Kadang-kadang anjeun ngan ukur hoyong ningali panon sababaraha panulis virus sareng naroskeun: kunaon sareng kunaon? Urang tiasa ngajawab patarosan "kumaha" sorangan, tapi bakal pisan metot pikeun manggihan naon ieu atawa nu panyipta malware ieu pamikiran. Utamana nalika urang mendakan "mutiara" sapertos kitu.
Pahlawan artikel dinten ieu mangrupikeun conto anu pikaresepeun pikeun cryptographer. Ieu tétéla katimu salaku ngan sejen "ransomware", tapi palaksanaan teknis na Sigana leuwih kawas lulucon kejam batur urang. Urang bakal ngobrol ngeunaan palaksanaan ieu ayeuna.
Hanjakalna, ampir teu mungkin pikeun ngalacak siklus kahirupan encoder ieu - aya sakedik statistik ngeunaan éta, sabab, untungna, éta henteu nyebar. Ku alatan éta, urang bakal ninggalkeun kaluar asal, métode inféksi jeung rujukan séjén. Hayu urang ngobrol ngeunaan kasus urang papanggih jeung Wulfric Ransomware sareng kumaha kami ngabantosan pangguna nyimpen file na.
I. Kumaha eta sadayana dimimitian
Jalma anu geus jadi korban ransomware mindeng ngahubungan laboratorium anti virus urang. Kami nyayogikeun bantosan henteu paduli produk antipirus naon anu aranjeunna dipasang. Ayeuna kami dikontak ku jalma anu filena kapangaruhan ku encoder anu teu dipikanyaho.
Wilujeng sonten Berkas énkripsi dina panyimpen file (samba4) kalayan login tanpa sandi. Kuring curiga yén inféksi asalna tina komputer putri abdi (Windows 10 kalayan panyalindungan Windows Defender standar). Komputer putri teu dihurungkeun sanggeus éta. Berkas-berkas énkripsi utamina .jpg sareng .cr2. Extension file sanggeus énkripsi: .aef.
Kami nampi ti conto pangguna file énkripsi, catetan tebusan, sareng file anu sigana konci anu diperyogikeun ku pangarang ransomware pikeun ngadekrip file.
Ieu sadayana petunjuk kami:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Hayu urang tingali catetan. Sabaraha bitcoins waktos ieu?
Tarjamahan:
Perhatosan, file anjeun énkripsi!
Sandi unik pikeun PC Anjeun.Mayar jumlah 0.05 BTC ka alamat Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Saatos mayar, kirimkeun kuring email, ngalampirkeun file pass.key ka [email dijaga] kalayan béwara pamayaran.Saatos konfirmasi, kuring bakal ngirim anjeun decryptor pikeun file.
Anjeun tiasa mayar bitcoins online ku sababaraha cara:
- mayar ku kartu bank
Ngeunaan Bitcoins:
Mun anjeun mibanda patalékan, mangga nulis ka kuring di [email dijaga]
Salaku bonus, kuring bakal nyarioskeun ka anjeun kumaha komputer anjeun diretas sareng kumaha cara ngajagi éta ka hareup.
A ajag pretentious, dirancang pikeun némbongkeun korban seriousness tina kaayaan. Nanging, éta tiasa langkung parah.
Sangu. 1. -Salaku bonus, abdi bakal ngabejaan ka maneh kumaha ngajaga komputer anjeun dina mangsa nu bakal datang. -Katingalina sah.
II. Hayu urang ngamimitian
Anu mimiti, urang nempo struktur sampel dikirim. Oddly cukup, éta teu kasampak kawas file nu geus ruksak ku ransomware. Buka redaktur heksadesimal sareng tingali. 4 bait munggaran ngandung ukuran file aslina, 60 bait salajengna dieusian ku nol. Tapi anu paling pikaresepeun nyaéta dina tungtungna:
Sangu. 2 Analisis file anu ruksak. Naon langsung nyekel panon anjeun?
Sagalana tétéla jadi annoyingly basajan: 0x40 bait ti lulugu dipindahkeun ka tungtung file. Pikeun mulangkeun data, kantun balikkeun deui ka awal. Aksés ka file parantos dibalikeun, tapi nami tetep énkripsi, sareng hal-hal janten langkung rumit.
Sangu. 3. Ngaran énkripsi dina Base64 Sigana mah susunan rambling karakter.
Hayu urang coba ngartos eta kaluar pass.konci, dikintunkeun ku pangguna. Di dinya urang ningali runtuyan 162-bait karakter ASCII.
Sangu. 4. 162 karakter ditinggalkeun dina PC korban.
Lamun neuteup taliti, anjeun bakal aya bewara yén simbol nu terus-terusan kalawan frékuénsi nu tangtu. Ieu bisa nunjukkeun pamakéan XOR, nu dicirikeun ku pangulangan, frékuénsi nu gumantung kana panjang konci. Saanggeus dibeulah string kana 6 karakter tur XORed kalawan sababaraha varian runtuyan XOR, urang teu ngahontal sagala hasil bermakna.
Sangu. 5. Ningali konstanta repeating di tengah?
