کبھی کبھی آپ واقعی کسی وائرس مصنف کی آنکھوں میں دیکھنا چاہتے ہیں اور پوچھنا چاہتے ہیں: کیوں اور کیوں؟ ہم خود اس سوال کا جواب "کیسے" دے سکتے ہیں، لیکن یہ جاننا بہت دلچسپ ہوگا کہ یہ یا وہ میلویئر بنانے والا کیا سوچ رہا ہے۔ خاص طور پر جب ہم ایسے "موتی" سے ملتے ہیں۔
آج کے مضمون کا ہیرو ایک کرپٹوگرافر کی ایک دلچسپ مثال ہے۔ بظاہر یہ صرف ایک اور "رینسم ویئر" کے طور پر تصور کیا گیا تھا، لیکن اس کا تکنیکی عمل کسی کے ظالمانہ مذاق کی طرح لگتا ہے۔ ہم آج اس نفاذ کے بارے میں بات کریں گے۔
بدقسمتی سے، اس انکوڈر کے لائف سائیکل کا پتہ لگانا تقریباً ناممکن ہے - اس پر بہت کم اعدادوشمار ہیں، کیونکہ خوش قسمتی سے، یہ وسیع نہیں ہوا ہے۔ لہذا، ہم اصل، انفیکشن کے طریقوں اور دیگر حوالوں کو چھوڑ دیں گے. آئیے صرف ہماری ملاقات کے معاملے پر بات کرتے ہیں۔ ولفرک رینسم ویئر اور ہم نے صارف کی فائلوں کو محفوظ کرنے میں کس طرح مدد کی۔
I. یہ سب کیسے شروع ہوا۔
وہ لوگ جو رینسم ویئر کا شکار ہوئے ہیں اکثر ہماری اینٹی وائرس لیبارٹری سے رابطہ کرتے ہیں۔ ہم مدد فراہم کرتے ہیں اس سے قطع نظر کہ انہوں نے کون سی اینٹی وائرس پروڈکٹس انسٹال کی ہیں۔ اس بار ہم سے ایک ایسے شخص نے رابطہ کیا جس کی فائلیں کسی نامعلوم انکوڈر سے متاثر ہوئیں۔
صبح بخیر فائلوں کو بغیر پاس ورڈ لاگ ان کے ساتھ فائل اسٹوریج (samba4) پر انکرپٹ کیا گیا تھا۔ مجھے شک ہے کہ انفیکشن میری بیٹی کے کمپیوٹر سے آیا ہے (Windows 10 معیاری Windows Defender تحفظ کے ساتھ)۔ اس کے بعد بیٹی کا کمپیوٹر آن نہیں ہوا۔ فائلیں بنیادی طور پر .jpg اور .cr2 کو خفیہ کردہ ہیں۔ خفیہ کاری کے بعد فائل کی توسیع: .aef.
ہمیں صارف سے خفیہ کردہ فائلوں کے نمونے، تاوان کا نوٹ، اور ایک فائل موصول ہوئی ہے جو ممکنہ طور پر رینسم ویئر کے مصنف کو فائلوں کو ڈکرپٹ کرنے کے لیے درکار کلید ہے۔
ہمارے تمام اشارے یہ ہیں:
- 01c.aef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
آئیے نوٹ پر ایک نظر ڈالتے ہیں۔ اس بار کتنے بٹ کوائنز؟
ترجمہ:
دھیان سے، آپ کی فائلیں خفیہ کردہ ہیں!
