Wakati mwingine unataka tu kutazama macho ya mwandishi fulani wa virusi na kuuliza: kwa nini na kwa nini? Tunaweza kujibu swali "jinsi" sisi wenyewe, lakini itakuwa ya kuvutia sana kujua ni nini hii au muundaji wa programu hasidi alikuwa akifikiria. Hasa tunapokutana na "lulu" kama hizo.
Shujaa wa makala ya leo ni mfano wa kuvutia wa kriptografia. Inaonekana ilichukuliwa kuwa "ransomware" nyingine, lakini utekelezaji wake wa kiufundi unaonekana zaidi kama mzaha wa kikatili wa mtu. Tutazungumza juu ya utekelezaji huu leo.
Kwa bahati mbaya, karibu haiwezekani kufuatilia mzunguko wa maisha ya encoder hii - kuna takwimu chache sana juu yake, kwani, kwa bahati nzuri, haijaenea. Kwa hiyo, tutaacha asili, njia za maambukizi na marejeleo mengine. Wacha tuzungumze juu ya kesi yetu ya kukutana na Wulfric Ransomware na jinsi tulivyomsaidia mtumiaji kuhifadhi faili zake.
I. Jinsi yote yalianza
Watu ambao wamekuwa wahasiriwa wa ransomware mara nyingi huwasiliana na maabara yetu ya kuzuia virusi. Tunatoa usaidizi bila kujali ni bidhaa gani za antivirus ambazo wamesakinisha. Wakati huu tuliwasiliana na mtu ambaye faili zake ziliathiriwa na programu ya kusimba isiyojulikana.
Habari za mchana Faili zilisimbwa kwa njia fiche kwenye hifadhi ya faili (samba4) na kuingia bila nenosiri. Ninashuku kuwa maambukizi yalikuja kutoka kwa kompyuta ya binti yangu (Windows 10 na ulinzi wa kawaida wa Windows Defender). Kompyuta ya binti huyo haikuwashwa baada ya hapo. Faili zimesimbwa kwa njia fiche hasa .jpg na .cr2. Ugani wa faili baada ya usimbaji fiche: .aef.
Tulipokea kutoka kwa sampuli za watumiaji wa faili zilizosimbwa kwa njia fiche, noti ya fidia, na faili ambayo huenda ndiyo ufunguo ambao mwandishi wa programu ya ukombozi alihitaji kusimbua faili.
Hapa kuna vidokezo vyetu vyote:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Hebu tuangalie noti. Ni bitcoins ngapi wakati huu?
Tafsiri:
Tahadhari, faili zako zimesimbwa kwa njia fiche!
Nenosiri ni la kipekee kwa Kompyuta yako.Lipa kiasi cha 0.05 BTC kwa anwani ya Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Baada ya malipo, nitumie barua pepe, nikiambatisha faili ya pass.key [barua pepe inalindwa] na taarifa ya malipo.Baada ya uthibitisho, nitakutumia decryptor kwa faili.
Unaweza kulipia bitcoins mtandaoni kwa njia tofauti:
- malipo kwa kadi ya benki
Kuhusu Bitcoins
Ikiwa una maswali yoyote, tafadhali niandikie kwa [barua pepe inalindwa]
Kama bonasi, nitakuambia jinsi kompyuta yako ilidukuliwa na jinsi ya kuilinda katika siku zijazo.
Mbwa mwitu wa kujifanya, iliyoundwa kumwonyesha mwathirika uzito wa hali hiyo. Walakini, inaweza kuwa mbaya zaidi.
Mchele. 1. -Kama bonasi, nitakuambia jinsi ya kulinda kompyuta yako katika siku zijazo. - Inaonekana kuwa halali.
II. Tuanze
Kwanza kabisa, tuliangalia muundo wa sampuli iliyotumwa. Cha ajabu, haikuonekana kama faili ambayo ilikuwa imeharibiwa na ransomware. Fungua kihariri cha hexadecimal na uangalie. Biti 4 za kwanza zina ukubwa wa faili wa asili, byte 60 zifuatazo zimejaa zero. Lakini jambo la kuvutia zaidi ni mwisho:
Mchele. 2 Chambua faili iliyoharibiwa. Ni nini kinachovutia macho yako mara moja?
Kila kitu kiligeuka kuwa rahisi kwa kukasirisha: ka 0x40 kutoka kwa kichwa zilihamishwa hadi mwisho wa faili. Ili kurejesha data, irudishe tu mwanzo. Upatikanaji wa faili umerejeshwa, lakini jina limesalia kwa njia fiche, na mambo yanazidi kuwa magumu nalo.
Mchele. 3. Jina lililosimbwa kwa njia fiche katika Base64 linaonekana kama kundi la wahusika.
Hebu jaribu kufikiri pasi.ufunguo, iliyowasilishwa na mtumiaji. Ndani yake tunaona mlolongo wa 162-byte wa wahusika wa ASCII.
Mchele. 4. Wahusika 162 waliobaki kwenye PC ya mwathirika.
Ikiwa utaangalia kwa karibu, utaona kwamba alama zinarudiwa na mzunguko fulani. Hii inaweza kuonyesha matumizi ya XOR, ambayo ina sifa ya kurudia, mzunguko ambao unategemea urefu wa ufunguo. Baada ya kugawanya mfuatano huo katika herufi 6 na kuweka XOR kwa vibadala vingine vya mfuatano wa XOR, hatukupata matokeo yoyote ya maana.
Mchele. 5. Tazama viunga vinavyorudia katikati?
