சில நேரங்களில் நீங்கள் சில வைரஸ் எழுத்தாளர்களின் கண்களைப் பார்த்து கேட்க விரும்புகிறீர்கள்: ஏன், ஏன்? "எப்படி" என்ற கேள்விக்கு நாமே பதிலளிக்கலாம், ஆனால் இந்த அல்லது அந்த தீம்பொருள் உருவாக்கியவர் என்ன நினைக்கிறார் என்பதைக் கண்டுபிடிப்பது மிகவும் சுவாரஸ்யமாக இருக்கும். குறிப்பாக இதுபோன்ற "முத்துக்களை" நாம் சந்திக்கும்போது.
இன்றைய கட்டுரையின் ஹீரோ ஒரு கிரிப்டோகிராஃபருக்கு ஒரு சுவாரஸ்யமான உதாரணம். இது வெளிப்படையாக மற்றொரு "ransomware" ஆக கருதப்பட்டது, ஆனால் அதன் தொழில்நுட்ப செயலாக்கம் ஒருவரின் கொடூரமான நகைச்சுவை போல் தெரிகிறது. இந்த நடைமுறையைப் பற்றி இன்று பேசுவோம்.
துரதிர்ஷ்டவசமாக, இந்த குறியாக்கியின் வாழ்க்கைச் சுழற்சியைக் கண்டுபிடிப்பது கிட்டத்தட்ட சாத்தியமற்றது - அதில் மிகக் குறைவான புள்ளிவிவரங்கள் உள்ளன, ஏனெனில், அதிர்ஷ்டவசமாக, இது பரவலாக இல்லை. எனவே, தோற்றம், நோய்த்தொற்றின் முறைகள் மற்றும் பிற குறிப்புகளை விட்டுவிடுவோம். நாம் சந்திப்பதைப் பற்றி பேசலாம் Wulfric Ransomware மற்றும் பயனரின் கோப்புகளைச் சேமிக்க நாங்கள் எவ்வாறு உதவினோம்.
I. இது எப்படி தொடங்கியது
Ransomware-ல் பாதிக்கப்பட்டவர்கள் அடிக்கடி எங்கள் வைரஸ் தடுப்பு ஆய்வகத்தைத் தொடர்பு கொள்கிறார்கள். அவர்கள் எந்த வைரஸ் தடுப்பு தயாரிப்புகளை நிறுவியிருந்தாலும் நாங்கள் உதவி வழங்குகிறோம். இந்த முறை அறியப்படாத குறியாக்கியால் கோப்புகள் பாதிக்கப்பட்ட ஒரு நபர் எங்களைத் தொடர்புகொண்டார்.
மதிய வணக்கம் கடவுச்சொல் இல்லாத உள்நுழைவுடன் கோப்பு சேமிப்பகத்தில் (samba4) கோப்புகள் குறியாக்கம் செய்யப்பட்டன. எனது மகளின் கணினியில் இருந்து தொற்று ஏற்பட்டதாக நான் சந்தேகிக்கிறேன் (விண்டோஸ் 10 நிலையான விண்டோஸ் டிஃபென்டர் பாதுகாப்புடன்). அதன் பிறகு மகளின் கணினி ஆன் செய்யப்படவில்லை. கோப்புகள் முக்கியமாக .jpg மற்றும் .cr2 குறியாக்கம் செய்யப்பட்டுள்ளன. குறியாக்கத்திற்குப் பிறகு கோப்பு நீட்டிப்பு: .aef.
மறைகுறியாக்கப்பட்ட கோப்புகளின் மாதிரிகள், மீட்புக் குறிப்பு மற்றும் கோப்புகளை மறைகுறியாக்க ransomware ஆசிரியருக்குத் தேவையான முக்கிய கோப்பு போன்றவற்றைப் பயனர்களிடமிருந்து நாங்கள் பெற்றுள்ளோம்.
எங்களின் அனைத்து தடயங்களும் இதோ:
01c.aef (4481K)
hacked.jpg (254K)
hacked.txt (0K)
04c.aef (6540K)
pass.key (0K)
குறிப்பைப் பார்ப்போம். இந்த நேரத்தில் எத்தனை பிட்காயின்கள்?
மொழிபெயர்ப்பு:
கவனம், உங்கள் கோப்புகள் குறியாக்கம் செய்யப்பட்டுள்ளன!
கடவுச்சொல் உங்கள் கணினிக்கு தனிப்பட்டது.
பிட்காயின் முகவரிக்கு 0.05 BTC தொகையை செலுத்தவும்: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
பணம் செலுத்திய பிறகு, pass.key கோப்பை இணைத்து எனக்கு மின்னஞ்சல் அனுப்பவும் [மின்னஞ்சல் பாதுகாக்கப்பட்டது] பணம் செலுத்துவதற்கான அறிவிப்புடன்.
