โปรโฮสต์ > บล็อก > การบริหาร > Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง

บางครั้งคุณเพียงต้องการมองเข้าไปในดวงตาของผู้เขียนไวรัสแล้วถามว่า: ทำไมและเพราะเหตุใด? เราสามารถตอบคำถามว่า "อย่างไร" ได้ด้วยตัวเอง แต่จะน่าสนใจมากหากทราบว่าผู้สร้างมัลแวร์รายนี้คิดอะไรอยู่ โดยเฉพาะเมื่อเราเจอ “ไข่มุก” แบบนี้

ฮีโร่ของบทความวันนี้คือตัวอย่างที่น่าสนใจของนักเข้ารหัส เห็นได้ชัดว่ามันถูกมองว่าเป็นเพียง “แรนซัมแวร์” อีกตัวหนึ่ง แต่การใช้งานทางเทคนิคของมันดูเหมือนเป็นเรื่องตลกที่โหดร้ายของใครบางคนมากกว่า เราจะพูดถึงการดำเนินการนี้วันนี้

น่าเสียดายที่แทบจะเป็นไปไม่ได้เลยที่จะติดตามวงจรชีวิตของตัวเข้ารหัสนี้ - มีสถิติน้อยเกินไปเนื่องจากโชคดีที่ยังไม่แพร่หลาย ดังนั้นเราจะละต้นกำเนิด วิธีการติดเชื้อ และการอ้างอิงอื่นๆ เอาไว้ เรามาพูดถึงกรณีที่เราพบกันกันดีกว่า วูลฟริก แรนซั่มแวร์ และวิธีที่เราช่วยให้ผู้ใช้บันทึกไฟล์ของเขา

I. ทุกอย่างเริ่มต้นอย่างไร

ผู้ที่เคยตกเป็นเหยื่อของแรนซัมแวร์มักจะติดต่อห้องปฏิบัติการป้องกันไวรัสของเรา เราให้ความช่วยเหลือไม่ว่าพวกเขาจะติดตั้งผลิตภัณฑ์ป้องกันไวรัสตัวใดก็ตาม ครั้งนี้เราได้รับการติดต่อจากบุคคลที่ไฟล์ได้รับผลกระทบจากตัวเข้ารหัสที่ไม่รู้จัก

สวัสดีตอนบ่าย ไฟล์ถูกเข้ารหัสบนพื้นที่จัดเก็บไฟล์ (samba4) ด้วยการเข้าสู่ระบบโดยไม่ต้องใช้รหัสผ่าน ฉันสงสัยว่าการติดเชื้อมาจากคอมพิวเตอร์ของลูกสาวฉัน (Windows 10 ที่มีการป้องกัน Windows Defender มาตรฐาน) คอมพิวเตอร์ของลูกสาวไม่ได้เปิดหลังจากนั้น ไฟล์จะถูกเข้ารหัสเป็น .jpg และ .cr2 เป็นหลัก นามสกุลไฟล์หลังการเข้ารหัส: .aef

เราได้รับจากตัวอย่างผู้ใช้ของไฟล์ที่เข้ารหัส บันทึกค่าไถ่ และไฟล์ที่น่าจะเป็นคีย์ที่ผู้เขียนแรนซัมแวร์จำเป็นต้องใช้ในการถอดรหัสไฟล์

นี่คือเบาะแสทั้งหมดของเรา:

  • 01c.aef (4481K)
  • แฮ็ก.jpg (254K)
  • แฮ็ก.txt (0K)
  • 04c.aef (6540K)
  • พาสคีย์ (0K)

มาดูหมายเหตุกัน ครั้งนี้กี่ bitcoins?

