Minsan gusto mo lang tumingin sa mga mata ng ilang manunulat ng virus at magtanong: bakit at bakit? Maaari naming sagutin ang tanong na "paano" sa aming sarili, ngunit magiging lubhang kawili-wiling malaman kung ano ang iniisip nito o ang gumawa ng malware na iyon. Lalo na kapag nakatagpo tayo ng mga ganitong "perlas".
Ang bayani ng artikulo ngayon ay isang kawili-wiling halimbawa ng isang cryptographer. Ito ay tila isa pang "ransomware" lamang, ngunit ang teknikal na pagpapatupad nito ay mas mukhang malupit na biro ng isang tao. Pag-uusapan natin ang pagpapatupad na ito ngayon.
Sa kasamaang palad, halos imposible na masubaybayan ang siklo ng buhay ng encoder na ito - napakakaunting mga istatistika tungkol dito, dahil, sa kabutihang palad, hindi ito naging laganap. Samakatuwid, iiwan namin ang pinagmulan, mga paraan ng impeksyon at iba pang mga sanggunian. Pag-usapan na lang natin ang kaso ng pagkikita namin Wulfric Ransomware at kung paano namin tinulungan ang user na i-save ang kanyang mga file.
I. Paano nagsimula ang lahat
Ang mga taong naging biktima ng ransomware ay madalas na nakikipag-ugnayan sa aming anti-virus na laboratoryo. Nagbibigay kami ng tulong anuman ang mga produktong antivirus na na-install nila. Sa pagkakataong ito ay nakipag-ugnayan kami ng isang tao na ang mga file ay naapektuhan ng hindi kilalang encoder.
Magandang hapon Ang mga file ay na-encrypt sa isang imbakan ng file (samba4) na may password na pag-login. Pinaghihinalaan ko na ang impeksyon ay nagmula sa computer ng aking anak na babae (Windows 10 na may karaniwang proteksyon ng Windows Defender). Hindi naka-on ang computer ng anak na babae pagkatapos noon. Ang mga file ay pangunahing naka-encrypt .jpg at .cr2. Extension ng file pagkatapos ng pag-encrypt: .aef.
Natanggap namin mula sa user ang mga sample ng mga naka-encrypt na file, isang ransom note, at isang file na malamang na ang susi na kailangan ng may-akda ng ransomware para i-decrypt ang mga file.
Narito ang lahat ng aming mga pahiwatig:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Tingnan natin ang tala. Ilang bitcoin sa pagkakataong ito?
Pagsasalin:
Pansin, ang iyong mga file ay naka-encrypt!
Ang password ay natatangi sa iyong PC.Magbayad ng halagang 0.05 BTC sa Bitcoin address: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Pagkatapos ng pagbabayad, padalhan ako ng email, na nag-attach ng pass.key file sa [protektado ng email] na may abiso ng pagbabayad.Pagkatapos ng kumpirmasyon, padadalhan kita ng decryptor para sa mga file.
Maaari kang magbayad para sa mga bitcoin online sa iba't ibang paraan:
— pagbabayad sa pamamagitan ng bank card
Tungkol sa Bitcoins:
Kung mayroon kang anumang mga katanungan, mangyaring sumulat sa akin sa [protektado ng email]
Bilang bonus, sasabihin ko sa iyo kung paano na-hack ang iyong computer at kung paano ito protektahan sa hinaharap.
Isang mapagpanggap na lobo, na idinisenyo upang ipakita sa biktima ang kabigatan ng sitwasyon. Gayunpaman, maaaring ito ay mas masahol pa.
kanin. 1. -Bilang isang bonus, sasabihin ko sa iyo kung paano protektahan ang iyong computer sa hinaharap. -Mukhang legit.
II. Magsimula na tayo
Una sa lahat, tiningnan namin ang istraktura ng ipinadalang sample. Kakatwa, hindi ito mukhang isang file na nasira ng ransomware. Buksan ang hexadecimal editor at tingnan. Ang unang 4 na byte ay naglalaman ng orihinal na laki ng file, ang susunod na 60 byte ay puno ng mga zero. Ngunit ang pinaka-kagiliw-giliw na bagay ay nasa dulo:
kanin. 2 Suriin ang nasirang file. Ano agad ang pumukaw sa iyong mata?
Ang lahat ay naging nakakainis na simple: 0x40 bytes mula sa header ay inilipat sa dulo ng file. Upang ibalik ang data, ibalik lamang ito sa simula. Ang pag-access sa file ay naibalik, ngunit ang pangalan ay nananatiling naka-encrypt, at ang mga bagay ay nagiging mas kumplikado dito.
kanin. 3. Ang naka-encrypt na pangalan sa Base64 ay mukhang isang nagkakagulong hanay ng mga character.
Subukan nating malaman ito pass.key, isinumite ng user. Dito makikita natin ang isang 162-byte na pagkakasunud-sunod ng mga ASCII na character.
kanin. 4. 162 character ang natitira sa PC ng biktima.
Kung titingnan mong mabuti, mapapansin mo na ang mga simbolo ay paulit-ulit na may isang tiyak na dalas. Maaaring ipahiwatig nito ang paggamit ng XOR, na kung saan ay nailalarawan sa pamamagitan ng mga pag-uulit, ang dalas nito ay depende sa haba ng key. Ang pagkakaroon ng hatiin ang string sa 6 na mga character at XORed na may ilang mga variant ng XOR sequence, hindi namin nakamit ang anumang makabuluhang resulta.
kanin. 5. Tingnan ang paulit-ulit na constants sa gitna?