உறுதிப்படுத்திய பிறகு, கோப்புகளுக்கான டிக்ரிப்டரை உங்களுக்கு அனுப்புவேன்.
Bitcoins பற்றி: en.wikipedia.org/wiki/Bitcoin
உங்களிடம் ஏதேனும் கேள்விகள் இருந்தால், தயவுசெய்து எனக்கு எழுதவும் [மின்னஞ்சல் பாதுகாக்கப்பட்டது]
போனஸாக, உங்கள் கணினி எவ்வாறு ஹேக் செய்யப்பட்டது மற்றும் எதிர்காலத்தில் அதை எவ்வாறு பாதுகாப்பது என்பதை நான் உங்களுக்குச் சொல்கிறேன்.
ஒரு பாசாங்குத்தனமான ஓநாய், பாதிக்கப்பட்டவருக்கு நிலைமையின் தீவிரத்தை காட்ட வடிவமைக்கப்பட்டுள்ளது. இருப்பினும், அது மோசமாக இருந்திருக்கலாம்.
அரிசி. 1. -போனஸாக, எதிர்காலத்தில் உங்கள் கணினியை எவ்வாறு பாதுகாப்பது என்பதை நான் உங்களுக்குச் சொல்கிறேன். - முறைப்படி தெரிகிறது.
II. ஆரம்பிக்கலாம்
முதலில், அனுப்பப்பட்ட மாதிரியின் கட்டமைப்பைப் பார்த்தோம். விந்தை என்னவென்றால், இது ransomware ஆல் சேதமடைந்த கோப்பு போல் தெரியவில்லை. ஹெக்ஸாடெசிமல் எடிட்டரைத் திறந்து பாருங்கள். முதல் 4 பைட்டுகளில் அசல் கோப்பு அளவு உள்ளது, அடுத்த 60 பைட்டுகள் பூஜ்ஜியங்களால் நிரப்பப்பட்டுள்ளன. ஆனால் மிகவும் சுவாரஸ்யமான விஷயம் இறுதியில்:
அரிசி. 2 சேதமடைந்த கோப்பை பகுப்பாய்வு செய்யவும். உடனடியாக உங்கள் கண்ணில் படுவது எது?
எல்லாம் எரிச்சலூட்டும் வகையில் எளிமையானதாக மாறியது: தலைப்பிலிருந்து 0x40 பைட்டுகள் கோப்பின் இறுதிக்கு நகர்த்தப்பட்டன. தரவை மீட்டமைக்க, அதை தொடக்கத்திற்குத் திருப்பி விடுங்கள். கோப்பிற்கான அணுகல் மீட்டமைக்கப்பட்டது, ஆனால் பெயர் குறியாக்கம் செய்யப்பட்டுள்ளது, மேலும் இது மிகவும் சிக்கலானதாகிறது.
அரிசி. 3. Base64 இல் உள்ள என்க்ரிப்ட் செய்யப்பட்ட பெயர், சலசலக்கும் எழுத்துக்கள் போல் தெரிகிறது.
அதை கண்டுபிடிக்க முயற்சி செய்யலாம் பாஸ்.விசை, பயனரால் சமர்ப்பிக்கப்பட்டது. இதில் ASCII எழுத்துக்களின் 162-பைட் வரிசையைக் காண்கிறோம்.
அரிசி. 4. பாதிக்கப்பட்டவரின் கணினியில் 162 எழுத்துகள் உள்ளன.
நீங்கள் நெருக்கமாகப் பார்த்தால், குறியீடுகள் ஒரு குறிப்பிட்ட அதிர்வெண்ணுடன் மீண்டும் மீண்டும் வருவதை நீங்கள் கவனிப்பீர்கள். இது XOR இன் பயன்பாட்டைக் குறிக்கலாம், இது மீண்டும் மீண்டும் வகைப்படுத்தப்படுகிறது, இதன் அதிர்வெண் முக்கிய நீளத்தைப் பொறுத்தது. சரத்தை 6 எழுத்துகளாகப் பிரித்து, XOR வரிசைகளின் சில மாறுபாடுகளுடன் XOR செய்யப்பட்டதால், நாங்கள் எந்த அர்த்தமுள்ள முடிவையும் அடையவில்லை.
அரிசி. 5. நடுவில் மீண்டும் வரும் மாறிலிகளைப் பார்க்கவா?
