Баъзан шумо мехоҳед танҳо ба чашмони як нависандаи вирус нигоҳ кунед ва бипурсед: чаро ва чаро? Мо метавонем ба саволи "чӣ гуна" худамон ҷавоб диҳем, аммо фаҳмидани он, ки ин ё он созандаи нармафзори зараровар чӣ фикр мекард, хеле ҷолиб мебуд. Хусусан, вакте ки ба чунин «марворидхо» дучор мешавем.
Қаҳрамони мақолаи имрӯза як мисоли ҷолиби криптограф мебошад. Эҳтимол он ҳамчун як барномаи дигари "зарарафзори фидя" таҳия шудааст, аммо татбиқи техникии он бештар ба шӯхии бераҳмонаи касе монанд аст. Мо имрӯз дар бораи ин татбиқ сӯҳбат хоҳем кард.
Мутаассифона, пайгирӣ кардани давраи зиндагии ин рамзгузор қариб ғайриимкон аст - омор дар бораи он хеле кам аст, зеро, хушбахтона, он васеъ паҳн нашудааст. Аз ин рӯ, мо пайдоиш, усулҳои сироят ва дигар истинодҳоро тарк хоҳем кард. Биёед танҳо дар бораи ҳодисаи мулоқотамон сӯҳбат кунем Wulfric Ransomware ва чӣ гуна мо ба корбар дар захира кардани файлҳои худ кӯмак кардем.
I. Хамаи он чй тавр cap шуд
Одамоне, ки қурбонии нармафзори ransomware шудаанд, аксар вақт ба лабораторияи антивирусии мо муроҷиат мекунанд. Мо новобаста аз он, ки онҳо кадом маҳсулоти антивирусро насб кардаанд, кӯмак мерасонем. Ин дафъа бо мо шахсе тамос гирифт, ки файлҳояшро рамзгузори номаълум таъсир кардааст.
Нимирӯзи ба хайр Файлҳо дар анбори файл (samba4) бо воридшавии бепарол рамзгузорӣ карда шуданд. Ман гумон мекунам, ки сироят аз компютери духтари ман омадааст (Windows 10 бо муҳофизати стандартии Windows Defender). Баъд аз ин компютери духтарча даргиронда нашудааст. Файлҳо асосан .jpg ва .cr2 рамзгузорӣ шудаанд. Пас аз рамзгузорӣ васеъшавии файл: .aef.
Мо аз корбар намунаҳои файлҳои рамзгузоришуда, ёддошти фидя ва файлеро гирифтем, ки эҳтимолан калиди муаллифи ransomware барои рамзкушоӣ кардани файлҳост.
Инҳоянд ҳама маслиҳатҳои мо:
- 01c.aef (4481K)
- хакершуда.jpg (254К)
- hacked.txt (0K)
- 04c.aef (6540K)
- Pass.key (0K)
Биёед ба ёддошт назар андозем. Ин дафъа чанд биткоин?
тарҷумаи:
Диққат, файлҳои шумо рамзгузорӣ шудаанд!
Парол барои компютери шумо беназир аст.Маблағи 0.05 BTC-ро ба суроғаи Bitcoin пардохт кунед: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Пас аз пардохт, ба ман паёми электронӣ фиристед, ки файли pass.key -ро замима кунед [почтаи электронӣ ҳифз карда шудааст] бо огоҳии пардохт.Пас аз тасдиқ, ман ба шумо рамзкушоӣ барои файлҳо мефиристам.
Шумо метавонед биткоинҳоро бо роҳҳои гуногун онлайн пардохт кунед:
— пардохт бо корти бонкӣ
Дар бораи Bitcoins:
Агар шумо ягон савол дошта бошед, лутфан ба ман нависед [почтаи электронӣ ҳифз карда шудааст]
Ҳамчун бонус, ман ба шумо мегӯям, ки чӣ тавр компютери шумо хакерӣ карда шуд ва чӣ гуна онро дар оянда муҳофизат кунед.
Гурги пешқадам, ки барои нишон додани ҷиддии вазъ ба ҷабрдида пешбинӣ шудааст. Бо вуҷуди ин, он метавонад бадтар бошад.
