புரோஹோஸ்டர் > Блог > நிர்வாகம் > Wulfric Ransomware - இல்லாத ஒரு ransomware

Wulfric Ransomware - இல்லாத ஒரு ransomware

சில நேரங்களில் நீங்கள் சில வைரஸ் எழுத்தாளர்களின் கண்களைப் பார்த்து கேட்க விரும்புகிறீர்கள்: ஏன், ஏன்? "எப்படி" என்ற கேள்விக்கு நாமே பதிலளிக்கலாம், ஆனால் இந்த அல்லது அந்த தீம்பொருள் உருவாக்கியவர் என்ன நினைக்கிறார் என்பதைக் கண்டுபிடிப்பது மிகவும் சுவாரஸ்யமாக இருக்கும். குறிப்பாக இதுபோன்ற "முத்துக்களை" நாம் சந்திக்கும்போது.

இன்றைய கட்டுரையின் ஹீரோ ஒரு கிரிப்டோகிராஃபருக்கு ஒரு சுவாரஸ்யமான உதாரணம். இது வெளிப்படையாக மற்றொரு "ransomware" ஆக கருதப்பட்டது, ஆனால் அதன் தொழில்நுட்ப செயலாக்கம் ஒருவரின் கொடூரமான நகைச்சுவை போல் தெரிகிறது. இந்த நடைமுறையைப் பற்றி இன்று பேசுவோம்.

துரதிர்ஷ்டவசமாக, இந்த குறியாக்கியின் வாழ்க்கைச் சுழற்சியைக் கண்டுபிடிப்பது கிட்டத்தட்ட சாத்தியமற்றது - அதில் மிகக் குறைவான புள்ளிவிவரங்கள் உள்ளன, ஏனெனில், அதிர்ஷ்டவசமாக, இது பரவலாக இல்லை. எனவே, தோற்றம், நோய்த்தொற்றின் முறைகள் மற்றும் பிற குறிப்புகளை விட்டுவிடுவோம். நாம் சந்திப்பதைப் பற்றி பேசலாம் Wulfric Ransomware மற்றும் பயனரின் கோப்புகளைச் சேமிக்க நாங்கள் எவ்வாறு உதவினோம்.

I. இது எப்படி தொடங்கியது

Ransomware-ல் பாதிக்கப்பட்டவர்கள் அடிக்கடி எங்கள் வைரஸ் தடுப்பு ஆய்வகத்தைத் தொடர்பு கொள்கிறார்கள். அவர்கள் எந்த வைரஸ் தடுப்பு தயாரிப்புகளை நிறுவியிருந்தாலும் நாங்கள் உதவி வழங்குகிறோம். இந்த முறை அறியப்படாத குறியாக்கியால் கோப்புகள் பாதிக்கப்பட்ட ஒரு நபர் எங்களைத் தொடர்புகொண்டார்.

மதிய வணக்கம் கடவுச்சொல் இல்லாத உள்நுழைவுடன் கோப்பு சேமிப்பகத்தில் (samba4) கோப்புகள் குறியாக்கம் செய்யப்பட்டன. எனது மகளின் கணினியில் இருந்து தொற்று ஏற்பட்டதாக நான் சந்தேகிக்கிறேன் (விண்டோஸ் 10 நிலையான விண்டோஸ் டிஃபென்டர் பாதுகாப்புடன்). அதன் பிறகு மகளின் கணினி ஆன் செய்யப்படவில்லை. கோப்புகள் முக்கியமாக .jpg மற்றும் .cr2 குறியாக்கம் செய்யப்பட்டுள்ளன. குறியாக்கத்திற்குப் பிறகு கோப்பு நீட்டிப்பு: .aef.

மறைகுறியாக்கப்பட்ட கோப்புகளின் மாதிரிகள், மீட்புக் குறிப்பு மற்றும் கோப்புகளை மறைகுறியாக்க ransomware ஆசிரியருக்குத் தேவையான முக்கிய கோப்பு போன்றவற்றைப் பயனர்களிடமிருந்து நாங்கள் பெற்றுள்ளோம்.

