Ndonjëherë thjesht dëshironi të shikoni në sytë e ndonjë shkrimtari të virusit dhe të pyesni: pse dhe pse? Ne mund t'i përgjigjemi vetë pyetjes "si", por do të ishte shumë interesante të zbulonim se çfarë po mendonte ky apo ai krijues i malware. Sidomos kur hasim "perla" të tilla.
Heroi i artikullit të sotëm është një shembull interesant i një kriptografi. Me sa duket ishte konceptuar si një tjetër "ransomware", por zbatimi i tij teknik duket më shumë si shaka mizore e dikujt. Ne do të flasim për këtë zbatim sot.
Fatkeqësisht, është pothuajse e pamundur të gjurmosh ciklin jetësor të këtij koduesi - ka shumë pak statistika për të, pasi, për fat të mirë, ai nuk është bërë i përhapur. Prandaj, ne do të lëmë jashtë origjinën, metodat e infeksionit dhe referenca të tjera. Le të flasim vetëm për rastin tonë të takimit Ransomware Wulfric dhe si e ndihmuam përdoruesin të ruante skedarët e tij.
I. Si filloi gjithçka
Njerëzit që kanë qenë viktima të ransomware shpesh kontaktojnë laboratorin tonë antivirus. Ne ofrojmë ndihmë pavarësisht nga produktet antivirus që ata kanë instaluar. Këtë herë ne u kontaktuam nga një person, dosjet e të cilit u prekën nga një kodues i panjohur.
Mirembrema Skedarët u koduan në një ruajtje skedari (samba4) me hyrje pa fjalëkalim. Dyshoj se infeksioni erdhi nga kompjuteri i vajzës sime (Windows 10 me mbrojtje standarde të Windows Defender). Kompjuteri i vajzës nuk u ndez më pas. Skedarët janë të koduar kryesisht .jpg dhe .cr2. Zgjatja e skedarit pas enkriptimit: .aef.
Ne morëm nga përdoruesi mostra të skedarëve të koduar, një shënim shpërblesëje dhe një skedar që ka të ngjarë të jetë çelësi që autorit të ransomware i nevojitej për të deshifruar skedarët.
Këtu janë të gjitha të dhënat tona:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- çelësi i kalimit (0K)
Le t'i hedhim një sy shënimit. Sa bitcoin këtë herë?
përkthim:
Kujdes, skedarët tuaj janë të koduar!
Fjalëkalimi është unik për kompjuterin tuaj.Paguani shumën prej 0.05 BTC në adresën e Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Pas pagesës, më dërgoni një email, duke bashkangjitur skedarin pass.key [email mbrojtur] me njoftimin e pagesës.Pas konfirmimit, do t'ju dërgoj një deshifrues për skedarët.
Ju mund të paguani për bitcoin në internet në mënyra të ndryshme:
- pagesa me karte bankare
Rreth Bitcoins:
Nëse keni ndonjë pyetje, ju lutem më shkruani në [email mbrojtur]
Si bonus, unë do t'ju tregoj se si kompjuteri juaj është hakuar dhe si ta mbroni atë në të ardhmen.
Një ujk pretencioz, i krijuar për t'i treguar viktimës seriozitetin e situatës. Megjithatë, mund të ishte më keq.
Oriz. 1. -Si bonus, do t'ju tregoj se si ta mbroni kompjuterin tuaj në të ardhmen. -Duket e drejtë.
II. Le të fillojmë
Para së gjithash, ne shikuam strukturën e mostrës së dërguar. Mjaft e çuditshme, nuk dukej si një skedar që ishte dëmtuar nga ransomware. Hapni redaktorin heksadecimal dhe hidhini një sy. 4 bajtët e parë përmbajnë madhësinë origjinale të skedarit, 60 bajtët e ardhshëm janë të mbushur me zero. Por gjëja më interesante është në fund:
Oriz. 2 Analizoni skedarin e dëmtuar. Çfarë ju bie menjëherë në sy?
Gjithçka doli të ishte bezdisëse e thjeshtë: 0x40 bajt nga kreu u zhvendosën në fund të skedarit. Për të rivendosur të dhënat, thjesht kthejini ato në fillim. Qasja në skedar është rivendosur, por emri mbetet i koduar dhe gjërat po ndërlikohen me të.
Oriz. 3. Emri i koduar në Base64 duket si një grup karakteresh i rrëmujshëm.
Le të përpiqemi ta kuptojmë kaloj.çelës, dorëzuar nga përdoruesi. Në të shohim një sekuencë 162-byte karakteresh ASCII.
Oriz. 4. 162 karaktere të mbetura në kompjuterin e viktimës.
Nëse shikoni nga afër, do të vini re se simbolet përsëriten me një frekuencë të caktuar. Kjo mund të tregojë përdorimin e XOR, i cili karakterizohet nga përsëritje, frekuenca e të cilave varet nga gjatësia e çelësit. Pasi e kemi ndarë vargun në 6 karaktere dhe e kemi XORuar me disa variante të sekuencave XOR, nuk kemi arritur asnjë rezultat domethënës.
Oriz. 5. Shihni konstantet që përsëriten në mes?