Райс. 1. -Ҳамчун бонус, ман ба шумо мегӯям, ки чӣ гуна компютери худро дар оянда муҳофизат кунед. -Зоҳиран қонунӣ.
II. Биёед оғоз кунем
Пеш аз ҳама, мо сохтори намунаи фиристодашударо дида баромадем. Аҷиб он аст, ки он ба файле монанд набуд, ки аз ҷониби ransomware зарар дидааст. Муҳаррири шонздаҳиро кушоед ва назар андозед. 4 байти аввал андозаи аслии файлро дар бар мегирад, 60 байти дигар бо сифрҳо пур карда мешавад. Аммо ҷолибтарин чиз дар охир аст:
Райс. 2 Файли вайроншударо таҳлил кунед. Чӣ фавран ба чашми шумо меафтад?
Ҳама чиз ба таври бениҳоят содда баромад: 0x40 байт аз сарлавҳа ба охири файл интиқол дода шуд. Барои барқарор кардани маълумот, танҳо онро ба ибтидо баргардонед. Дастрасӣ ба файл барқарор карда шуд, аммо ном шифршуда боқӣ мемонад ва кор бо он мураккабтар мешавад.
Райс. 3. Номи рамзгузоришуда дар Base64 ба як маҷмӯи аломатҳо монанд аст.
Биёед кӯшиш кунем, ки онро фаҳмем гузариш.калид, аз ҷониби корбар пешниҳод шудааст. Дар он мо пайдарпайии 162-байтии аломатҳои ASCII-ро мебинем.
Райс. 4. Дар компютери ҷабрдида 162 аломат боқӣ мондааст.
Агар шумо бодиққат назар кунед, шумо мебинед, ки рамзҳо бо басомади муайян такрор мешаванд. Ин метавонад истифодаи XOR-ро нишон диҳад, ки бо такрорҳо тавсиф мешавад, ки басомади онҳо аз дарозии калид вобаста аст. Пас аз тақсим кардани сатр ба 6 аломат ва XOR-ро бо баъзе вариантҳои пайдарпайии XOR, мо ягон натиҷаи назаррас ба даст наовардем.
Райс. 5. Дар мобайн константањои такроршавандаро бинед?
Мо тасмим гирифтем, ки константаҳоро дар Google ҷустуҷӯ кунем, зеро ҳа, ин ҳам имконпазир аст! Ва ҳамаи онҳо дар ниҳоят ба як алгоритм бурданд - Encryption Batch. Баъди омузиши сценария маълум шуд, ки хатти мо гайр аз натичаи кори он чизи дигаре нест. Бояд қайд кард, ки ин умуман рамзгузор нест, балки танҳо рамзгузорест, ки аломатҳоро бо пайдарпаии 6-байт иваз мекунад. Ҳеҷ калид ё сирри дигар барои шумо нест :)
Райс. 6. Порае аз алгоритми аслии муаллифи номаълум.
Алгоритм тавре кор намекунад, агар як ҷузъиёт набошад:
Райс. 7. Морфей тасдик карда шуд.
Бо истифода аз ивазкунии баръакс мо сатрро аз гузариш.калид ба матни иборат аз 27 аломат. Матни инсонӣ (эҳтимоли зиёд) "асмодат" сазовори таваҷҷӯҳи махсус аст.
Расми 8. USGFDG = 7.
Google ба мо боз кӯмак хоҳад кард. Пас аз ҷустуҷӯи каме, мо дар GitHub - Folder Locker лоиҳаи ҷолиберо пайдо мекунем, ки дар .Net навишта шудааст ва бо истифода аз китобхонаи 'asmodat' аз ҳисоби дигари Git.
Райс. 9. Интерфейси қулфбанди папка. Боварӣ ҳосил кунед, ки нармафзори зарароварро тафтиш кунед.
Утилита рамзгузор барои Windows 7 ва навтар аст, ки ҳамчун манбаи кушода паҳн карда мешавад. Ҳангоми рамзгузорӣ парол истифода мешавад, ки барои рамзкушоии минбаъда зарур аст. Ба шумо имкон медиҳад, ки ҳам бо файлҳои алоҳида ва ҳам бо тамоми директорияҳо кор кунед.