கூகிள் மாறிலிகளைப் பார்க்க முடிவு செய்தோம், ஏனென்றால் ஆம், அதுவும் சாத்தியம்! அவை அனைத்தும் இறுதியில் ஒரு வழிமுறைக்கு வழிவகுத்தன - தொகுதி குறியாக்கம். ஸ்கிரிப்டைப் படித்த பிறகு, எங்கள் வரி அதன் வேலையின் முடிவைத் தவிர வேறொன்றுமில்லை என்பது தெளிவாகியது. இது ஒரு குறியாக்கி அல்ல, ஆனால் 6-பைட் வரிசைகளுடன் எழுத்துக்களை மாற்றும் ஒரு குறியாக்கி என்பதைக் குறிப்பிட வேண்டும். உங்களுக்கான சாவிகள் அல்லது பிற ரகசியங்கள் எதுவும் இல்லை :)
அரிசி. 6. அறியப்படாத எழுத்தாளரின் அசல் வழிமுறையின் ஒரு பகுதி.
ஒரு விவரம் இல்லாவிட்டால் அல்காரிதம் வேலை செய்யாது:
அரிசி. 7. மார்பியஸ் அங்கீகரிக்கப்பட்டது.
தலைகீழ் மாற்றீட்டைப் பயன்படுத்தி சரத்தை மாற்றுகிறோம் பாஸ்.விசை 27 எழுத்துகள் கொண்ட உரையில். மனித (பெரும்பாலும்) உரை 'அஸ்மோடாட்' சிறப்பு கவனம் செலுத்த வேண்டும்.
படம்.8. USGFDG=7.
கூகுள் மீண்டும் எங்களுக்கு உதவும். சிறிது தேடலுக்குப் பிறகு, GitHub - Folder Locker இல் .Net இல் எழுதப்பட்ட மற்றும் மற்றொரு Git கணக்கிலிருந்து 'asmodat' நூலகத்தைப் பயன்படுத்தி ஒரு சுவாரஸ்யமான திட்டத்தைக் காண்கிறோம்.
அரிசி. 9. Folder Locker இடைமுகம். மால்வேர் உள்ளதா என சரிபார்க்கவும்.
பயன்பாடானது Windows 7 மற்றும் அதற்கு மேற்பட்டவற்றிற்கான என்க்ரிப்டராகும், இது திறந்த மூலமாக விநியோகிக்கப்படுகிறது. குறியாக்கத்தின் போது, கடவுச்சொல் பயன்படுத்தப்படுகிறது, இது அடுத்தடுத்த மறைகுறியாக்கத்திற்கு அவசியம். தனிப்பட்ட கோப்புகள் மற்றும் முழு கோப்பகங்களுடனும் வேலை செய்ய உங்களை அனுமதிக்கிறது.
அதன் நூலகம் CBC முறையில் Rijndael சமச்சீர் குறியாக்க அல்காரிதத்தைப் பயன்படுத்துகிறது. AES தரநிலையில் ஏற்றுக்கொள்ளப்பட்டதற்கு மாறாக - தொகுதி அளவு 256 பிட்களாக தேர்ந்தெடுக்கப்பட்டது என்பது குறிப்பிடத்தக்கது. பிந்தையதில், அளவு 128 பிட்களாக வரையறுக்கப்பட்டுள்ளது.
எங்கள் விசை PBKDF2 தரநிலையின்படி உருவாக்கப்படுகிறது. இந்த வழக்கில், பயன்பாட்டில் உள்ளிடப்பட்ட சரத்திலிருந்து கடவுச்சொல் SHA-256 ஆகும். மறைகுறியாக்க விசையை உருவாக்க இந்த சரத்தை கண்டுபிடிப்பதே எஞ்சியுள்ளது.
சரி, ஏற்கனவே டிகோட் செய்யப்பட்டவற்றிற்கு வருவோம் பாஸ்.விசை. எண்களின் தொகுப்பு மற்றும் 'asmodat' என்ற உரையுடன் அந்த வரியை நினைவில் கொள்கிறீர்களா? சரத்தின் முதல் 20 பைட்டுகளை Folder Lockerக்கான கடவுச்சொல்லாகப் பயன்படுத்த முயற்சிப்போம்.
பார், அது வேலை செய்கிறது! குறியீட்டு வார்த்தை வந்தது, எல்லாம் சரியாக புரிந்து கொள்ளப்பட்டது. கடவுச்சொல்லில் உள்ள எழுத்துக்களைக் கொண்டு ஆராயும்போது, இது ASCII இல் உள்ள ஒரு குறிப்பிட்ட வார்த்தையின் HEX பிரதிநிதித்துவமாகும். குறியீட்டு வார்த்தையை உரை வடிவத்தில் காட்ட முயற்சிப்போம். நமக்குக் கிடைக்கும்'நிழல் ஓநாய்'. ஏற்கனவே லைகாந்த்ரோபியின் அறிகுறிகளை உணர்கிறீர்களா?
