కొన్నిసార్లు మీరు కొంతమంది వైరస్ రచయితల కళ్ళలోకి చూసి అడగాలనుకుంటున్నారు: ఎందుకు మరియు ఎందుకు? "ఎలా" అనే ప్రశ్నకు మనమే సమాధానం చెప్పవచ్చు, కానీ ఈ లేదా ఆ మాల్వేర్ సృష్టికర్త ఏమి ఆలోచిస్తున్నారో తెలుసుకోవడం చాలా ఆసక్తికరంగా ఉంటుంది. ముఖ్యంగా మేము అలాంటి "ముత్యాలు" అంతటా వచ్చినప్పుడు.
నేటి కథనం యొక్క హీరో క్రిప్టోగ్రాఫర్ యొక్క ఆసక్తికరమైన ఉదాహరణ. ఇది స్పష్టంగా మరొక "ransomware" గా భావించబడింది, కానీ దాని సాంకేతిక అమలు అనేది ఒకరి క్రూరమైన జోక్ లాగా కనిపిస్తుంది. మేము ఈ రోజు ఈ అమలు గురించి మాట్లాడుతాము.
దురదృష్టవశాత్తు, ఈ ఎన్కోడర్ యొక్క జీవిత చక్రాన్ని కనుగొనడం దాదాపు అసాధ్యం - దానిపై చాలా తక్కువ గణాంకాలు ఉన్నాయి, ఎందుకంటే, అదృష్టవశాత్తూ, ఇది విస్తృతంగా వ్యాపించలేదు. అందువల్ల, మేము మూలం, సంక్రమణ పద్ధతులు మరియు ఇతర సూచనలను వదిలివేస్తాము. మనం కలిసే సందర్భం గురించి మాట్లాడుకుందాం Wulfric Ransomware మరియు మేము వినియోగదారు తన ఫైల్లను ఎలా సేవ్ చేసాము.
I. ఇదంతా ఎలా మొదలైంది
Ransomware బాధితులైన వ్యక్తులు తరచుగా మా యాంటీ-వైరస్ లేబొరేటరీని సంప్రదిస్తారు. వారు ఇన్స్టాల్ చేసిన యాంటీవైరస్ ఉత్పత్తులతో సంబంధం లేకుండా మేము సహాయం అందిస్తాము. ఈసారి తెలియని ఎన్కోడర్ ద్వారా ఫైల్లు ప్రభావితమైన వ్యక్తి ద్వారా మమ్మల్ని సంప్రదించారు.
శుభ మద్యాహ్నం పాస్వర్డ్ లేని లాగిన్తో ఫైల్ నిల్వ (samba4)లో ఫైల్లు ఎన్క్రిప్ట్ చేయబడ్డాయి. నా కుమార్తె కంప్యూటర్ (ప్రామాణిక Windows డిఫెండర్ రక్షణతో Windows 10) నుండి ఇన్ఫెక్షన్ వచ్చిందని నేను అనుమానిస్తున్నాను. ఆ తర్వాత కూతురు కంప్యూటర్ ఆన్ చేయలేదు. ఫైల్లు ప్రధానంగా .jpg మరియు .cr2 గుప్తీకరించబడ్డాయి. ఎన్క్రిప్షన్ తర్వాత ఫైల్ పొడిగింపు: .aef.
మేము వినియోగదారు నుండి ఎన్క్రిప్టెడ్ ఫైల్ల నమూనాలు, రాన్సమ్ నోట్ మరియు ఫైల్లను డీక్రిప్ట్ చేయడానికి ransomware రచయితకు అవసరమైన కీలకమైన ఫైల్ను స్వీకరించాము.
మా ఆధారాలన్నీ ఇక్కడ ఉన్నాయి:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
గమనికను ఒకసారి చూద్దాం. ఈసారి ఎన్ని బిట్కాయిన్లు?
అనువాదం:
శ్రద్ధ, మీ ఫైల్లు ఎన్క్రిప్ట్ చేయబడ్డాయి!
పాస్వర్డ్ మీ PCకి ప్రత్యేకమైనది.Bitcoin చిరునామాకు 0.05 BTC మొత్తాన్ని చెల్లించండి: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
చెల్లింపు తర్వాత, pass.key ఫైల్ను జోడించి నాకు ఇమెయిల్ పంపండి [ఇమెయిల్ రక్షించబడింది] చెల్లింపు నోటిఫికేషన్తో.నిర్ధారణ తర్వాత, నేను మీకు ఫైల్ల కోసం డిక్రిప్టర్ను పంపుతాను.