پاس ورڈ آپ کے کمپیوٹر کے لیے منفرد ہے۔بٹ کوائن ایڈریس پر 0.05 BTC کی رقم ادا کریں: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
ادائیگی کے بعد، pass.key فائل کو منسلک کرتے ہوئے مجھے ایک ای میل بھیجیں۔ [ای میل محفوظ] ادائیگی کی اطلاع کے ساتھ۔تصدیق کے بعد، میں آپ کو فائلوں کے لیے ایک ڈکریپٹر بھیجوں گا۔
آپ بٹ کوائنز کے لیے مختلف طریقوں سے آن لائن ادائیگی کر سکتے ہیں:
- بینک کارڈ کے ذریعے ادائیگی
Bitcoins کے بارے میں:
اگر آپ کے کوئی سوالات ہیں، تو براہ کرم مجھے اس پر لکھیں۔ [ای میل محفوظ]
بونس کے طور پر، میں آپ کو بتاؤں گا کہ آپ کا کمپیوٹر کیسے ہیک ہوا اور مستقبل میں اس کی حفاظت کیسے کی جائے۔
ایک دکھاوے والا بھیڑیا، جو شکار کو صورت حال کی سنگینی کو ظاہر کرنے کے لیے ڈیزائن کیا گیا ہے۔ تاہم، یہ بدتر ہو سکتا تھا.
چاول۔ 1. بونس کے طور پر، میں آپ کو بتاؤں گا کہ مستقبل میں آپ کے کمپیوٹر کی حفاظت کیسے کی جائے۔ -قانونی طور سے.
II آو شروع کریں
سب سے پہلے، ہم نے بھیجے گئے نمونے کی ساخت کو دیکھا۔ عجیب بات یہ ہے کہ یہ کسی فائل کی طرح نہیں لگ رہی تھی جسے ransomware سے نقصان پہنچا تھا۔ ہیکساڈیسیمل ایڈیٹر کھولیں اور ایک نظر ڈالیں۔ پہلے 4 بائٹس میں اصل فائل کا سائز ہوتا ہے، اگلے 60 بائٹس زیرو سے بھرے ہوتے ہیں۔ لیکن سب سے دلچسپ بات آخر میں ہے:
چاول۔ 2 خراب فائل کا تجزیہ کریں۔ فوری طور پر آپ کی آنکھ کو کیا پکڑتا ہے؟
سب کچھ پریشان کن حد تک آسان نکلا: ہیڈر سے 0x40 بائٹس فائل کے آخر میں منتقل کر دیے گئے۔ ڈیٹا کو بحال کرنے کے لیے، اسے شروع میں واپس کریں۔ فائل تک رسائی بحال کر دی گئی ہے، لیکن نام ابھی بھی انکرپٹڈ ہے، اور اس کے ساتھ چیزیں مزید پیچیدہ ہوتی جا رہی ہیں۔
چاول۔ 3. Base64 میں انکرپٹڈ نام حروف کے ایک ریمبلنگ سیٹ کی طرح لگتا ہے۔
آئیے اسے معلوم کرنے کی کوشش کرتے ہیں۔ pass.key، صارف کے ذریعہ جمع کرایا گیا۔ اس میں ہم ASCII حروف کا ایک 162 بائٹ تسلسل دیکھتے ہیں۔
چاول۔ 4. شکار کے پی سی پر 162 حروف باقی ہیں۔
اگر آپ قریب سے دیکھیں تو آپ دیکھیں گے کہ علامتیں ایک خاص تعدد کے ساتھ دہرائی جاتی ہیں۔ یہ XOR کے استعمال کی نشاندہی کر سکتا ہے، جس کی خصوصیات تکرار سے ہوتی ہے، جس کی تعدد کلیدی لمبائی پر منحصر ہوتی ہے۔ سٹرنگ کو 6 حروف میں تقسیم کرنے اور XOR ترتیب کی کچھ مختلف حالتوں کے ساتھ XOR کرنے کے بعد، ہم نے کوئی معنی خیز نتیجہ حاصل نہیں کیا۔
چاول۔ 5. درمیان میں دہرائے جانے والے مستقل کو دیکھیں؟
ہم نے مستقل کو گوگل کرنے کا فیصلہ کیا، کیونکہ ہاں، یہ بھی ممکن ہے! اور وہ سب بالآخر ایک الگورتھم کی طرف لے گئے - بیچ انکرپشن۔ سکرپٹ کا مطالعہ کرنے کے بعد، یہ واضح ہوا کہ ہماری لائن اس کے کام کے نتیجے سے زیادہ کچھ نہیں ہے. واضح رہے کہ یہ کوئی انکریپٹر نہیں ہے بلکہ صرف ایک انکوڈر ہے جو 6 بائٹ سیکوینس کے ساتھ حروف کی جگہ لے لیتا ہے۔ آپ کے لیے کوئی چابیاں یا دیگر راز نہیں ہیں :)
چاول۔ 6. نامعلوم تصنیف کے اصل الگورتھم کا ایک ٹکڑا۔
الگورتھم کام نہیں کرے گا جیسا کہ اسے ایک تفصیل کے لیے نہیں کرنا چاہیے:
چاول۔ 7. Morpheus کی منظوری دے دی.