எங்களின் அனைத்து தடயங்களும் இதோ:

  • 01c.aef (4481K)
  • hacked.jpg (254K)
  • hacked.txt (0K)
  • 04c.aef (6540K)
  • pass.key (0K)

குறிப்பைப் பார்ப்போம். இந்த நேரத்தில் எத்தனை பிட்காயின்கள்?

மொழிபெயர்ப்பு:

கவனம், உங்கள் கோப்புகள் குறியாக்கம் செய்யப்பட்டுள்ளன!
கடவுச்சொல் உங்கள் கணினிக்கு தனிப்பட்டது.

பிட்காயின் முகவரிக்கு 0.05 BTC தொகையை செலுத்தவும்: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
பணம் செலுத்திய பிறகு, pass.key கோப்பை இணைத்து எனக்கு மின்னஞ்சல் அனுப்பவும் [மின்னஞ்சல் பாதுகாக்கப்பட்டது] பணம் செலுத்துவதற்கான அறிவிப்புடன்.

உறுதிப்படுத்திய பிறகு, கோப்புகளுக்கான டிக்ரிப்டரை உங்களுக்கு அனுப்புவேன்.

பிட்காயின்களுக்கு ஆன்லைனில் வெவ்வேறு வழிகளில் பணம் செலுத்தலாம்:
buy.blockexplorer.com - வங்கி அட்டை மூலம் பணம் செலுத்துதல்
www.buybitcoinworldwide.com
localbitcoins.net

Bitcoins பற்றி:
en.wikipedia.org/wiki/Bitcoin
உங்களிடம் ஏதேனும் கேள்விகள் இருந்தால், தயவுசெய்து எனக்கு எழுதவும் [மின்னஞ்சல் பாதுகாக்கப்பட்டது]
போனஸாக, உங்கள் கணினி எவ்வாறு ஹேக் செய்யப்பட்டது மற்றும் எதிர்காலத்தில் அதை எவ்வாறு பாதுகாப்பது என்பதை நான் உங்களுக்குச் சொல்கிறேன்.

ஒரு பாசாங்குத்தனமான ஓநாய், பாதிக்கப்பட்டவருக்கு நிலைமையின் தீவிரத்தை காட்ட வடிவமைக்கப்பட்டுள்ளது. இருப்பினும், அது மோசமாக இருந்திருக்கலாம்.

Wulfric Ransomware - இல்லாத ஒரு ransomware
அரிசி. 1. -போனஸாக, எதிர்காலத்தில் உங்கள் கணினியை எவ்வாறு பாதுகாப்பது என்பதை நான் உங்களுக்குச் சொல்கிறேன். - முறைப்படி தெரிகிறது.

II. ஆரம்பிக்கலாம்

முதலில், அனுப்பப்பட்ட மாதிரியின் கட்டமைப்பைப் பார்த்தோம். விந்தை என்னவென்றால், இது ransomware ஆல் சேதமடைந்த கோப்பு போல் தெரியவில்லை. ஹெக்ஸாடெசிமல் எடிட்டரைத் திறந்து பாருங்கள். முதல் 4 பைட்டுகளில் அசல் கோப்பு அளவு உள்ளது, அடுத்த 60 பைட்டுகள் பூஜ்ஜியங்களால் நிரப்பப்பட்டுள்ளன. ஆனால் மிகவும் சுவாரஸ்யமான விஷயம் இறுதியில்:

Wulfric Ransomware - இல்லாத ஒரு ransomware
அரிசி. 2 சேதமடைந்த கோப்பை பகுப்பாய்வு செய்யவும். உடனடியாக உங்கள் கண்ணில் படுவது எது?

எல்லாம் எரிச்சலூட்டும் வகையில் எளிமையானதாக மாறியது: தலைப்பிலிருந்து 0x40 பைட்டுகள் கோப்பின் இறுதிக்கு நகர்த்தப்பட்டன. தரவை மீட்டமைக்க, அதை தொடக்கத்திற்குத் திருப்பி விடுங்கள். கோப்பிற்கான அணுகல் மீட்டமைக்கப்பட்டது, ஆனால் பெயர் குறியாக்கம் செய்யப்பட்டுள்ளது, மேலும் இது மிகவும் சிக்கலானதாகிறது.