Китобхонаи он алгоритми рамзгузории симметрии Rijndaelро дар реҷаи CBC истифода мебарад. Ҷолиби диққат аст, ки андозаи блок дар муқоиса бо стандарти AES қабулшуда 256 бит интихоб шудааст. Дар охирин, андоза бо 128 бит маҳдуд аст.
Калиди мо мувофиқи стандарти PBKDF2 тавлид шудааст. Дар ин ҳолат, парол SHA-256 аз сатри дар утилита воридшуда мебошад. Танҳо ёфтани ин сатр барои тавлиди калиди рамзкушоӣ боқӣ мемонад.
Хуб, биёед ба аллакай рамзкардаамон баргардем гузариш.калид. Он сатрро бо маҷмӯи рақамҳо ва матни "асмодат" дар хотир доред? Биёед кӯшиш кунем, ки 20 байти аввали сатрро ҳамчун парол барои қуфлбанди ҷузвдон истифода барем.
Инак, кор мекунад! Калимаи рамзӣ пайдо шуд ва ҳама чиз ба таври комил рамзкушо карда шуд. Аз рӯи аломатҳои парол, он ифодаи HEX-и калимаи мушаххас дар ASCII мебошад. Биёед кӯшиш кунем, ки калимаи кодро дар шакли матн нишон диҳем. мо мегирем'гурги соя'. Оё шумо аллакай нишонаҳои ликантропияро ҳис мекунед?
Биёед бори дигар ба сохтори файли зарардида назар андозем ва ҳоло медонем, ки қуфл чӣ гуна кор мекунад:
- 02 00 00 00 – ҳолати рамзгузории ном;
- 58 00 00 00 – дарозии номи файли рамзгузоришуда ва рамзгузоришудаи base64;
- 40 00 00 00 – андозаи сарлавҳаи интиқолшуда.
Худи номи рамзгузоришуда ва сарлавҳаи интиқолшуда мутаносибан бо рангҳои сурх ва зард таъкид карда мешаванд.
Райс. 10. Номи рамзгузорӣ бо ранги сурх, сарлавҳаи интиқолшуда бо ранги зард таъкид карда мешавад.
Акнун биёед номҳои рамзгузоришуда ва рамзкушошударо дар намояндагии шонздаҳӣ муқоиса кунем.
Сохтори маълумоти рамзкушошуда:
- 78 B9 B8 2E - партовҳое, ки аз ҷониби утилит сохта шудаанд (4 байт);
- 0С 00 00 00 – дарозии номи рамзкушодашуда (12 байт);
- Баъдан номи файли воқеии ва замимаи бо сифрҳо ба дарозии блоки лозимӣ (padding) меояд.
Райс. 11. IMG_4114 хеле беҳтар ба назар мерасад.
III. Хулоса ва хулоса
Бозгашт ба ибтидо. Мо намедонем, ки муаллифи Wulfric.Ransomware чӣ барангехт ва ӯ чӣ ҳадафро пеш гирифт. Албатта, барои корбари оддӣ, натиҷаи кори ҳатто чунин рамзгузор ҳамчун як фалокати бузург ба назар мерасад. Файлҳо кушода намешаванд. Ҳама номҳо рафтанд. Дар экран ба чои расми мукаррарй гург намоён аст. Онҳо шуморо маҷбур мекунанд, ки дар бораи биткоинҳо хонед.
Дуруст аст, ки ин дафъа зери ниқоби «кодератори даҳшатнок» чунин як кӯшиши хандаовар ва аблаҳии тамаъҷӯӣ пинҳон карда шуд, ки дар он ҳамлакунанда барномаҳои тайёрро истифода мебарад ва калидҳоро бевосита дар ҷои ҷиноят мегузорад.
Дар омади гап, дар бораи калидҳо. Мо скрипти зараровар ё троян надоштем, ки ба мо дар фаҳмидани ин чӣ гуна рӯй дод. гузариш.калид – механизми пайдоиши файл дар компютери сироятшуда номаълум боқӣ мемонад. Аммо, дар ёд дорам, дар ёддошти худ муаллиф аз нотакрор будани парол ёдовар шуда буд. Ҳамин тавр, калимаи рамзӣ барои рамзкушоӣ ончунон беназир аст, зеро номи корбари сояи гург беназир аст :)
Ва аммо, гурги соя, чаро ва чаро?
Манбаъ: will.com