Ibland vill man bara titta in i ögonen på någon virusskribent och fråga: varför och varför? Vi kan svara på frågan "hur" själva, men det skulle vara väldigt intressant att ta reda på vad den eller den skadliga skaparen tänkte på. Speciellt när vi stöter på sådana "pärlor".
Hjälten i dagens artikel är ett intressant exempel på en kryptograf. Det var tydligen tänkt som bara en annan "ransomware", men dess tekniska implementering ser mer ut som någons grymma skämt. Vi kommer att prata om denna implementering idag.
Tyvärr är det nästan omöjligt att spåra livscykeln för denna kodare - det finns för lite statistik om den, eftersom den lyckligtvis inte har blivit utbredd. Därför kommer vi att utelämna ursprung, infektionsmetoder och andra referenser. Låt oss bara prata om vårt fall av möte med Wulfric Ransomware och hur vi hjälpte användaren att spara sina filer.
I. Hur allt började
Människor som har blivit offer för ransomware kontaktar ofta vårt antiviruslaboratorium. Vi ger hjälp oavsett vilka antivirusprodukter de har installerat. Den här gången blev vi kontaktade av en person vars filer påverkades av en okänd kodare.
God eftermiddag Filer krypterades på en fillagring (samba4) med lösenordslös inloggning. Jag misstänker att infektionen kom från min dotters dator (Windows 10 med standardskydd för Windows Defender). Dotterns dator var inte påslagen efter det. Filerna är krypterade huvudsakligen .jpg och .cr2. Filtillägg efter kryptering: .aef.
Vi fick från användaren prover på krypterade filer, en lösennota och en fil som troligen är nyckeln som ransomware-författaren behövde för att dekryptera filerna.
Här är alla våra ledtrådar:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Låt oss ta en titt på anteckningen. Hur många bitcoins denna gång?
Översättning:
Observera, dina filer är krypterade!
Lösenordet är unikt för din PC.Betala beloppet 0.05 BTC till Bitcoin-adressen: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Efter betalning, skicka mig ett e-postmeddelande och bifoga filen pass.key till [e-postskyddad] med besked om betalning.Efter bekräftelse skickar jag dig en dekryptering för filerna.
Du kan betala för bitcoins online på olika sätt:
— betalning med bankkort
Om Bitcoins:
Om du har några frågor, skriv till mig på [e-postskyddad]
Som en bonus ska jag berätta hur din dator hackades och hur du skyddar den i framtiden.
En pretentiös varg, designad för att visa offret allvaret i situationen. Det kunde dock ha varit värre.
Ris. 1. -Som en bonus kommer jag att berätta hur du skyddar din dator i framtiden. – Verkar legitimt.
II. Låt oss börja
Först och främst tittade vi på strukturen för det skickade provet. Konstigt nog såg det inte ut som en fil som hade skadats av ransomware. Öppna den hexadecimala editorn och ta en titt. De första 4 byten innehåller den ursprungliga filstorleken, de nästa 60 byten är fyllda med nollor. Men det mest intressanta är i slutet:
Ris. 2 Analysera den skadade filen. Vad får du omedelbart i ögonen?
Allt visade sig vara irriterande enkelt: 0x40 byte från huvudet flyttades till slutet av filen. För att återställa data återställer du dem helt enkelt till början. Åtkomsten till filen har återställts, men namnet förblir krypterat och det blir mer komplicerat med det.
Ris. 3. Det krypterade namnet i Base64 ser ut som en slingrande uppsättning tecken.
Låt oss försöka lista ut det pass.nyckel, skickat av användaren. I den ser vi en 162-byte sekvens av ASCII-tecken.
Ris. 4. 162 tecken kvar på offrets dator.
Om du tittar noga kommer du att märka att symbolerna upprepas med en viss frekvens. Detta kan indikera användningen av XOR, som kännetecknas av repetitioner, vars frekvens beror på nyckellängden. Efter att ha delat upp strängen i 6 tecken och XORed med några varianter av XOR-sekvenser, uppnådde vi inget meningsfullt resultat.
Ris. 5. Ser du de upprepade konstanterna i mitten?