Wulfric Ransomware - இல்லாத ஒரு ransomware
அரிசி. 3. Base64 இல் உள்ள என்க்ரிப்ட் செய்யப்பட்ட பெயர், சலசலக்கும் எழுத்துக்கள் போல் தெரிகிறது.

அதை கண்டுபிடிக்க முயற்சி செய்யலாம் பாஸ்.விசை, பயனரால் சமர்ப்பிக்கப்பட்டது. இதில் ASCII எழுத்துக்களின் 162-பைட் வரிசையைக் காண்கிறோம்.

Wulfric Ransomware - இல்லாத ஒரு ransomware
அரிசி. 4. பாதிக்கப்பட்டவரின் கணினியில் 162 எழுத்துகள் உள்ளன.

நீங்கள் நெருக்கமாகப் பார்த்தால், குறியீடுகள் ஒரு குறிப்பிட்ட அதிர்வெண்ணுடன் மீண்டும் மீண்டும் வருவதை நீங்கள் கவனிப்பீர்கள். இது XOR இன் பயன்பாட்டைக் குறிக்கலாம், இது மீண்டும் மீண்டும் வகைப்படுத்தப்படுகிறது, இதன் அதிர்வெண் முக்கிய நீளத்தைப் பொறுத்தது. சரத்தை 6 எழுத்துகளாகப் பிரித்து, XOR வரிசைகளின் சில மாறுபாடுகளுடன் XOR செய்யப்பட்டதால், நாங்கள் எந்த அர்த்தமுள்ள முடிவையும் அடையவில்லை.

Wulfric Ransomware - இல்லாத ஒரு ransomware
அரிசி. 5. நடுவில் மீண்டும் வரும் மாறிலிகளைப் பார்க்கவா?

கூகிள் மாறிலிகளைப் பார்க்க முடிவு செய்தோம், ஏனென்றால் ஆம், அதுவும் சாத்தியம்! அவை அனைத்தும் இறுதியில் ஒரு வழிமுறைக்கு வழிவகுத்தன - தொகுதி குறியாக்கம். ஸ்கிரிப்டைப் படித்த பிறகு, எங்கள் வரி அதன் வேலையின் முடிவைத் தவிர வேறொன்றுமில்லை என்பது தெளிவாகியது. இது ஒரு குறியாக்கி அல்ல, ஆனால் 6-பைட் வரிசைகளுடன் எழுத்துக்களை மாற்றும் ஒரு குறியாக்கி என்பதைக் குறிப்பிட வேண்டும். உங்களுக்கான சாவிகள் அல்லது பிற ரகசியங்கள் எதுவும் இல்லை :)

Wulfric Ransomware - இல்லாத ஒரு ransomware
அரிசி. 6. அறியப்படாத எழுத்தாளரின் அசல் வழிமுறையின் ஒரு பகுதி.

ஒரு விவரம் இல்லாவிட்டால் அல்காரிதம் வேலை செய்யாது:

Wulfric Ransomware - இல்லாத ஒரு ransomware
அரிசி. 7. மார்பியஸ் அங்கீகரிக்கப்பட்டது.

தலைகீழ் மாற்றீட்டைப் பயன்படுத்தி சரத்தை மாற்றுகிறோம் பாஸ்.விசை 27 எழுத்துகள் கொண்ட உரையில். மனித (பெரும்பாலும்) உரை 'அஸ்மோடாட்' சிறப்பு கவனம் செலுத்த வேண்டும்.

Wulfric Ransomware - இல்லாத ஒரு ransomware
படம்.8. USGFDG=7.