แปล:

โปรดทราบ ไฟล์ของคุณถูกเข้ารหัส!
รหัสผ่านเป็นรหัสเฉพาะสำหรับพีซีของคุณ

ชำระจำนวน 0.05 BTC ไปยังที่อยู่ Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
หลังจากชำระเงินแล้ว ให้ส่งอีเมลพร้อมแนบไฟล์ pass.key มาที่ [ป้องกันอีเมล] พร้อมแจ้งการชำระเงิน

หลังจากการยืนยัน ฉันจะส่งตัวถอดรหัสสำหรับไฟล์ไปให้คุณ

คุณสามารถชำระเงิน bitcoins ออนไลน์ได้หลายวิธี:
buy.blockexplorer.com — ชำระเงินด้วยบัตรธนาคาร
www.buybitcoinworldwide.com
localbitcoins.net

เกี่ยวกับ Bitcoins:
en.wikipedia.org/wiki/Bitcoin
หากคุณมีคำถามใด ๆ โปรดเขียนถึงฉันที่ [ป้องกันอีเมล]
เพื่อเป็นโบนัส ฉันจะบอกคุณว่าคอมพิวเตอร์ของคุณถูกแฮ็กอย่างไร และจะป้องกันคอมพิวเตอร์อย่างไรในอนาคต

หมาป่าเสแสร้งออกแบบมาเพื่อแสดงให้เหยื่อเห็นถึงความร้ายแรงของสถานการณ์ อย่างไรก็ตามมันอาจจะแย่กว่านั้นก็ได้

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง
ข้าว. 1. -เพื่อเป็นโบนัส ฉันจะบอกวิธีป้องกันคอมพิวเตอร์ของคุณในอนาคต -ดูเหมือนว่าเชื่อถือได้.

ครั้งที่สอง มาเริ่มกันเลย

ก่อนอื่น เราดูที่โครงสร้างของตัวอย่างที่ส่งไป น่าแปลกที่มันดูไม่เหมือนไฟล์ที่ได้รับความเสียหายจากแรนซัมแวร์ เปิดตัวแก้ไขเลขฐานสิบหกแล้วดู 4 ไบต์แรกมีขนาดไฟล์ต้นฉบับ ส่วน 60 ไบต์ถัดไปจะเต็มไปด้วยเลขศูนย์ แต่สิ่งที่น่าสนใจที่สุดคือตอนท้าย:

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง
ข้าว. 2 วิเคราะห์ไฟล์ที่เสียหาย อะไรดึงดูดสายตาคุณทันที?

ทุกอย่างกลายเป็นเรื่องง่ายอย่างน่ารำคาญ: 0x40 ไบต์จากส่วนหัวถูกย้ายไปยังจุดสิ้นสุดของไฟล์ หากต้องการกู้คืนข้อมูล เพียงย้อนกลับไปที่จุดเริ่มต้น การเข้าถึงไฟล์ได้รับการกู้คืนแล้ว แต่ชื่อยังคงถูกเข้ารหัส และสิ่งต่างๆ เริ่มซับซ้อนมากขึ้น

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง
ข้าว. 3. ชื่อที่เข้ารหัสใน Base64 ดูเหมือนชุดอักขระที่เดินเตร่

ลองคิดดูสิ กุญแจผี, ส่งโดยผู้ใช้ ในนั้นเราเห็นลำดับอักขระ ASCII ขนาด 162 ไบต์

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง
ข้าว. 4. เหลือ 162 ตัวอักษรบนพีซีของเหยื่อ

หากคุณมองใกล้ ๆ คุณจะสังเกตเห็นว่าสัญลักษณ์นั้นถูกทำซ้ำด้วยความถี่ที่แน่นอน สิ่งนี้อาจบ่งบอกถึงการใช้ XOR ซึ่งมีลักษณะเฉพาะด้วยการทำซ้ำ ความถี่ขึ้นอยู่กับความยาวของคีย์ หลังจากแบ่งสตริงออกเป็น 6 ตัวอักษรและ XORed ด้วยลำดับ XOR บางรูปแบบ เราจึงไม่ได้ผลลัพธ์ที่มีความหมายใดๆ

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง
ข้าว. 5. ดูค่าคงที่ซ้ำตรงกลางหรือไม่?

