuwa la furay ee matalaadda hexadecimal.
Qaab dhismeedka xogta la furay:
- 78 B9 B8 2E - qashinka ay abuurtay utility (4 bytes);
- 0С 00 00 00 - dhererka magaca la furay (12 bytes);
- Waxa ku xiga magaca faylka dhabta ah iyo suufka leh eber ilaa dhererka loo baahan yahay (padding).
Bariis 11. IMG_4114 waxay u muuqataa mid aad u fiican.
III. Gabagabo iyo Gabagabo
Ku noqo bilawgii. Ma garanayno waxa ku kalifay qoraaga Wulfric.Ransomware iyo yoolka uu hiigsanayo. Dabcan, celceliska isticmaalaha, natiijada shaqada xitaa encryptor-ka noocan oo kale ah waxay u ekaan doontaa masiibo weyn. Faylasha ma furmaan Dhammaan magacyadii way dhammaadeen. Halkii laga heli lahaa sawirka caadiga ah, waxaa jira yeey shaashadda. Waxay kugu qasbayaan inaad wax ka akhrido bitcoins.
Run, markan, oo hoos imanaya magaca "Encoder aad u xun," waxaa jiray isku day doqonnimo oo qosol leh oo baadda ah, halkaas oo weeraryahanku isticmaalo barnaamijyo diyaarsan oo uu furayaasha ka tago isla goobta dembiga.
By habka, oo ku saabsan furayaasha. Ma aanan lahayn qoraal xaasidnimo ah ama Trojan oo naga caawin kara fahamka sida ay tani u dhacday. dhaaf.furaha - Habka uu faylka ugu soo baxo PC-ga cudurka qaba ayaa weli ah mid aan la garanayn. Laakiin, waxaan xusuustaa, qoraalkiisa qoraagu waxa uu ku xusay gaar ahaan erayga sirta ah. Marka, ereyga fur-fudud ee loo yaqaan 'decryption' waa mid gaar ah sida magaca isticmaalaha hadhka Yeey uu u gaar yahay :)
Oo weliba, yeey hadh, sababta iyo sababta?
Source: www.habr.com