Urang mutuskeun pikeun google konstanta, sabab enya, éta ogé mungkin! Sareng aranjeunna sadayana pamustunganana nyababkeun hiji algoritma - Enkripsi Angkatan. Saatos diajar naskah, janten jelas yén garis urang teu leuwih ti hasil karyana. Perlu disebatkeun yén ieu sanés énkripsi, tapi ngan ukur encoder anu ngagentos karakter sareng sekuen 6-bait. Henteu aya konci atanapi rahasia sanés pikeun anjeun :)
Sangu. 6. Sapotong algoritma aslina pangarang kanyahoan.
Algoritma moal jalan sakumaha sakuduna lamun henteu pikeun hiji jéntré:
Sangu. 7. Morpheus disatujuan.
Ngagunakeun substitusi sabalikna urang transformasi string ti pass.konci kana téks 27 karakter. Manusa (paling dipikaresep) téks 'asmodat' pantes perhatian husus.
Gbr.8. USGFDG=7.
Google bakal nulungan urang deui. Saatos milarian sakedik, urang mendakan proyék anu pikaresepeun dina GitHub - Folder Locker, ditulis dina .Net sareng nganggo perpustakaan 'asmodat' tina akun Git anu sanés.
Sangu. 9. panganteur Polder Locker. Pastikeun pikeun pariksa malware.
Utiliti mangrupikeun énkripsi pikeun Windows 7 sareng langkung luhur, anu disebarkeun salaku open source. Salila enkripsi, kecap akses dianggo, anu dipikabutuh pikeun dekripsi salajengna. Ngidinan anjeun damel sareng file individu sareng sadayana diréktori.
Perpustakaanna nganggo algoritma enkripsi simetris Rijndael dina modeu CBC. Catet yén ukuran blok dipilih janten 256 bit - kontras sareng anu diadopsi dina standar AES. Dina dimungkinkeun, ukuranana dugi ka 128 bit.
konci kami dihasilkeun nurutkeun standar PBKDF2. Dina hal ieu, kecap akses nyaéta SHA-256 tina senar anu diasupkeun kana utiliti. Sadaya anu tetep nyaéta milarian senar ieu pikeun ngahasilkeun konci dekripsi.
Muhun, hayu urang balik ka urang geus decoded pass.konci. Inget yen garis kalawan susunan angka na téks 'asmodat'? Hayu urang cobian nganggo 20 bait senar munggaran salaku kecap akses pikeun Folder Locker.
Tingali, éta jalan! Kecap kode sumping up, sarta sagalana ieu deciphered sampurna. Ditilik ku karakter dina sandi, éta ngagambarkeun HEX tina kecap husus dina ASCII. Hayu urang coba mintonkeun kecap kode dina formulir téks. Urang meunang'shadowwolf'. Geus ngarasa gejala lycanthropy?
Hayu urang tingali deui struktur file anu kapangaruhan, ayeuna terang kumaha jalanna locker:
- 02 00 00 00 - mode énkripsi ngaran;
- 58 00 00 00 - panjang nami file énkripsi sareng base64 disandi;
- 40 00 00 00 - ukuran tina lulugu ditransfer.
Ngaran énkripsi sorangan sareng lulugu anu ditransfer disorot dina warna beureum sareng konéng, masing-masing.
Sangu. 10. Ngaran énkripsi disorot beureum, lulugu ditransfer disorot konéng.
Ayeuna hayu urang ngabandingkeun nami énkripsi sareng dékripsi dina perwakilan héksadesimal.
Struktur data dékripsi:
- 78 B9 B8 2E - sampah dijieun ku utiliti (4 bait);
- 0С 00 00 00 - panjang ngaran decrypted (12 bait);
- Salajengna asalna nami file saleresna sareng padding kalayan nol kana panjang blok anu diperyogikeun (padding).
Sangu. 11. IMG_4114 Sigana leuwih hadé.
III. Kacindekan jeung Kacindekan
Balik deui ka awal. Kami henteu terang naon anu ngamotivasi panulis Wulfric.Ransomware sareng tujuan naon anu anjeunna ngudag. Tangtosna, pikeun pangguna rata-rata, hasil pagawéan énkripsi sapertos kitu sigana janten musibah anu ageung. File henteu dibuka. Kabéh ngaran leungit. Gantina gambar biasa, aya ajag dina layar. Aranjeunna maksakeun anjeun maca ngeunaan bitcoins.
Leres, waktos ieu, dina kedok "enkoder anu pikasieuneun", aya usaha anu pikaseurieun sareng bodo pikeun pemerasan, dimana panyerang ngagunakeun program anu siap-siap sareng ngantunkeun konci langsung di TKP.
Ku jalan kitu, ngeunaan konci. Kami henteu ngagaduhan skrip jahat atanapi Trojan anu tiasa ngabantosan urang ngartos kumaha ieu kajantenan. pass.konci - mékanisme dimana file muncul dina PC anu kainféksi tetep teu dipikanyaho. Tapi, kuring apal, dina catetanana pangarang disebutkeun keunikan sandi. Janten, kecap kode pikeun dekripsi sami unik sapertos username shadow wolf anu unik :)
Na acan, kalangkang ajag, naha jeung kunaon?
sumber: www.habr.com