Bazen gerçekten bir virüs yazarının gözlerine bakıp şunu sormak istersiniz: neden ve neden? "Nasıl" sorusunu kendimiz cevaplayabiliriz, ancak şu veya bu kötü amaçlı yazılım yaratıcısının ne düşündüğünü öğrenmek çok ilginç olurdu. Hele ki böyle “incilerle” karşılaştığımızda.
Bugünkü makalenin kahramanı ilginç bir kriptograf örneğidir. Görünüşe göre sadece başka bir “fidye yazılımı” olarak tasarlandı, ancak teknik uygulaması daha çok birinin acımasız şakasına benziyor. Bugün bu uygulamadan bahsedeceğiz.
Ne yazık ki, bu kodlayıcının yaşam döngüsünü izlemek neredeyse imkansızdır - bununla ilgili çok az istatistik vardır, çünkü neyse ki yaygınlaşmamıştır. Bu nedenle kökeni, enfeksiyon yöntemlerini ve diğer referansları dışarıda bırakacağız. Hadi sadece buluşma durumumuz hakkında konuşalım Wulfric Fidye Yazılımı ve kullanıcının dosyalarını kaydetmesine nasıl yardımcı olduğumuz.
I. Her şey nasıl başladı?
Fidye yazılımının kurbanı olan kişiler sıklıkla anti-virüs laboratuvarımızla iletişime geçer. Hangi antivirüs ürününü yüklediklerine bakılmaksızın yardım sağlıyoruz. Bu sefer dosyaları bilinmeyen bir kodlayıcıdan etkilenen bir kişi bizimle iletişime geçti.
Tünaydın Dosyalar, parolasız oturum açma özelliğiyle bir dosya deposunda (samba4) şifrelendi. Enfeksiyonun kızımın bilgisayarından (standart Windows Defender korumalı Windows 10) geldiğinden şüpheleniyorum. Bundan sonra kızının bilgisayarı açılmadı. Dosyalar çoğunlukla .jpg ve .cr2 şeklinde şifrelenir. Şifrelemeden sonra dosya uzantısı: .aef.
Kullanıcıdan şifrelenmiş dosya örnekleri, bir fidye notu ve muhtemelen fidye yazılımı yazarının dosyaların şifresini çözmek için ihtiyaç duyduğu anahtar olan bir dosya aldık.
İşte tüm ipuçlarımız:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacklenmiş.txt (0K)
- 04c.aef (6540K)
- geçiş anahtarı (0K)
Şimdi nota bir göz atalım. Bu sefer kaç Bitcoin var?
Çeviri:
Dikkat, dosyalarınız şifrelendi!
Şifre bilgisayarınıza özeldir.0.05 BTC tutarını şu Bitcoin adresine ödeyin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Ödeme yapıldıktan sonra bana pass.key dosyasını ekleyerek bir e-posta gönderin. [e-posta korumalı] ödeme bildirimi ile.Onaylandıktan sonra size dosyalar için bir şifre çözücü göndereceğim.
Bitcoin'ler için çevrimiçi olarak farklı şekillerde ödeme yapabilirsiniz:
- banka kartıyla ödeme
Bitcoinler hakkında:
Sorularınız olursa lütfen bana yazın [e-posta korumalı]
Bonus olarak, bilgisayarınızın nasıl saldırıya uğradığını ve onu gelecekte nasıl koruyacağınızı anlatacağım.
Kurbana durumun ciddiyetini göstermek için tasarlanmış gösterişli bir kurt. Ancak daha kötü olabilirdi.
Pirinç. 1. -Bonus olarak size gelecekte bilgisayarınızı nasıl koruyacağınızı anlatacağım. -Mantıklı gibi.
II. Başlayalım
Öncelikle gönderilen numunenin yapısına baktık. Garip bir şekilde, fidye yazılımı tarafından zarar görmüş bir dosyaya benzemiyordu. Onaltılık düzenleyiciyi açın ve bir göz atın. İlk 4 bayt orijinal dosya boyutunu içerir, sonraki 60 bayt ise sıfırlarla doldurulur. Ama işin sonunda en ilginç şey şu:
Pirinç. 2 Hasarlı dosyayı analiz edin. Hemen gözünüze çarpan şey nedir?
Her şeyin sinir bozucu derecede basit olduğu ortaya çıktı: Başlıktan 0x40 bayt dosyanın sonuna taşındı. Verileri geri yüklemek için en başa döndürmeniz yeterlidir. Dosyaya erişim yeniden sağlandı, ancak ad şifreli kalıyor ve işler onunla daha da karmaşıklaşıyor.
Pirinç. 3. Base64'teki şifrelenmiş ad, başıboş bir karakter kümesine benziyor.
Hadi anlamaya çalışalım geçiş anahtarı, kullanıcı tarafından gönderildi. İçinde 162 baytlık bir ASCII karakter dizisi görüyoruz.
Pirinç. 4. Kurbanın bilgisayarında 162 karakter kaldı.
Yakından bakarsanız sembollerin belirli bir sıklıkta tekrarlandığını fark edeceksiniz. Bu, sıklığı anahtar uzunluğuna bağlı olan, tekrarlarla karakterize edilen XOR'un kullanımını gösterebilir. Dizeyi 6 karaktere bölüp XOR dizilerinin bazı varyantlarıyla XOR işlemi uygulayarak anlamlı bir sonuç elde edemedik.
Pirinç. 5. Ortadaki yinelenen sabitleri görüyor musunuz?