ریورس متبادل کا استعمال کرتے ہوئے ہم اسٹرنگ کو تبدیل کرتے ہیں۔ pass.key 27 حروف کے متن میں۔ انسانی (ممکنہ طور پر) متن 'اسمودات' خصوصی توجہ کا مستحق ہے۔
تصویر 8۔ USGFDG=7۔
گوگل دوبارہ ہماری مدد کرے گا۔ تھوڑی سی تلاش کے بعد، ہمیں GitHub - Folder Locker پر ایک دلچسپ پروجیکٹ ملتا ہے، جو .Net میں لکھا ہوا ہے اور دوسرے Git اکاؤنٹ سے 'asmodat' لائبریری کا استعمال کرتا ہے۔
چاول۔ 9. فولڈر لاکر انٹرفیس۔ میلویئر کی جانچ کرنا یقینی بنائیں۔
یوٹیلیٹی ونڈوز 7 اور اس سے زیادہ کے لیے ایک انکریپٹر ہے، جسے اوپن سورس کے طور پر تقسیم کیا جاتا ہے۔ خفیہ کاری کے دوران، ایک پاس ورڈ استعمال کیا جاتا ہے، جو بعد میں ڈکرپشن کے لیے ضروری ہوتا ہے۔ آپ کو انفرادی فائلوں اور پوری ڈائریکٹریز کے ساتھ کام کرنے کی اجازت دیتا ہے۔
اس کی لائبریری CBC موڈ میں Rijndael symmetric encryption algorithm کا استعمال کرتی ہے۔ یہ قابل ذکر ہے کہ بلاک کا سائز 256 بٹس کا انتخاب کیا گیا تھا - اس کے برعکس AES معیار میں اپنایا گیا تھا۔ مؤخر الذکر میں، سائز 128 بٹس تک محدود ہے۔
ہماری کلید PBKDF2 معیار کے مطابق تیار کی گئی ہے۔ اس صورت میں، پاس ورڈ یوٹیلیٹی میں درج اسٹرنگ سے SHA-256 ہے۔ جو کچھ باقی ہے وہ ڈکرپشن کلید بنانے کے لیے اس سٹرنگ کو تلاش کرنا ہے۔
ٹھیک ہے، آئیے اپنے پہلے سے ڈی کوڈ شدہ پر واپس آتے ہیں۔ pass.key. نمبروں کے سیٹ اور متن 'asmodat' کے ساتھ وہ لائن یاد ہے؟ آئیے فولڈر لاکر کے لیے سٹرنگ کے پہلے 20 بائٹس کو بطور پاس ورڈ استعمال کرنے کی کوشش کریں۔
دیکھو، یہ کام کرتا ہے! کوڈ ورڈ سامنے آیا، اور سب کچھ بالکل ٹھیک سمجھا گیا۔ پاس ورڈ میں حروف کے لحاظ سے، یہ ASCII میں ایک مخصوص لفظ کی HEX نمائندگی ہے۔ آئیے کوڈ ورڈ کو ٹیکسٹ کی شکل میں ظاہر کرنے کی کوشش کرتے ہیں۔ ہم حاصل 'شیڈوولف' پہلے سے ہی lycanthropy کی علامات محسوس کر رہے ہیں؟
آئیے متاثرہ فائل کی ساخت پر ایک اور نظر ڈالتے ہیں، اب جانتے ہیں کہ لاکر کیسے کام کرتا ہے:
