Ka linako tse ling u hlile u batla ho sheba mahlong a sengoli se seng sa vaerase ebe u botsa: hobaneng, hobaneng? Re ka araba potso ea "joang", empa e ka ba ho khahlisang haholo ho tseba hore na moetsi oa malware o ne a nahana eng. Haholo-holo ha re kopana le "liperela" tse joalo.
Mohale oa sengoloa sa kajeno ke mohlala o khahlisang oa moqolotsi oa litaba. Ho hlakile hore e ne e nkuoe e le "ransomware" e 'ngoe feela, empa ts'ebetsong ea eona ea tekheniki e shebahala joalo ka motlae o sehlōhō oa motho. Re tla bua ka ts'ebetsong ena kajeno.
Ka bomalimabe, ho batla ho sa khonehe ho latela nako ea bophelo ba encoder ena - ho na le lipalo-palo tse fokolang haholo ho eona, kaha, ka lehlohonolo, ha e e-so ate. Ka hona, re tla tlohela tšimoloho, mekhoa ea tšoaetso le litšupiso tse ling. Ha re bueng ka taba ea rona ea ho kopana le Wulfric Ransomware le kamoo re thusitseng mosebelisi ho boloka lifaele tsa hae.
I. Tsohle di qadile jwang
Batho bao e bileng liphofu tsa ransomware hangata ba ikopanya le laboratori ea rona ea anti-virus. Re fana ka thuso ho sa tsotelehe hore na ba kentse lihlahisoa life tsa antivirus. Lekhetlong lena re ile ra kopana le motho eo lifaele tsa hae li ileng tsa angoa ke k’howuda e sa tsejoeng.
Lumelang Lifaele li ne li kentsoe polokelong ea faele (samba4) ka ho kena ka password. Ke belaela hore tšoaetso e tsoa khomphuteng ea morali oa ka (Windows 10 e nang le tšireletso e tloaelehileng ea Windows Defender). Ka mor'a moo k'homphieutha ea morali ha ea ka ea buloa. Lifaele li patiloe haholo-holo .jpg le .cr2. Katoloso ea faele ka mor'a encryption: .aef.
Re amohetse ho tsoa ho lisampole tsa basebelisi ba lifaele tse patiloeng, lengolo la thekollo, le faele eo mohlomong e leng senotlolo seo mongoli oa ransomware a neng a se hloka ho hlakola lifaele.
Lintlha tsohle tsa rona ke tsena:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Ha re shebeng mongolo. Ke li-bitcoins tse kae ka nako ee?
Fetolela:
Ela hloko, lifaele tsa hau li patiloe!
Phasewete e ikhetha ho PC ea hau.Lefa chelete ea 0.05 BTC atereseng ea Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Kamora ho lefa, nthomelle lengolo-tsoibila, le hokela faele ea pass.key ho [imeile e sirelelitsoe] ka tsebiso ya tefo.Kamora ho netefatsa, ke tla u romella decryptor bakeng sa lifaele.
U ka lefa li-bitcoins inthaneteng ka mekhoa e fapaneng:
- tefo ka karete ea banka
Mabapi le li-Bitcoins:
Haeba u na le lipotso, ka kopo, ngolla ho [imeile e sirelelitsoe]
Joalo ka bonase, ke tla u joetsa hore na komporo ea hau e ile ea utsoa joang le hore na u ka e sireletsa joang nakong e tlang.
Phiri ea boikaketsi, e etselitsoeng ho bontša mohlaseluoa ho teba ha boemo. Leha ho le joalo, e ka be e bile mpe le ho feta.
Raese. 1. -Joaloka bonase, ke tla u bolella mokhoa oa ho sireletsa khomphuta ea hau nakong e tlang. -Ekare ea nnete.