Ne vendosëm të kërkojmë konstante në google, sepse po, edhe kjo është e mundur! Dhe të gjithë përfundimisht çuan në një algoritëm - Kriptimi i grupeve. Pas studimit të skenarit, u bë e qartë se linja jonë nuk është gjë tjetër veçse rezultat i punës së saj. Duhet të theksohet se ky nuk është fare një enkriptues, por thjesht një kodues që zëvendëson karakteret me sekuenca 6-bajtëshe. Nuk ka çelësa apo sekrete të tjera për ju :)
Oriz. 6. Një pjesë e algoritmit origjinal me autorësi të panjohur.
Algoritmi nuk do të funksiononte siç duhet nëse jo për një detaj:
Oriz. 7. Morfeu miratoi.
Duke përdorur zëvendësimin e kundërt ne transformojmë vargun nga kaloj.çelës në një tekst me 27 karaktere. Teksti njerëzor (me shumë gjasa) 'asmodat' meriton vëmendje të veçantë.
Fig.8. USGFDG=7.
Google do të na ndihmojë përsëri. Pas pak kërkimi, gjejmë një projekt interesant në GitHub - Folder Locker, i shkruar në .Net dhe duke përdorur bibliotekën 'asmodat' nga një llogari tjetër Git.
Oriz. 9. Ndërfaqja e Dosjes së Dosjeve. Sigurohuni që të kontrolloni për malware.
Shërbimi është një kriptor për Windows 7 dhe më të lartë, i cili shpërndahet si burim i hapur. Gjatë kriptimit, përdoret një fjalëkalim, i cili është i nevojshëm për deshifrimin e mëvonshëm. Ju lejon të punoni si me skedarë individualë ashtu edhe me drejtori të tëra.
Biblioteka e saj përdor algoritmin e kriptimit simetrik Rijndael në modalitetin CBC. Vlen të përmendet se madhësia e bllokut u zgjodh të jetë 256 bit - në kontrast me atë të miratuar në standardin AES. Në këtë të fundit, madhësia është e kufizuar në 128 bit.
Çelësi ynë gjenerohet sipas standardit PBKDF2. Në këtë rast, fjalëkalimi është SHA-256 nga vargu i futur në program. Gjithçka që mbetet është të gjesh këtë varg për të gjeneruar çelësin e deshifrimit.
Epo, le të kthehemi te deshifrimi ynë tashmë kaloj.çelës. E mbani mend atë rreshtin me një grup numrash dhe tekstin 'asmodat'? Le të përpiqemi të përdorim 20 bajtët e parë të vargut si fjalëkalim për Folder Locker.
Shikoni, funksionon! Fjala e koduar doli dhe gjithçka u deshifrua në mënyrë perfekte. Duke gjykuar nga karakteret në fjalëkalim, është një paraqitje HEX e një fjale specifike në ASCII. Le të përpiqemi të shfaqim fjalën e kodit në formë teksti. ne marrim 'ujku hije'. I ndjeni tashmë simptomat e likantropisë?
Le të hedhim një vështrim tjetër në strukturën e skedarit të prekur, tani duke ditur se si funksionon dollapi:
- 02 00 00 00 – mënyra e kriptimit të emrit;
- 58 00 00 00 – gjatësia e emrit të skedarit të koduar dhe të koduar bazë64;
- 40 00 00 00 – madhësia e kokës së transferuar.
Vetë emri i koduar dhe titulli i transferuar theksohen përkatësisht me të kuqe dhe të verdhë.
Oriz. 10. Emri i koduar theksohet me të kuqe, titulli i transferuar theksohet me të verdhë.
Tani le të krahasojmë emrat e koduar dhe të deshifruar në paraqitjen heksadecimal.
Struktura e të dhënave të deshifruara:
- 78 B9 B8 2E – mbeturina të krijuara nga shërbimi (4 bajt);
- 0С 00 00 00 – gjatësia e emrit të deshifruar (12 bajt);
- Më pas vjen emri aktual i skedarit dhe mbushja me zero në gjatësinë e kërkuar të bllokut (mbushje).
Oriz. 11. IMG_4114 duket shumë më mirë.
III. Konkluzione dhe Konkluzione
Kthehu në fillim. Nuk e dimë se çfarë e motivoi autorin e Wulfric.Ransomware dhe çfarë qëllimi ndoqi. Sigurisht, për përdoruesin mesatar, rezultati i punës edhe të një kriptori të tillë do të duket si një fatkeqësi e madhe. Skedarët nuk hapen. Të gjithë emrat janë zhdukur. Në vend të figurës së zakonshme, në ekran është një ujk. Ata ju detyrojnë të lexoni për bitcoin.
Vërtetë, këtë herë, nën maskën e një "koduesi të tmerrshëm", u fsheh një përpjekje kaq qesharake dhe budalla për zhvatje, ku sulmuesi përdor programe të gatshme dhe i lë çelësat pikërisht në vendin e krimit.
Nga rruga, në lidhje me çelësat. Ne nuk kishim një skenar me qëllim të keq ose një Trojan që mund të na ndihmonte të kuptonim se si ndodhi kjo. kaloj.çelës – mekanizmi me të cilin skedari shfaqet në një PC të infektuar mbetet i panjohur. Por, më kujtohet, në shënimin e tij autori përmendi veçantinë e fjalëkalimit. Pra, fjala e kodit për deshifrimin është po aq unike sa unik është emri i përdoruesit shadow wolf :)
E megjithatë, ujk hije, pse dhe pse?
Burimi: www.habr.com