Понекад само желите да погледате у очи неког писца вируса и питате: зашто и зашто? На питање „како“ можемо да одговоримо и сами, али би било веома интересантно сазнати шта је мислио овај или онај креатор малвера. Поготово када наиђемо на такве „бисере“.
Јунак данашњег чланка је занимљив пример криптографа. Очигледно је замишљен као само још један „рансомваре“, али његова техничка имплементација више личи на нечију окрутну шалу. Данас ћемо разговарати о овој имплементацији.
Нажалост, готово је немогуће пратити животни циклус овог енкодера - премало је статистике о њему, јер, на срећу, није постао широко распрострањен. Стога ћемо изоставити порекло, методе инфекције и друге референце. Хајде да причамо о нашем случају сусрета са Вулфриц Рансомваре и како смо помогли кориснику да сачува своје фајлове.
И. Како је све почело
Људи који су били жртве рансомваре-а често контактирају нашу антивирусну лабораторију. Пружамо помоћ без обзира на то које антивирусне производе су инсталирали. Овог пута нас је контактирала особа на чије фајлове је утицао непознати кодер.
Добар дан Датотеке су шифроване на складишту датотека (самба4) са пријављивањем без лозинке. Претпостављам да је инфекција дошла са рачунара моје ћерке (Виндовс 10 са стандардном заштитом Виндовс Дефендер). Ћеркин компјутер након тога није био укључен. Датотеке су шифроване углавном .јпг и .цр2. Екстензија датотеке након шифровања: .аеф.
Добили смо од корисника узорке шифрованих датотека, напомену о откупнини и датотеку која је вероватно кључ који је аутор рансомвера требао да дешифрује датотеке.
Ево свих наших трагова:
- 01ц.аеф (4481К)
- хацкед.јпг (254К)
- хацкед.ткт (0К)
- 04ц.аеф (6540К)
- пасс.кеи (0К)
Хајде да погледамо белешку. Колико биткоина овог пута?
Превод:
Пажња, ваше датотеке су шифроване!
Лозинка је јединствена за ваш рачунар.Уплатите износ од 0.05 БТЦ на Битцоин адресу: 1ЕРтРјВАКиГ2Едм9нКЛЛЦзд8п1ЦјјдТиФ
Након уплате, пошаљите ми е-маил са прилагањем датотеке пасс.кеи [емаил заштићен] уз обавештење о уплати.Након потврде, послаћу вам дешифровање датотека.
Можете платити биткоине на мрежи на различите начине:
— плаћање банковном картицом
О биткоинима:
Ако имате питања, пишите ми на [емаил заштићен]
Као бонус, рећи ћу вам како је ваш рачунар хакован и како да га заштитите у будућности.
Претенциозни вук, дизајниран да покаже жртви озбиљност ситуације. Међутим, могло је бити и горе.
Пиринач. 1. -Као бонус, рећи ћу вам како да заштитите свој рачунар у будућности. – Изгледа легитимно.
ИИ. Хајде да почнемо
Пре свега, погледали смо структуру послатог узорка. Чудно, није изгледало као датотека коју је оштетио рансомваре. Отворите хексадецимални уређивач и погледајте. Прва 4 бајта садрже оригиналну величину датотеке, следећих 60 бајтова је попуњено нулама. Али најзанимљивије је на крају:
Пиринач. 2 Анализирајте оштећену датотеку. Шта вам одмах упада у очи?
Испоставило се да је све досадно једноставно: 0к40 бајтова из заглавља премештено је на крај датотеке. Да бисте вратили податке, једноставно их вратите на почетак. Приступ датотеци је враћен, али име остаје шифровано и ствари постају све компликованије са њим.
Пиринач. 3. Шифровано име у Басе64 изгледа као збркани скуп знакова.
Хајде да покушамо да то схватимо пасс.кеи, послао корисник. У њему видимо низ од 162 бајта АСЦИИ карактера.
Пиринач. 4. 162 карактера преостало на рачунару жртве.
Ако пажљиво погледате, приметићете да се симболи понављају са одређеном фреквенцијом. Ово може указивати на употребу КСОР-а, који се одликује понављањима, чија учесталост зависи од дужине кључа. Пошто смо стринг поделили на 6 карактера и КСОР спојили са неким варијантама КСОР секвенци, нисмо постигли никакав значајан резултат.
Пиринач. 5. Видите константе које се понављају у средини?