II. Ha re qaleng
Pele ho tsohle, re ile ra sheba sebopeho sa sampole e rometsoeng. Ka mokhoa o makatsang, e ne e sa shebahale joalo ka faele e sentsoeng ke ransomware. Bula hexadecimal editor ebe u sheba. Li-byte tse 4 tsa pele li na le boholo ba faele ea mantlha, li-byte tse 60 tse latelang li tlatsitsoe ka li-zero. Empa ntho e khahlisang haholo ke qetellong:
Raese. 2 Sekaseka faele e senyehileng. Ke eng e u khahlang hang-hang?
Ntho e 'ngoe le e' ngoe e ile ea e-ba bonolo ka mokhoa o tenang: li-byte tse 0x40 ho tloha hloohong li ile tsa isoa qetellong ea faele. Ho tsosolosa data, feela e khutlisetse qalong. Phihlello ea faele e tsosolositsoe, empa lebitso le ntse le patiloe, 'me lintho li ntse li rarahana le ho feta.
Raese. 3. Lebitso le patiloeng ho Base64 le shebahala joalo ka sehlopha sa litlhaku tse qhekellang.
Ha re leke ho e utloisisa fetisa.senotlolo, e rometsoeng ke mosebelisi. Ho eona re bona tatellano ea 162-byte ea litlhaku tsa ASCII.
Raese. 4. Litlhaku tse 162 tse setseng ho PC ea mohlaseluoa.
Haeba u sheba ka hloko, u tla hlokomela hore matšoao a phetoa ka makhetlo a itseng. Sena se ka 'na sa bontša tšebeliso ea XOR, e khetholloang ka ho pheta-pheta, hangata e itšetlehileng ka bolelele ba senotlolo. Ka mor'a ho arola khoele hore e be litlhaku tse 6 le XORed ka mefuta e meng ea tatellano ea XOR, ha rea ka ra fihlela sephetho sa bohlokoa.
Raese. 5. Bona li-constants tse pheta-phetoang bohareng?
Re nkile qeto ea ho sebelisa li-constants tsa google, hobane ho joalo, le tsona lia khoneha! 'Me kaofela li ile tsa lebisa ho algorithm e le' ngoe - Batch Encryption. Ka mor'a ho ithuta script, ho ile ha hlaka hore mohala oa rona hase letho ho feta phello ea mosebetsi oa oona. Ho lokela ho boleloa hore sena ha se encryptor ho hang, empa ke encoder feela e nkelang litlhaku sebaka ka tatellano ea 6-byte. Ha ho linotlolo kapa liphiri tse ling bakeng sa hau :)
Raese. 6. Karolo ea algorithm ea pele ea bongoli bo sa tsejoeng.
Algorithm e ne e ke ke ea sebetsa kamoo e neng e lokela ho sebetsa kateng haeba e se ka ntlha e le 'ngoe:
Raese. 7. Morpheus o amohelehile.
Re sebelisa reverse substitution re fetola khoele ho tloha fetisa.senotlolo mongolong oa litlhaku tse 27. Sengolwa sa motho (se ka etsahalang) 'asmodat' se lokelwa ke tlhokomelo e kgethehileng.
Setšoantšo sa8. USGFDG=7.
Google e tla re thusa hape. Ka mor'a ho batlisisa hanyenyane, re fumana morero o thahasellisang ho GitHub - Folder Locker, e ngotsoeng ho .Net le ho sebelisa laebrari ea 'asmodat' ho tsoa akhaonteng e 'ngoe ea Git.
Raese. 9. Folder Locker segokanyimmediamentsi sa sebolokigolo. Etsa bonnete ba hore u hlahloba malware.
Ts'ebeliso ke encryptor bakeng sa Windows 7 le holimo, e ajoang joalo ka mohloli o bulehileng. Nakong ea encryption, ho sebelisoa password, e hlokahalang bakeng sa decryption e latelang. E u lumella ho sebetsa ka lifaele ka bomong le ka li-directory kaofela.
Laeborari ea eona e sebelisa algorithm ea symmetric encryption ea Rijndael ka mokhoa oa CBC. Hoa hlokomeleha hore boholo ba li-block bo khethiloe hore e be li-bits tse 256 - ho fapana le tse amoheloang ka mokhoa oa AES. Qetellong, boholo bo lekanyelitsoe ho li-bits tse 128.