- 02 00 00 00 - نام کی خفیہ کاری وضع؛
- 58 00 00 00 - انکرپٹڈ اور بیس 64 انکوڈ فائل کے نام کی لمبائی؛
- 40 00 00 00 - منتقل شدہ ہیڈر کا سائز۔
خود انکرپٹڈ نام اور ٹرانسفر شدہ ہیڈر بالترتیب سرخ اور پیلے رنگ میں نمایاں ہیں۔
چاول۔ 10. انکرپٹڈ نام کو سرخ رنگ میں ہائی لائٹ کیا گیا ہے، ٹرانسفر شدہ ہیڈر کو پیلے رنگ میں ہائی لائٹ کیا گیا ہے۔
اب آئیے ہیکساڈیسیمل نمائندگی میں انکرپٹڈ اور ڈکرپٹڈ ناموں کا موازنہ کریں۔
ڈکرپٹڈ ڈیٹا کی ساخت:
- 78 B9 B8 2E – یوٹیلیٹی (4 بائٹس) کے ذریعہ تیار کردہ کوڑا کرکٹ۔
- 0С 00 00 00 - ڈکرپٹڈ نام کی لمبائی (12 بائٹس)؛
- اس کے بعد فائل کا اصل نام آتا ہے اور ضروری بلاک کی لمبائی (پیڈنگ) میں زیرو کے ساتھ پیڈنگ۔
چاول۔ 11. IMG_4114 بہت بہتر لگ رہا ہے۔
III نتیجہ اور نتیجہ
واپس شروع کی طرف۔ ہم نہیں جانتے کہ Wulfric.Ransomware کے مصنف کو کس چیز نے تحریک دی اور اس نے کس مقصد کا تعاقب کیا۔ یقینا، اوسط صارف کے لئے، یہاں تک کہ اس طرح کے ایک خفیہ کار کے کام کا نتیجہ ایک بڑی تباہی کی طرح لگے گا. فائلیں نہیں کھلتی ہیں۔ سارے نام ختم ہو گئے ہیں۔ عام تصویر کے بجائے اسکرین پر ایک بھیڑیا ہے۔ وہ آپ کو بٹ کوائنز کے بارے میں پڑھنے پر مجبور کرتے ہیں۔
سچ ہے، اس بار، ایک "خوفناک انکوڈر" کی آڑ میں بھتہ خوری کی ایسی مضحکہ خیز اور احمقانہ کوشش چھپی ہوئی تھی، جہاں حملہ آور ریڈی میڈ پروگرام استعمال کرتا ہے اور چابیاں جائے وقوعہ پر ہی چھوڑ دیتا ہے۔
ویسے، چابیاں کے بارے میں. ہمارے پاس کوئی خراب اسکرپٹ یا ٹروجن نہیں تھا جو ہمیں یہ سمجھنے میں مدد دے سکے کہ یہ کیسے ہوا۔ pass.key - وہ طریقہ کار جس کے ذریعے فائل متاثرہ پی سی پر ظاہر ہوتی ہے نامعلوم ہے۔ لیکن، مجھے یاد ہے، مصنف نے اپنے نوٹ میں پاس ورڈ کی انفرادیت کا ذکر کیا ہے۔ لہذا، ڈکرپشن کے لیے کوڈ ورڈ اتنا ہی منفرد ہے جتنا کہ یوزر نیم شیڈو ولف منفرد ہے :)
اور پھر بھی، سایہ بھیڑیا، کیوں اور کیوں؟
ماخذ: www.habr.com