เราตัดสินใจใช้ค่าคงที่ของ Google เพราะใช่ นั่นก็เป็นไปได้เช่นกัน! และในที่สุดพวกเขาก็นำไปสู่อัลกอริธึมเดียว - การเข้ารหัสแบบแบตช์ หลังจากศึกษาบทแล้วเห็นได้ชัดว่าสายงานของเราไม่มีอะไรมากไปกว่าผลงานของเขา ควรกล่าวว่านี่ไม่ใช่ตัวเข้ารหัสเลย แต่เป็นเพียงตัวเข้ารหัสที่แทนที่อักขระด้วยลำดับ 6 ไบต์ ไม่มีกุญแจหรือความลับอื่นๆ สำหรับคุณ :)

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง
ข้าว. 6. ชิ้นส่วนของอัลกอริธึมต้นฉบับของการประพันธ์ที่ไม่รู้จัก

อัลกอริธึมจะไม่ทำงานอย่างที่ควรจะเป็นหากไม่ใช่เพื่อรายละเอียดเดียว:

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง
ข้าว. 7. มอร์เฟียสได้รับการอนุมัติ

การใช้การทดแทนแบบย้อนกลับเราจะแปลงสตริงจาก กุญแจผี เป็นข้อความจำนวน 27 ตัวอักษร ข้อความ 'asmodat' ของมนุษย์ (น่าจะเป็นไปได้มากที่สุด) สมควรได้รับความสนใจเป็นพิเศษ

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง
รูปที่ 8. USGFDG=7.

Google จะช่วยเราอีกครั้ง หลังจากค้นหาเพียงเล็กน้อย เราก็พบโปรเจ็กต์ที่น่าสนใจบน GitHub - Folder Locker ซึ่งเขียนด้วย .Net และใช้ไลบรารี 'asmodat' จากบัญชี Git อื่น

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง
ข้าว. 9. อินเตอร์เฟซล็อคโฟลเดอร์ อย่าลืมตรวจสอบมัลแวร์

ยูทิลิตี้นี้เป็นตัวเข้ารหัสสำหรับ Windows 7 และสูงกว่าซึ่งเผยแพร่เป็นโอเพ่นซอร์ส ในระหว่างการเข้ารหัส รหัสผ่านจะถูกใช้ซึ่งจำเป็นสำหรับการถอดรหัสในภายหลัง ช่วยให้คุณทำงานทั้งกับไฟล์เดี่ยวและกับทั้งไดเร็กทอรี

ไลบรารีใช้อัลกอริธึมการเข้ารหัสแบบสมมาตรของ Rijndael ในโหมด CBC เป็นที่น่าสังเกตว่าขนาดบล็อกถูกเลือกให้เป็น 256 บิต ซึ่งตรงกันข้ามกับขนาดที่ใช้ในมาตรฐาน AES ประการหลังขนาดจำกัดอยู่ที่ 128 บิต

คีย์ของเราถูกสร้างขึ้นตามมาตรฐาน PBKDF2 ในกรณีนี้ รหัสผ่านคือ SHA-256 จากสตริงที่ป้อนในยูทิลิตี้ สิ่งที่เหลืออยู่คือค้นหาสตริงนี้เพื่อสร้างคีย์ถอดรหัส

กลับไปที่การถอดรหัสของเราแล้ว กุญแจผี. จำบรรทัดที่มีชุดตัวเลขและข้อความ 'asmodat' ได้ไหม ลองใช้สตริง 20 ไบต์แรกเป็นรหัสผ่านสำหรับ Folder Locker

ดูสิมันได้ผล! คำรหัสปรากฏขึ้น และทุกอย่างก็ถูกถอดรหัสได้อย่างสมบูรณ์แบบ เมื่อพิจารณาจากอักขระในรหัสผ่าน จะเป็นการแสดง HEX ของคำเฉพาะในรูปแบบ ASCII ลองแสดงคำรหัสในรูปแบบข้อความ เราได้รับ 'หมาป่าเงา'. รู้สึกถึงอาการของ lycanthropy แล้วหรือยัง?