మీరు బిట్కాయిన్ల కోసం ఆన్లైన్లో వివిధ మార్గాల్లో చెల్లించవచ్చు:
- బ్యాంక్ కార్డ్ ద్వారా చెల్లింపు
Bitcoins గురించి:
మీకు ఏవైనా ప్రశ్నలు ఉంటే, దయచేసి నాకు ఇక్కడ వ్రాయండి [ఇమెయిల్ రక్షించబడింది]
బోనస్గా, మీ కంప్యూటర్ ఎలా హ్యాక్ చేయబడింది మరియు భవిష్యత్తులో దాన్ని ఎలా రక్షించాలో నేను మీకు చెప్తాను.
ఒక ఆడంబరమైన తోడేలు, బాధితుడికి పరిస్థితి యొక్క తీవ్రతను చూపించడానికి రూపొందించబడింది. అయితే, ఇది మరింత దారుణంగా ఉండవచ్చు.
అన్నం. 1. -బోనస్గా, భవిష్యత్తులో మీ కంప్యూటర్ను ఎలా రక్షించుకోవాలో నేను మీకు చెప్తాను. - సక్రమంగా అనిపిస్తుంది.
II. ప్రారంభిద్దాం
అన్నింటిలో మొదటిది, మేము పంపిన నమూనా యొక్క నిర్మాణాన్ని చూశాము. విచిత్రమేమిటంటే, ఇది ransomware ద్వారా దెబ్బతిన్న ఫైల్లా కనిపించడం లేదు. హెక్సాడెసిమల్ ఎడిటర్ని తెరిచి చూడండి. మొదటి 4 బైట్లు అసలు ఫైల్ పరిమాణాన్ని కలిగి ఉంటాయి, తదుపరి 60 బైట్లు సున్నాలతో నిండి ఉంటాయి. కానీ చాలా ఆసక్తికరమైన విషయం ముగింపులో ఉంది:
అన్నం. 2 దెబ్బతిన్న ఫైల్ను విశ్లేషించండి. వెంటనే మీ దృష్టిని ఆకర్షించేది ఏమిటి?
ప్రతిదీ బాధించేలా సరళంగా మారింది: హెడర్ నుండి 0x40 బైట్లు ఫైల్ చివరకి తరలించబడ్డాయి. డేటాను పునరుద్ధరించడానికి, దాన్ని ప్రారంభానికి తిరిగి ఇవ్వండి. ఫైల్కి యాక్సెస్ పునరుద్ధరించబడింది, కానీ పేరు గుప్తీకరించబడింది మరియు దానితో విషయాలు మరింత క్లిష్టంగా మారుతున్నాయి.
అన్నం. 3. Base64లో ఎన్క్రిప్ట్ చేయబడిన పేరు అక్షరాల సముదాయం వలె కనిపిస్తుంది.
దాన్ని గుర్తించడానికి ప్రయత్నిద్దాం పాస్.కీ, వినియోగదారు సమర్పించారు. దీనిలో మనం ASCII అక్షరాల 162-బైట్ శ్రేణిని చూస్తాము.
అన్నం. 4. బాధితుని PCలో 162 అక్షరాలు మిగిలి ఉన్నాయి.
మీరు దగ్గరగా చూస్తే, చిహ్నాలు నిర్దిష్ట పౌనఃపున్యంతో పునరావృతమవుతాయని మీరు గమనించవచ్చు. ఇది XOR యొక్క ఉపయోగాన్ని సూచించవచ్చు, ఇది పునరావృతాల ద్వారా వర్గీకరించబడుతుంది, దీని యొక్క ఫ్రీక్వెన్సీ కీ పొడవుపై ఆధారపడి ఉంటుంది. స్ట్రింగ్ను 6 అక్షరాలుగా విభజించి, XOR సీక్వెన్స్ల యొక్క కొన్ని వేరియంట్లతో XOR చేసినందున, మేము ఎటువంటి అర్ధవంతమైన ఫలితాన్ని సాధించలేకపోయాము.
అన్నం. 5. మధ్యలో పునరావృతమయ్యే స్థిరాంకాలను చూడండి?