Senotlolo sa rona se hlahisoa ho latela maemo a PBKDF2. Tabeng ena, phasewete ke SHA-256 ho tloha khoele e kentsoeng ts'ebetsong. Ho setseng ke ho fumana khoele ena ho hlahisa senotlolo sa decryption.
Ha re khutleleng ho tsa rona tse seng li khethiloe fetisa.senotlolo. Hopola mola oo o nang le palo ea linomoro le mongolo 'asmodat'? Ha re leke ho sebelisa li-byte tsa pele tse 20 tsa khoele joalo ka senotlolo sa Folder Locker.
Bona, ea sebetsa! Lentsoe la khoutu le ile la hlaha, 'me ntho e' ngoe le e 'ngoe e ile ea hlalosoa ka mokhoa o phethahetseng. Ho latela litlhaku tsa password, ke setšoantšo sa HEX sa lentsoe le itseng ho ASCII. Ha re leke ho hlahisa lentsoe la khoutu ka mokhoa oa mongolo. Re fumana'shadowwolf'. Na u se u ntse u utloa matšoao a lycanthropy?
Ha re shebeng hape sebopeho sa faele e amehileng, joale re tseba hore na locker e sebetsa joang:
- 02 00 00 00 - mokhoa oa ho kenyelletsa mabitso;
- 58 00 00 00 - bolelele ba lebitso la faele le encrypted le base64;
- 40 00 00 00 - boholo ba hlooho e fetisitsoeng.
Lebitso le patiloeng ka boeona le hlooho e fetisitsoeng li totobalitsoe ka bofubelu le bo mosehla, ka ho latellana.
Raese. 10. Lebitso le patiloeng le totobalitsoe ka bofubelu, hlooho e fetisitsoeng e totobatsoa ka mosehla.
Joale ha re bapiseng mabitso a patiloeng le a sirelelitsoeng ka boemeli ba hexadecimal.
Sebopeho sa data e sirelelitsoeng:
- 78 B9 B8 2E - lithōle tse entsoeng ke thuso (4 byte);
- 0С 00 00 00 - bolelele ba lebitso la decrypted (12 bytes);
- E latelang ho tla lebitso la 'nete la faele le padding e nang le zero ho bolelele ba block bo hlokahalang (padding).
Raese. 11. IMG_4114 e shebahala e le betere haholo.
III. Liqeto le Qetello
Khutlela qalong. Ha re tsebe hore na ke eng e ileng ea susumetsa mongoli oa Wulfric.Ransomware le hore na o ile a phehella sepheo sefe. Ha e le hantle, bakeng sa mosebedisi ea tloaelehileng, phello ea mosebetsi oa esita le encryptor e joalo e tla bonahala e le koluoa e kholo. Lifaele ha li bulehe. Mabitso kaofela a fedile. Ho e-na le setšoantšo se tloaelehileng, ho na le phiri skrineng. Ba u qobella ho bala ka li-bitcoins.
Ke 'nete, lekhetlong lena, tlas'a sekoahelo sa "encoder e tšabehang," ho ne ho patiloe boiteko bo joalo bo se nang kelello le booatla ba ho tlatlapa, moo mohlaseli a sebelisang mananeo a itokiselitseng le ho siea linotlolo hantle sebakeng sa tlōlo ea molao.
Ka tsela, mabapi le linotlolo. Re ne re se na mongolo o kotsi kapa Trojan e ka re thusang ho utloisisa hore na sena se etsahetse joang. fetisa.senotlolo - mokhoa oo faele e hlahang ka oona ho PC e nang le tšoaetso e ntse e sa tsejoe. Empa, ke hopola, lengolong la hae mongoli o buile ka ho ikhetha ha password. Kahoo, lentsoe la khoutu bakeng sa decryption le ikhethile joalo ka ha lebitso la moriti shadow wolf le ikhethile :)
Leha ho le joalo, phiri ea moriti, hobane'ng, hona hobane'ng?
Source: www.habr.com