Nagpasya kaming mag-google ng mga constant, dahil oo, posible rin iyon! At lahat sila sa huli ay humantong sa isang algorithm - Batch Encryption. Matapos pag-aralan ang script, naging malinaw na ang aming linya ay walang iba kundi ang resulta ng trabaho nito. Dapat itong banggitin na hindi ito isang encryptor, ngunit isang encoder lamang na pumapalit sa mga character na may 6-byte na pagkakasunud-sunod. Walang susi o iba pang sikreto para sa iyo :)
kanin. 6. Isang piraso ng orihinal na algorithm ng hindi kilalang may-akda.
Ang algorithm ay hindi gagana ayon sa nararapat kung hindi para sa isang detalye:
kanin. 7. Naaprubahan ang Morpheus.
Gamit ang reverse substitution, binago namin ang string mula sa pass.key sa isang teksto ng 27 character. Ang tao (malamang) na tekstong 'asmodat' ay nararapat na espesyal na pansin.
Fig.8. USGFDG=7.
Tutulungan tayong muli ng Google. Pagkatapos ng kaunting paghahanap, nakahanap kami ng isang kawili-wiling proyekto sa GitHub – Folder Locker, na nakasulat sa .Net at gamit ang ‘asmodat’ library mula sa isa pang Git account.
kanin. 9. Interface ng Folder Locker. Tiyaking suriin kung may malware.
Ang utility ay isang encryptor para sa Windows 7 at mas mataas, na ibinahagi bilang open source. Sa panahon ng pag-encrypt, ginagamit ang isang password, na kinakailangan para sa kasunod na pag-decryption. Binibigyang-daan kang magtrabaho kapwa sa mga indibidwal na file at sa buong mga direktoryo.
Ginagamit ng library nito ang Rijndael symmetric encryption algorithm sa CBC mode. Kapansin-pansin na ang laki ng bloke ay pinili upang maging 256 bits - sa kaibahan sa pinagtibay sa pamantayan ng AES. Sa huli, ang laki ay limitado sa 128 bits.
Ang aming susi ay nabuo ayon sa pamantayan ng PBKDF2. Sa kasong ito, ang password ay SHA-256 mula sa string na ipinasok sa utility. Ang natitira na lang ay hanapin ang string na ito para makabuo ng decryption key.
Well, bumalik tayo sa ating na-decode na pass.key. Tandaan ang linyang iyon na may isang hanay ng mga numero at ang tekstong 'asmodat'? Subukan nating gamitin ang unang 20 byte ng string bilang password para sa Folder Locker.
Tingnan mo, gumagana ito! Lumabas ang code word, at ang lahat ay na-decipher nang perpekto. Sa paghusga sa mga character sa password, ito ay isang HEX na representasyon ng isang partikular na salita sa ASCII. Subukan nating ipakita ang code word sa text form. Nakukuha natinshadowwolf'. Nararamdaman na ba ang mga sintomas ng lycanthropy?
Tingnan natin muli ang istraktura ng apektadong file, alam na ngayon kung paano gumagana ang locker:
- 02 00 00 00 - mode ng pag-encrypt ng pangalan;
- 58 00 00 00 – haba ng naka-encrypt at base64 na naka-encode na pangalan ng file;
- 40 00 00 00 – laki ng inilipat na header.
Ang naka-encrypt na pangalan mismo at ang inilipat na header ay naka-highlight sa pula at dilaw, ayon sa pagkakabanggit.
kanin. 10. Ang naka-encrypt na pangalan ay naka-highlight sa pula, ang inilipat na header ay naka-highlight sa dilaw.
Ngayon, ihambing natin ang naka-encrypt at naka-decrypt na mga pangalan sa hexadecimal na representasyon.
Istraktura ng na-decrypt na data:
- 78 B9 B8 2E – basurang nilikha ng utility (4 bytes);
- 0С 00 00 00 – haba ng decrypted na pangalan (12 bytes);
- Susunod ay ang aktwal na pangalan ng file at padding na may mga zero sa kinakailangang haba ng bloke (padding).
kanin. 11. Mas maganda ang hitsura ng IMG_4114.
III. Konklusyon at Konklusyon
Bumalik sa simula. Hindi namin alam kung ano ang nag-udyok sa may-akda ng Wulfric.Ransomware at kung anong layunin ang kanyang hinabol. Siyempre, para sa karaniwang gumagamit, ang resulta ng gawain ng kahit na tulad ng isang encryptor ay tila isang malaking sakuna. Hindi nagbubukas ang mga file. Wala na lahat ng pangalan. Sa halip na ang karaniwang larawan, mayroong isang lobo sa screen. Pinipilit ka nilang magbasa tungkol sa bitcoins.
Totoo, sa oras na ito, sa ilalim ng pagkukunwari ng isang "kakila-kilabot na encoder," may nakatago na tulad ng isang katawa-tawa at hangal na pagtatangka sa pangingikil, kung saan ang umaatake ay gumagamit ng mga handa na programa at iniiwan ang mga susi sa pinangyarihan ng krimen.
Sa pamamagitan ng paraan, tungkol sa mga susi. Wala kaming malisyosong script o Trojan na makakatulong sa amin na maunawaan kung paano ito nangyari. pass.key – ang mekanismo kung saan lumilitaw ang file sa isang nahawaang PC ay nananatiling hindi kilala. Ngunit, naalala ko, sa kanyang tala ay binanggit ng may-akda ang pagiging kakaiba ng password. Kaya, ang code na salita para sa decryption ay natatangi gaya ng username na shadow wolf ay natatangi :)
At gayon pa man, anino na lobo, bakit at bakit?
Pinagmulan: www.habr.com