Одлучили смо да гугламо константе, јер да, и то је могуће! И сви су на крају довели до једног алгоритма - пакетног шифровања. Након проучавања сценарија, постало је јасно да наша линија није ништа друго до резултат њеног рада. Треба напоменути да ово уопште није енкриптор, већ само енкодер који замењује знакове секвенцама од 6 бајтова. Нема кључева или других тајни за вас :)
Пиринач. 6. Део оригиналног алгоритма непознатог ауторства.
Алгоритам не би функционисао како треба да нема једног детаља:
Пиринач. 7. Морфеус је одобрио.
Користећи обрнуту супституцију трансформишемо низ из пасс.кеи у текст од 27 знакова. Људски (највероватније) текст 'асмодат' заслужује посебну пажњу.
Фиг.8. УСГФДГ=7.
Гугл ће нам поново помоћи. После малог претраживања, налазимо занимљив пројекат на ГитХуб-у – Фолдер Лоцкер, написан у .Нет-у и који користи 'асмодат' библиотеку са другог Гит налога.
Пиринач. 9. Интерфејс Фолдер Лоцкер. Обавезно проверите да ли има малвера.
Услужни програм је енкриптор за Виндовс 7 и новије верзије, који се дистрибуира као опен соурце. Током шифровања користи се лозинка, која је неопходна за накнадно дешифровање. Омогућава вам да радите и са појединачним датотекама и са целим директоријумима.
Његова библиотека користи Ријндаел симетрични алгоритам шифровања у ЦБЦ режиму. Важно је напоменути да је величина блока изабрана да буде 256 бита - за разлику од оне усвојене у АЕС стандарду. У последњем, величина је ограничена на 128 бита.
Наш кључ је генерисан према стандарду ПБКДФ2. У овом случају, лозинка је СХА-256 из стринга унетог у услужни програм. Остаје само да пронађете овај низ за генерисање кључа за дешифровање.
Па, вратимо се на наше већ дешифроване пасс.кеи. Сећате се тог реда са скупом бројева и текстом 'асмодат'? Покушајмо да користимо првих 20 бајтова стринга као лозинку за Фолдер Лоцкер.
Види, ради! Шифра се појавила и све је савршено дешифровано. Судећи по знаковима у лозинки, то је ХЕКС приказ одређене речи у АСЦИИ. Покушајмо да прикажемо кодну реч у текстуалном облику. Добијамо 'схадовволф'. Већ осећате симптоме ликантропије?
Хајде да још једном погледамо структуру погођене датотеке, сада знајући како функционише ормарић:
- 02 00 00 00 – режим шифровања имена;
- 58 00 00 00 – дужина шифрованог и басе64 кодираног имена датотеке;
- 40 00 00 00 – величина пренетог заглавља.
Само шифровано име и пренето заглавље су истакнути црвеном и жутом бојом.
Пиринач. 10. Шифровано име је истакнуто црвеном бојом, пренето заглавље је истакнуто жутом.
Хајде сада да упоредимо шифрована и дешифрована имена у хексадецималном приказу.
Структура дешифрованих података:
- 78 Б9 Б8 2Е – смеће које је креирао услужни програм (4 бајта);
- 0С 00 00 00 – дужина дешифрованог имена (12 бајтова);
- Следеће долази стварно име датотеке и допуна нулама до потребне дужине блока (допуна).
Пиринач. 11. ИМГ_4114 изгледа много боље.
ИИИ. Закључци и Закључак
Назад на почетак. Не знамо шта је мотивисало аутора Вулфриц.Рансомваре-а и који је циљ тежио. Наравно, за просечног корисника, резултат рада чак и таквог енкриптора ће изгледати као велика катастрофа. Датотеке се не отварају. Сва имена су нестала. Уместо уобичајене слике, на екрану је вук. Терају вас да читате о биткоинима.
Истина, овог пута, под маском „страшног енкодера“, био је сакривен тако смешан и глуп покушај изнуде, где нападач користи готове програме и оставља кључеве на месту злочина.
Узгред, о кључевима. Нисмо имали злонамерни скрипт или тројанац који би нам могао помоћи да разумемо како се то догодило. пасс.кеи – механизам којим се датотека појављује на зараженом рачунару остаје непознат. Али, сећам се, аутор је у својој белешци поменуо јединственост лозинке. Дакле, кодна реч за дешифровање је јединствена колико је јединствено корисничко име схадов волф :)
Па ипак, вуко сенка, зашто и зашто?
Извор: ввв.хабр.цом