మేము Google స్థిరాంకాలని నిర్ణయించుకున్నాము, ఎందుకంటే అవును, అది కూడా సాధ్యమే! మరియు అవన్నీ చివరికి ఒక అల్గారిథమ్కి దారితీశాయి - బ్యాచ్ ఎన్క్రిప్షన్. స్క్రిప్ట్ని అధ్యయనం చేసిన తర్వాత, మా లైన్ దాని పని ఫలితం కంటే మరేమీ కాదని స్పష్టమైంది. ఇది ఒక ఎన్క్రిప్టర్ కాదని, కేవలం 6-బైట్ సీక్వెన్స్లతో అక్షరాలను భర్తీ చేసే ఎన్కోడర్ అని పేర్కొనాలి. మీ కోసం కీలు లేదా ఇతర రహస్యాలు లేవు :)
అన్నం. 6. తెలియని రచయిత యొక్క అసలు అల్గోరిథం యొక్క భాగం.
ఒక వివరాల కోసం కాకపోతే అల్గోరిథం పని చేయదు:
అన్నం. 7. మార్ఫియస్ ఆమోదించబడింది.
రివర్స్ ప్రత్యామ్నాయాన్ని ఉపయోగించి మేము స్ట్రింగ్ను మారుస్తాము పాస్.కీ 27 అక్షరాల వచనంలోకి. మానవ (ఎక్కువగా) టెక్స్ట్ 'asmodat' ప్రత్యేక శ్రద్ధ అవసరం.
Fig.8. USGFDG=7.
Google మాకు మళ్లీ సహాయం చేస్తుంది. కొంచెం శోధించిన తర్వాత, మేము .Netలో వ్రాసిన మరియు మరొక Git ఖాతా నుండి 'asmodat' లైబ్రరీని ఉపయోగించి, GitHub - ఫోల్డర్ లాకర్లో ఆసక్తికరమైన ప్రాజెక్ట్ను కనుగొంటాము.
అన్నం. 9. ఫోల్డర్ లాకర్ ఇంటర్ఫేస్. మాల్వేర్ కోసం తనిఖీ చేయండి.
యుటిలిటీ అనేది విండోస్ 7 మరియు అంతకంటే ఎక్కువ కోసం ఎన్క్రిప్టర్, ఇది ఓపెన్ సోర్స్గా పంపిణీ చేయబడుతుంది. ఎన్క్రిప్షన్ సమయంలో, పాస్వర్డ్ ఉపయోగించబడుతుంది, ఇది తదుపరి డిక్రిప్షన్కు అవసరం. వ్యక్తిగత ఫైల్లతో మరియు మొత్తం డైరెక్టరీలతో పని చేయడానికి మిమ్మల్ని అనుమతిస్తుంది.
దీని లైబ్రరీ CBC మోడ్లో Rijndael సిమెట్రిక్ ఎన్క్రిప్షన్ అల్గారిథమ్ను ఉపయోగిస్తుంది. AES ప్రమాణంలో స్వీకరించిన దానికి భిన్నంగా - బ్లాక్ పరిమాణం 256 బిట్లుగా ఎంపిక చేయబడటం గమనార్హం. తరువాతి కాలంలో, పరిమాణం 128 బిట్లకు పరిమితం చేయబడింది.
మా కీ PBKDF2 ప్రమాణం ప్రకారం రూపొందించబడింది. ఈ సందర్భంలో, యుటిలిటీలో నమోదు చేయబడిన స్ట్రింగ్ నుండి పాస్వర్డ్ SHA-256. డిక్రిప్షన్ కీని రూపొందించడానికి ఈ స్ట్రింగ్ను కనుగొనడమే మిగిలి ఉంది.
సరే, మనం ఇప్పటికే డీకోడ్ చేసిన వాటికి తిరిగి వెళ్దాం పాస్.కీ. సంఖ్యల సమితి మరియు 'asmodat' వచనంతో ఆ లైన్ గుర్తుందా? ఫోల్డర్ లాకర్ కోసం స్ట్రింగ్లోని మొదటి 20 బైట్లను పాస్వర్డ్గా ఉపయోగించడానికి ప్రయత్నిద్దాం.
చూడండి, ఇది పనిచేస్తుంది! కోడ్ పదం వచ్చింది మరియు ప్రతిదీ ఖచ్చితంగా అర్థాన్ని విడదీసింది. పాస్వర్డ్లోని అక్షరాలను బట్టి చూస్తే, ఇది ASCIIలోని నిర్దిష్ట పదం యొక్క HEX ప్రాతినిధ్యం. కోడ్ పదాన్ని టెక్స్ట్ రూపంలో ప్రదర్శించడానికి ప్రయత్నిద్దాం. మాకు దొరికింది 'నీడ తోడేలు'. ఇప్పటికే లైకాన్త్రోపీ యొక్క లక్షణాలను అనుభవిస్తున్నారా?