கூகுள் மீண்டும் எங்களுக்கு உதவும். சிறிது தேடலுக்குப் பிறகு, GitHub - Folder Locker இல் .Net இல் எழுதப்பட்ட மற்றும் மற்றொரு Git கணக்கிலிருந்து 'asmodat' நூலகத்தைப் பயன்படுத்தி ஒரு சுவாரஸ்யமான திட்டத்தைக் காண்கிறோம்.

Wulfric Ransomware - இல்லாத ஒரு ransomware
அரிசி. 9. Folder Locker இடைமுகம். மால்வேர் உள்ளதா என சரிபார்க்கவும்.

பயன்பாடானது Windows 7 மற்றும் அதற்கு மேற்பட்டவற்றிற்கான என்க்ரிப்டராகும், இது திறந்த மூலமாக விநியோகிக்கப்படுகிறது. குறியாக்கத்தின் போது, ​​கடவுச்சொல் பயன்படுத்தப்படுகிறது, இது அடுத்தடுத்த மறைகுறியாக்கத்திற்கு அவசியம். தனிப்பட்ட கோப்புகள் மற்றும் முழு கோப்பகங்களுடனும் வேலை செய்ய உங்களை அனுமதிக்கிறது.

அதன் நூலகம் CBC முறையில் Rijndael சமச்சீர் குறியாக்க அல்காரிதத்தைப் பயன்படுத்துகிறது. AES தரநிலையில் ஏற்றுக்கொள்ளப்பட்டதற்கு மாறாக - தொகுதி அளவு 256 பிட்களாக தேர்ந்தெடுக்கப்பட்டது என்பது குறிப்பிடத்தக்கது. பிந்தையதில், அளவு 128 பிட்களாக வரையறுக்கப்பட்டுள்ளது.

எங்கள் விசை PBKDF2 தரநிலையின்படி உருவாக்கப்படுகிறது. இந்த வழக்கில், பயன்பாட்டில் உள்ளிடப்பட்ட சரத்திலிருந்து கடவுச்சொல் SHA-256 ஆகும். மறைகுறியாக்க விசையை உருவாக்க இந்த சரத்தை கண்டுபிடிப்பதே எஞ்சியுள்ளது.

சரி, ஏற்கனவே டிகோட் செய்யப்பட்டவற்றிற்கு வருவோம் பாஸ்.விசை. எண்களின் தொகுப்பு மற்றும் 'asmodat' என்ற உரையுடன் அந்த வரியை நினைவில் கொள்கிறீர்களா? சரத்தின் முதல் 20 பைட்டுகளை Folder Lockerக்கான கடவுச்சொல்லாகப் பயன்படுத்த முயற்சிப்போம்.

பார், அது வேலை செய்கிறது! குறியீட்டு வார்த்தை வந்தது, எல்லாம் சரியாக புரிந்து கொள்ளப்பட்டது. கடவுச்சொல்லில் உள்ள எழுத்துக்களைக் கொண்டு ஆராயும்போது, ​​இது ASCII இல் உள்ள ஒரு குறிப்பிட்ட வார்த்தையின் HEX பிரதிநிதித்துவமாகும். குறியீட்டு வார்த்தையை உரை வடிவத்தில் காட்ட முயற்சிப்போம். நமக்குக் கிடைக்கும்'நிழல் ஓநாய்'. ஏற்கனவே லைகாந்த்ரோபியின் அறிகுறிகளை உணர்கிறீர்களா?

பாதிக்கப்பட்ட கோப்பின் கட்டமைப்பைப் பற்றி இன்னொரு முறை பார்க்கலாம், இப்போது லாக்கர் எவ்வாறு செயல்படுகிறது என்பதை அறிவோம்:

  • 02 00 00 00 - பெயர் குறியாக்க முறை;
  • 58 00 00 00 - மறைகுறியாக்கப்பட்ட மற்றும் பேஸ்64 குறியிடப்பட்ட கோப்பு பெயரின் நீளம்;
  • 40 00 00 00 - மாற்றப்பட்ட தலைப்பின் அளவு.

மறைகுறியாக்கப்பட்ட பெயரும் மாற்றப்பட்ட தலைப்பும் முறையே சிவப்பு மற்றும் மஞ்சள் நிறத்தில் சிறப்பிக்கப்பட்டுள்ளன.