Tuliamua google constants, kwa sababu ndio, hilo linawezekana pia! Na zote hatimaye zilisababisha algorithm moja - Usimbaji wa Kundi. Baada ya kusoma maandishi, ikawa wazi kuwa mstari wetu sio zaidi ya matokeo ya kazi yake. Inapaswa kutajwa kuwa hii sio encryptor hata kidogo, lakini ni encoder tu ambayo inachukua nafasi ya wahusika na mlolongo wa 6-byte. Hakuna funguo au siri zingine kwako :)
Mchele. 6. Kipande cha algorithm ya awali ya uandishi usiojulikana.
Algorithm isingefanya kazi kama inavyopaswa ikiwa sio kwa maelezo moja:
Mchele. 7. Morpheus kupitishwa.
Kwa kutumia ubadilishaji wa kinyume tunabadilisha kamba kutoka pasi.ufunguo katika maandishi ya herufi 27. Maandishi ya mwanadamu (yawezekanayo zaidi) 'asmodat' yanastahili uangalifu maalum.
Mtini.8. USGFDG=7.
Google itatusaidia tena. Baada ya kutafuta kidogo, tunapata mradi wa kuvutia kwenye GitHub - Folda Locker, iliyoandikwa katika .Net na kutumia maktaba ya 'asmodat' kutoka kwa akaunti nyingine ya Git.
Mchele. 9. Folder Locker interface. Hakikisha umeangalia programu hasidi.
Huduma ni encryptor kwa Windows 7 na ya juu, ambayo inasambazwa kama chanzo wazi. Wakati wa usimbuaji, nenosiri hutumiwa, ambayo ni muhimu kwa usimbuaji unaofuata. Inakuruhusu kufanya kazi na faili za kibinafsi na saraka nzima.
Maktaba yake hutumia algoriti ya usimbaji linganifu ya Rijndael katika hali ya CBC. Ni vyema kutambua kwamba ukubwa wa block ulichaguliwa kuwa bits 256 - tofauti na iliyopitishwa katika kiwango cha AES. Katika mwisho, saizi ni mdogo kwa bits 128.
Ufunguo wetu unatolewa kulingana na kiwango cha PBKDF2. Katika kesi hii, nenosiri ni SHA-256 kutoka kwa kamba iliyoingia kwenye matumizi. Kilichobaki ni kupata kamba hii ili kutoa kitufe cha usimbuaji.
Kweli, wacha turudi kwenye toleo letu ambalo tayari limetengwa pasi.ufunguo. Je! unakumbuka mstari huo wenye seti ya nambari na maandishi 'asmodat'? Hebu tujaribu kutumia baiti 20 za kwanza za mfuatano kama nenosiri la Folda Locker.
Angalia, inafanya kazi! Neno la kificho lilikuja, na kila kitu kilitolewa kikamilifu. Kwa kuzingatia wahusika katika nenosiri, ni uwakilishi wa HEX wa neno maalum katika ASCII. Hebu tujaribu kuonyesha neno la msimbo katika fomu ya maandishi. Tunapata'shadowwolf'. Tayari unahisi dalili za lycanthropy?
Wacha tuangalie tena muundo wa faili iliyoathiriwa, sasa tukijua jinsi locker inavyofanya kazi:
- 02 00 00 00 - hali ya usimbuaji wa jina;
- 58 00 00 00 - urefu wa jina la faili iliyosimbwa na msingi64;
- 40 00 00 00 - ukubwa wa kichwa kilichohamishwa.
Jina lenyewe lililosimbwa kwa njia fiche na kichwa kilichohamishwa huangaziwa kwa rangi nyekundu na njano, mtawalia.
Mchele. 10. Jina lililosimbwa limeangaziwa kwa rangi nyekundu, kichwa kilichohamishwa kinaangaziwa kwa manjano.
Sasa hebu tulinganishe majina yaliyosimbwa na yaliyosimbwa katika uwakilishi wa hexadecimal.
Muundo wa data iliyosimbwa:
- 78 B9 B8 2E - takataka iliyoundwa na shirika (4 byte);
- 0Π‘ 00 00 00 - urefu wa jina la decrypted (byte 12);
- Inayofuata inakuja jina halisi la faili na pedi na sufuri kwa urefu wa block unaohitajika (padding).
Mchele. 11. IMG_4114 inaonekana bora zaidi.
III. Hitimisho na Hitimisho
Rudi mwanzo. Hatujui ni nini kilimsukuma mwandishi wa Wulfric.Ransomware na lengo gani alifuata. Kwa kweli, kwa mtumiaji wa kawaida, matokeo ya kazi ya hata encryptor kama hiyo itaonekana kama janga kubwa. Faili hazifunguki. Majina yote yamepita. Badala ya picha ya kawaida, kuna mbwa mwitu kwenye skrini. Wanakulazimisha kusoma kuhusu bitcoins.
Kweli, wakati huu, chini ya kivuli cha "encoder ya kutisha," jaribio kama hilo la ujinga na la kijinga la unyang'anyi lilifichwa, ambapo mshambuliaji hutumia programu zilizopangwa tayari na kuacha funguo moja kwa moja kwenye eneo la uhalifu.
Kwa njia, kuhusu funguo. Hatukuwa na hati mbaya au Trojan ambayo inaweza kutusaidia kuelewa jinsi hii ilifanyika. pasi.ufunguo - utaratibu ambao faili inaonekana kwenye PC iliyoambukizwa bado haijulikani. Lakini, nakumbuka, katika maelezo yake mwandishi alitaja pekee ya nenosiri. Kwa hivyo, neno la msimbo la usimbuaji ni la kipekee kama jina la mbwa mwitu kivuli ni la kipekee :)
Na bado, mbwa mwitu kivuli, kwa nini na kwa nini?
Chanzo: mapenzi.com