ఇప్పుడు లాకర్ ఎలా పనిచేస్తుందో తెలుసుకుని, ప్రభావితమైన ఫైల్ యొక్క నిర్మాణాన్ని మరోసారి చూద్దాం:
- 02 00 00 00 - పేరు ఎన్క్రిప్షన్ మోడ్;
- 58 00 00 00 – ఎన్క్రిప్టెడ్ మరియు బేస్64 ఎన్కోడ్ చేసిన ఫైల్ పేరు పొడవు;
- 40 00 00 00 – బదిలీ చేయబడిన హెడర్ పరిమాణం.
గుప్తీకరించిన పేరు మరియు బదిలీ చేయబడిన హెడర్ వరుసగా ఎరుపు మరియు పసుపు రంగులలో హైలైట్ చేయబడ్డాయి.
అన్నం. 10. గుప్తీకరించిన పేరు ఎరుపు రంగులో హైలైట్ చేయబడింది, బదిలీ చేయబడిన హెడర్ పసుపు రంగులో హైలైట్ చేయబడింది.
ఇప్పుడు హెక్సాడెసిమల్ ప్రాతినిధ్యంలో ఎన్క్రిప్టెడ్ మరియు డీక్రిప్టెడ్ పేర్లను పోల్చి చూద్దాం.
డీక్రిప్టెడ్ డేటా నిర్మాణం:
- 78 B9 B8 2E - యుటిలిటీ ద్వారా సృష్టించబడిన చెత్త (4 బైట్లు);
- 0С 00 00 00 - డీక్రిప్టెడ్ పేరు యొక్క పొడవు (12 బైట్లు);
- తదుపరి అసలు ఫైల్ పేరు మరియు అవసరమైన బ్లాక్ పొడవు (ప్యాడింగ్)కి సున్నాలతో పాడింగ్ వస్తుంది.
అన్నం. 11. IMG_4114 మెరుగ్గా కనిపిస్తోంది.
III. ముగింపులు మరియు ముగింపు
తిరిగి ప్రారంభానికి. Wulfric.Ransomware రచయితను ఏది ప్రేరేపించిందో మరియు అతను ఏ లక్ష్యాన్ని అనుసరించాడో మాకు తెలియదు. వాస్తవానికి, సగటు వినియోగదారు కోసం, అటువంటి ఎన్క్రిప్టర్ యొక్క పని ఫలితం కూడా పెద్ద విపత్తులా కనిపిస్తుంది. ఫైళ్లు తెరవవు. అందరి పేర్లు పోయాయి. సాధారణ చిత్రానికి బదులుగా, తెరపై ఒక తోడేలు ఉంది. వారు బిట్కాయిన్ల గురించి చదవమని మిమ్మల్ని బలవంతం చేస్తారు.
నిజమే, ఈసారి, “భయంకరమైన ఎన్కోడర్” ముసుగులో దోపిడీకి అలాంటి హాస్యాస్పదమైన మరియు తెలివితక్కువ ప్రయత్నం దాగి ఉంది, ఇక్కడ దాడి చేసే వ్యక్తి రెడీమేడ్ ప్రోగ్రామ్లను ఉపయోగిస్తాడు మరియు నేర స్థలంలోనే కీలను వదిలివేస్తాడు.
మార్గం ద్వారా, కీల గురించి. ఇది ఎలా జరిగిందో అర్థం చేసుకోవడంలో మాకు సహాయపడే హానికరమైన స్క్రిప్ట్ లేదా ట్రోజన్ మా వద్ద లేవు. పాస్.కీ – సోకిన PCలో ఫైల్ కనిపించే విధానం తెలియదు. కానీ, నాకు గుర్తుంది, తన నోట్లో రచయిత పాస్వర్డ్ యొక్క ప్రత్యేకతను పేర్కొన్నాడు. కాబట్టి, డీక్రిప్షన్ కోసం కోడ్ పదం వినియోగదారు పేరు షాడో వోల్ఫ్ ప్రత్యేకమైనది :)
మరియు ఇంకా, నీడ తోడేలు, ఎందుకు మరియు ఎందుకు?
మూలం: www.habr.com