Sabitleri Google'da aramaya karar verdik çünkü evet bu da mümkün! Ve bunların hepsi sonuçta tek bir algoritmaya yol açtı: Toplu Şifreleme. Senaryoyu inceledikten sonra çizgimizin çalışmasının sonucundan başka bir şey olmadığı ortaya çıktı. Bunun kesinlikle bir şifreleyici olmadığını, yalnızca karakterleri 6 baytlık dizilerle değiştiren bir kodlayıcı olduğunu belirtmek gerekir. Size anahtar veya başka sır yok :)
Pirinç. 6. Yazarlığı bilinmeyen orijinal algoritmanın bir parçası.
Algoritma, bir ayrıntı olmasaydı olması gerektiği gibi çalışmazdı:
Pirinç. 7. Morpheus onayladı.
Ters ikameyi kullanarak dizeyi dönüştürürüz geçiş anahtarı 27 karakterlik bir metin halinde. İnsan metni (büyük olasılıkla) 'asmodat' özel ilgiyi hak ediyor.
Şekil 8. USGFDG=7.
Google bize yine yardımcı olacaktır. Biraz araştırdıktan sonra GitHub'da .Net ile yazılmış ve başka bir Git hesabının 'asmodat' kütüphanesini kullanan ilginç bir proje buluyoruz – Folder Locker.
Pirinç. 9. Klasör Dolabı arayüzü. Kötü amaçlı yazılım olup olmadığını kontrol ettiğinizden emin olun.
Yardımcı program, Windows 7 ve üzeri için açık kaynak olarak dağıtılan bir şifreleyicidir. Şifreleme sırasında, sonraki şifre çözme için gerekli olan bir şifre kullanılır. Hem tek tek dosyalarla hem de tüm dizinlerle çalışmanıza olanak tanır.
Kütüphanesi, CBC modunda Rijndael simetrik şifreleme algoritmasını kullanır. AES standardında benimsenenin aksine blok boyutunun 256 bit olarak seçilmesi dikkat çekicidir. İkincisinde boyut 128 bit ile sınırlıdır.
Anahtarımız PBKDF2 standardına göre üretilmiştir. Bu durumda parola, yardımcı programa girilen dizedeki SHA-256'dır. Geriye kalan tek şey şifre çözme anahtarını oluşturmak için bu dizeyi bulmaktır.
Peki, zaten kodu çözülmüş halimize dönelim geçiş anahtarı. Bir dizi rakamın ve 'asmodat' metninin bulunduğu satırı hatırlıyor musunuz? Dizenin ilk 20 baytını Folder Locker için şifre olarak kullanmaya çalışalım.
Bak, işe yarıyor! Kod kelimesi ortaya çıktı ve her şey mükemmel bir şekilde çözüldü. Şifredeki karakterlere bakılırsa, bu ASCII'deki belirli bir kelimenin HEX temsilidir. Kod kelimesini metin biçiminde görüntülemeye çalışalım. Biz alıyoruz ‘gölge Kurt'. Kurtadamlığın belirtilerini zaten hissediyor musun?
Artık dolabın nasıl çalıştığını bildiğimize göre, etkilenen dosyanın yapısına bir kez daha bakalım:
- 02 00 00 00 – ad şifreleme modu;
- 58 00 00 00 – şifrelenmiş ve base64 ile kodlanmış dosya adının uzunluğu;
- 40 00 00 00 – aktarılan başlığın boyutu.
Şifrelenmiş adın kendisi ve aktarılan başlık sırasıyla kırmızı ve sarı renkle vurgulanır.
Pirinç. 10. Şifrelenmiş ad kırmızıyla vurgulanır, aktarılan başlık sarıyla vurgulanır.
Şimdi şifrelenmiş ve şifresi çözülmüş isimleri onaltılık gösterimde karşılaştıralım.
Şifresi çözülmüş verilerin yapısı:
- 78 B9 B8 2E – yardımcı program tarafından oluşturulan çöp (4 bayt);
- 0С 00 00 00 – şifresi çözülen adın uzunluğu (12 bayt);
- Daha sonra gerçek dosya adı ve gerekli blok uzunluğuna kadar sıfırlarla doldurma (doldurma) gelir.
Pirinç. 11. IMG_4114 çok daha iyi görünüyor.
III. Sonuçlar ve Sonuç
Başa dönüş. Wulfric.Ransomware'in yazarını neyin motive ettiğini ve hangi hedefi takip ettiğini bilmiyoruz. Elbette ortalama bir kullanıcı için böyle bir şifreleyicinin çalışmasının sonucu bile büyük bir felaket gibi görünecektir. Dosyalar açılmıyor. Bütün isimler gitti. Ekranda her zamanki resim yerine bir kurt var. Sizi bitcoinler hakkında okumaya zorluyorlar.
Doğru, bu sefer "korkunç bir kodlayıcı" kisvesi altında, saldırganın hazır programları kullandığı ve anahtarları olay yerinde bıraktığı böylesine saçma ve aptalca bir gasp girişimi gizlenmişti.
Bu arada, anahtarlar hakkında. Bunun nasıl olduğunu anlamamıza yardımcı olabilecek kötü amaçlı bir komut dosyamız veya Truva atımız yoktu. geçiş anahtarı – dosyanın virüs bulaşmış bir bilgisayarda görünme mekanizması hala bilinmiyor. Ancak yazarın notunda şifrenin benzersizliğinden bahsettiğini hatırlıyorum. Yani, şifre çözme için kullanılan kod sözcüğü, shadow wolf kullanıcı adının benzersiz olması kadar benzersizdir :)
Ama yine de gölge kurt, neden ve neden?
Kaynak: habr.com