มาดูโครงสร้างของไฟล์ที่ได้รับผลกระทบอีกครั้ง ตอนนี้เรารู้แล้วว่าล็อคเกอร์ทำงานอย่างไร:

  • 02 00 00 00 – โหมดการเข้ารหัสชื่อ
  • 58 00 00 00 – ความยาวของชื่อไฟล์ที่เข้ารหัสและ base64
  • 40 00 00 00 – ขนาดของส่วนหัวที่ถ่ายโอน

ชื่อที่เข้ารหัสและส่วนหัวที่ถ่ายโอนจะถูกเน้นด้วยสีแดงและสีเหลืองตามลำดับ

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง
ข้าว. 10. ชื่อที่เข้ารหัสจะถูกเน้นด้วยสีแดง ส่วนหัวที่ถ่ายโอนจะถูกเน้นด้วยสีเหลือง

ตอนนี้เรามาเปรียบเทียบชื่อที่เข้ารหัสและถอดรหัสในรูปแบบเลขฐานสิบหก

โครงสร้างของข้อมูลที่ถอดรหัส:

  • 78 B9 B8 2E - ขยะที่สร้างโดยยูทิลิตี้ (4 ไบต์)
  • 0С 00 00 00 – ความยาวของชื่อที่ถอดรหัส (12 ไบต์)
  • ถัดมาคือชื่อไฟล์จริงและการเติมด้วยศูนย์ตามความยาวบล็อกที่ต้องการ (การเติม)

Wulfric Ransomware – แรนซัมแวร์ที่ไม่มีอยู่จริง
ข้าว. 11. IMG_4114 ดูดีขึ้นมาก

สาม. ข้อสรุปและข้อสรุป

กลับไปที่จุดเริ่มต้น เราไม่รู้ว่าอะไรเป็นแรงบันดาลใจให้ผู้เขียน Wulfric.Ransomware และเขาบรรลุเป้าหมายอะไร แน่นอนว่าสำหรับผู้ใช้ทั่วไป ผลลัพธ์ของการทำงานของแม้แต่ผู้เข้ารหัสก็ดูเหมือนเป็นหายนะครั้งใหญ่ ไฟล์ไม่เปิด ชื่อหมดเลย แทนที่จะเป็นภาพปกติกลับมีหมาป่าอยู่บนหน้าจอ พวกเขาบังคับให้คุณอ่านเกี่ยวกับ bitcoins

จริงอยู่ที่คราวนี้ภายใต้หน้ากากของ "ตัวเข้ารหัสที่น่ากลัว" มีการซ่อนความพยายามที่ไร้สาระและโง่เขลาในการกรรโชกโดยที่ผู้โจมตีใช้โปรแกรมสำเร็จรูปและทิ้งกุญแจไว้ในที่เกิดเหตุ

โดยวิธีการเกี่ยวกับกุญแจ เราไม่มีสคริปต์ที่เป็นอันตรายหรือโทรจันที่สามารถช่วยให้เราเข้าใจว่าสิ่งนี้เกิดขึ้นได้อย่างไร กุญแจผี – กลไกที่ไฟล์ปรากฏบนพีซีที่ติดไวรัสยังไม่ทราบ แต่ฉันจำได้ว่าในบันทึกของเขา ผู้เขียนกล่าวถึงความเป็นเอกลักษณ์ของรหัสผ่าน ดังนั้นคำรหัสสำหรับการถอดรหัสจึงมีเอกลักษณ์เฉพาะตัวเหมือนกับชื่อผู้ใช้ shadow wolf ที่ไม่ซ้ำใคร :)

แต่หมาป่าเงา ทำไมและทำไม?

ที่มา: will.com

เพิ่มความคิดเห็น