Vi bestämde oss för att googla konstanter, för ja, det är också möjligt! Och de ledde alla till slut till en algoritm - Batch Encryption. Efter att ha studerat manuset blev det klart att vår linje inte är något annat än resultatet av dess arbete. Det bör nämnas att detta inte alls är en kryptering, utan bara en kodare som ersätter tecken med 6-byte-sekvenser. Inga nycklar eller andra hemligheter för dig :)
Ris. 6. En del av den ursprungliga algoritmen för okänt författarskap.
Algoritmen skulle inte fungera som den skulle om inte för en detalj:
Ris. 7. Morpheus godkänd.
Med omvänd substitution transformerar vi strängen från pass.nyckel till en text på 27 tecken. Den mänskliga (mest troligt) texten 'asmodat' förtjänar särskild uppmärksamhet.
Fig. 8. USGFDG=7.
Google hjälper oss igen. Efter lite letande hittar vi ett intressant projekt på GitHub - Folder Locker, skrivet i .Net och använder 'asmodat'-biblioteket från ett annat Git-konto.
Ris. 9. Mappskåpsgränssnitt. Var noga med att leta efter skadlig programvara.
Verktyget är en kryptering för Windows 7 och högre, som distribueras som öppen källkod. Under kryptering används ett lösenord, vilket är nödvändigt för efterföljande dekryptering. Låter dig arbeta både med enskilda filer och med hela kataloger.
Dess bibliotek använder Rijndaels symmetriska krypteringsalgoritm i CBC-läge. Det är anmärkningsvärt att blockstorleken valdes till 256 bitar - i motsats till den som antas i AES-standarden. I den senare är storleken begränsad till 128 bitar.
Vår nyckel genereras enligt PBKDF2-standarden. I det här fallet är lösenordet SHA-256 från strängen som anges i verktyget. Allt som återstår är att hitta denna sträng för att generera dekrypteringsnyckeln.
Nåväl, låt oss återgå till våra redan avkodade pass.nyckel. Kommer du ihåg den där raden med en uppsättning siffror och texten "asmodat"? Låt oss försöka använda de första 20 byten av strängen som ett lösenord för Folder Locker.
Titta, det fungerar! Kodordet kom upp och allt dechiffrerades perfekt. Att döma av tecknen i lösenordet är det en HEX-representation av ett specifikt ord i ASCII. Låt oss försöka visa kodordet i textform. Vi får 'skuggvarg'. Känner du redan symptomen på lykantropi?
Låt oss ta en ny titt på strukturen för den påverkade filen, nu vet vi hur skåpet fungerar:
- 02 00 00 00 – namnkrypteringsläge;
- 58 00 00 00 – längden på det krypterade och base64-kodade filnamnet;
- 40 00 00 00 – storleken på den överförda rubriken.
Själva det krypterade namnet och den överförda rubriken är markerade i rött respektive gult.
Ris. 10. Det krypterade namnet är markerat i rött, det överförda huvudet är markerat i gult.
Låt oss nu jämföra de krypterade och dekrypterade namnen i hexadecimal representation.
Struktur för dekrypterad data:
- 78 B9 B8 2E – skräp skapat av verktyget (4 byte);
- 0С 00 00 00 – längden på det dekrypterade namnet (12 byte);
- Därefter kommer det faktiska filnamnet och utfyllnad med nollor till önskad blocklängd (utfyllnad).
Ris. 11. IMG_4114 ser mycket bättre ut.
III. Slutsatser och slutsatser
Tillbaka till början. Vi vet inte vad som motiverade författaren till Wulfric.Ransomware och vilket mål han eftersträvade. Naturligtvis, för den genomsnittliga användaren, kommer resultatet av arbetet med även en sådan kryptering att verka som en stor katastrof. Filer öppnas inte. Alla namn är borta. Istället för den vanliga bilden är det en varg på skärmen. De tvingar dig att läsa om bitcoins.
Det är sant att den här gången, under sken av en "hemsk kodare", gömde sig ett så löjligt och dumt försök till utpressning, där angriparen använder färdiga program och lämnar nycklarna direkt på brottsplatsen.
Förresten, om nycklarna. Vi hade inget skadligt skript eller trojan som kunde hjälpa oss att förstå hur detta hände. pass.nyckel – mekanismen med vilken filen visas på en infekterad dator är fortfarande okänd. Men jag minns att författaren i sin anteckning nämnde det unika med lösenordet. Så, kodordet för dekryptering är lika unikt som användarnamnet shadow wolf är unikt :)
Och ändå, skuggvarg, varför och varför?
Källa: will.com