பாதிக்கப்பட்ட கோப்பின் கட்டமைப்பைப் பற்றி இன்னொரு முறை பார்க்கலாம், இப்போது லாக்கர் எவ்வாறு செயல்படுகிறது என்பதை அறிவோம்:
02 00 00 00 - பெயர் குறியாக்க முறை;
58 00 00 00 - மறைகுறியாக்கப்பட்ட மற்றும் பேஸ்64 குறியிடப்பட்ட கோப்பு பெயரின் நீளம்;
40 00 00 00 - மாற்றப்பட்ட தலைப்பின் அளவு.
மறைகுறியாக்கப்பட்ட பெயரும் மாற்றப்பட்ட தலைப்பும் முறையே சிவப்பு மற்றும் மஞ்சள் நிறத்தில் சிறப்பிக்கப்பட்டுள்ளன.
அரிசி. 10. மறைகுறியாக்கப்பட்ட பெயர் சிவப்பு நிறத்தில் சிறப்பிக்கப்பட்டுள்ளது, மாற்றப்பட்ட தலைப்பு மஞ்சள் நிறத்தில் முன்னிலைப்படுத்தப்பட்டுள்ளது.
இப்போது ஹெக்ஸாடெசிமல் பிரதிநிதித்துவத்தில் மறைகுறியாக்கப்பட்ட மற்றும் மறைகுறியாக்கப்பட்ட பெயர்களை ஒப்பிடுவோம்.
மறைகுறியாக்கப்பட்ட தரவின் அமைப்பு:
78 B9 B8 2E - பயன்பாட்டால் உருவாக்கப்பட்ட குப்பை (4 பைட்டுகள்);
0С 00 00 00 - மறைகுறியாக்கப்பட்ட பெயரின் நீளம் (12 பைட்டுகள்);
அடுத்து உண்மையான கோப்பு பெயர் மற்றும் தேவையான தொகுதி நீளத்திற்கு (பேடிங்) பூஜ்ஜியங்களுடன் திணிப்பு வரும்.
அரிசி. 11. IMG_4114 மிகவும் சிறப்பாக உள்ளது.
III. முடிவுகள் மற்றும் முடிவு
மீண்டும் ஆரம்பத்திற்கு. Wulfric.Ransomware இன் ஆசிரியருக்கு என்ன உந்துதலாக இருந்தது மற்றும் அவர் என்ன இலக்கைத் தொடர்ந்தார் என்பது எங்களுக்குத் தெரியாது. நிச்சயமாக, சராசரி பயனருக்கு, அத்தகைய குறியாக்கியின் வேலையின் முடிவு ஒரு பெரிய பேரழிவாகத் தோன்றும். கோப்புகள் திறக்கப்படவில்லை. எல்லா பெயர்களும் போய்விட்டன. வழக்கமான படத்திற்கு பதிலாக, திரையில் ஒரு ஓநாய் உள்ளது. அவர்கள் பிட்காயின்களைப் பற்றி படிக்கும்படி கட்டாயப்படுத்துகிறார்கள்.
உண்மை, இந்த நேரத்தில், ஒரு "பயங்கரமான குறியாக்கி" என்ற போர்வையில், மிரட்டி பணம் பறிப்பதற்கான ஒரு அபத்தமான மற்றும் முட்டாள்தனமான முயற்சி மறைக்கப்பட்டுள்ளது, அங்கு தாக்குபவர் ஆயத்த திட்டங்களைப் பயன்படுத்துகிறார் மற்றும் குற்றம் நடந்த இடத்திலேயே சாவியை விட்டுவிடுகிறார்.
மூலம், விசைகள் பற்றி. இது எப்படி நடந்தது என்பதைப் புரிந்துகொள்ள உதவும் தீங்கிழைக்கும் ஸ்கிரிப்ட் அல்லது ட்ரோஜன் எங்களிடம் இல்லை. பாஸ்.விசை - பாதிக்கப்பட்ட கணினியில் கோப்பு தோன்றும் வழிமுறை தெரியவில்லை. ஆனால், எனக்கு நினைவிருக்கிறது, அவரது குறிப்பில் ஆசிரியர் கடவுச்சொல்லின் தனித்துவத்தை குறிப்பிட்டுள்ளார். எனவே, மறைகுறியாக்கத்திற்கான குறியீட்டு வார்த்தை தனிப்பட்டது, நிழல் ஓநாய் என்ற பயனர் பெயர் தனித்துவமானது :)