Wulfric Ransomware - இல்லாத ஒரு ransomware
அரிசி. 10. மறைகுறியாக்கப்பட்ட பெயர் சிவப்பு நிறத்தில் சிறப்பிக்கப்பட்டுள்ளது, மாற்றப்பட்ட தலைப்பு மஞ்சள் நிறத்தில் முன்னிலைப்படுத்தப்பட்டுள்ளது.

இப்போது ஹெக்ஸாடெசிமல் பிரதிநிதித்துவத்தில் மறைகுறியாக்கப்பட்ட மற்றும் மறைகுறியாக்கப்பட்ட பெயர்களை ஒப்பிடுவோம்.

மறைகுறியாக்கப்பட்ட தரவின் அமைப்பு:

  • 78 B9 B8 2E - பயன்பாட்டால் உருவாக்கப்பட்ட குப்பை (4 பைட்டுகள்);
  • 0С 00 00 00 - மறைகுறியாக்கப்பட்ட பெயரின் நீளம் (12 பைட்டுகள்);
  • அடுத்து உண்மையான கோப்பு பெயர் மற்றும் தேவையான தொகுதி நீளத்திற்கு (பேடிங்) பூஜ்ஜியங்களுடன் திணிப்பு வரும்.

Wulfric Ransomware - இல்லாத ஒரு ransomware
அரிசி. 11. IMG_4114 மிகவும் சிறப்பாக உள்ளது.

III. முடிவுகள் மற்றும் முடிவு

மீண்டும் ஆரம்பத்திற்கு. Wulfric.Ransomware இன் ஆசிரியருக்கு என்ன உந்துதலாக இருந்தது மற்றும் அவர் என்ன இலக்கைத் தொடர்ந்தார் என்பது எங்களுக்குத் தெரியாது. நிச்சயமாக, சராசரி பயனருக்கு, அத்தகைய குறியாக்கியின் வேலையின் முடிவு ஒரு பெரிய பேரழிவாகத் தோன்றும். கோப்புகள் திறக்கப்படவில்லை. எல்லா பெயர்களும் போய்விட்டன. வழக்கமான படத்திற்கு பதிலாக, திரையில் ஒரு ஓநாய் உள்ளது. அவர்கள் பிட்காயின்களைப் பற்றி படிக்கும்படி கட்டாயப்படுத்துகிறார்கள்.

உண்மை, இந்த நேரத்தில், ஒரு "பயங்கரமான குறியாக்கி" என்ற போர்வையில், மிரட்டி பணம் பறிப்பதற்கான ஒரு அபத்தமான மற்றும் முட்டாள்தனமான முயற்சி மறைக்கப்பட்டுள்ளது, அங்கு தாக்குபவர் ஆயத்த திட்டங்களைப் பயன்படுத்துகிறார் மற்றும் குற்றம் நடந்த இடத்திலேயே சாவியை விட்டுவிடுகிறார்.

மூலம், விசைகள் பற்றி. இது எப்படி நடந்தது என்பதைப் புரிந்துகொள்ள உதவும் தீங்கிழைக்கும் ஸ்கிரிப்ட் அல்லது ட்ரோஜன் எங்களிடம் இல்லை. பாஸ்.விசை - பாதிக்கப்பட்ட கணினியில் கோப்பு தோன்றும் வழிமுறை தெரியவில்லை. ஆனால், எனக்கு நினைவிருக்கிறது, அவரது குறிப்பில் ஆசிரியர் கடவுச்சொல்லின் தனித்துவத்தை குறிப்பிட்டுள்ளார். எனவே, மறைகுறியாக்கத்திற்கான குறியீட்டு வார்த்தை தனிப்பட்டது, நிழல் ஓநாய் என்ற பயனர் பெயர் தனித்துவமானது :)

இன்னும், நிழல் ஓநாய், ஏன், ஏன்?

ஆதாரம்: www.habr.com

கருத்தைச் சேர்