Ba'zan siz haqiqatan ham biron bir virus muallifining ko'ziga qarashni va so'rashni xohlaysiz: nima uchun va nima uchun? Biz "qanday" degan savolga o'zimiz javob bera olamiz, ammo u yoki bu zararli dastur yaratuvchisi nimani o'ylayotganini bilish juda qiziq bo'lardi. Ayniqsa, bunday "marvaridlar" ga duch kelganimizda.
Bugungi maqolaning qahramoni kriptografning qiziqarli namunasidir. Ko'rinishidan, u yana bir "to'lov dasturi" sifatida o'ylab topilgan, ammo uning texnik tatbiq etilishi kimningdir shafqatsiz haziliga o'xshaydi. Bugun biz ushbu amaliyot haqida gaplashamiz.
Afsuski, ushbu kodlovchining hayot aylanishini kuzatish deyarli mumkin emas - bu haqda juda kam statistik ma'lumotlar mavjud, chunki, xayriyatki, u keng tarqalmagan. Shuning uchun biz kelib chiqishi, infektsiya usullari va boshqa havolalarni qoldiramiz. Keling, biz bilan uchrashganimiz haqida gapiraylik Wulfric Ransomware va foydalanuvchiga fayllarini saqlashga qanday yordam berganimiz.
I. Hammasi qanday boshlandi
Ransomware qurboni bo'lgan odamlar ko'pincha antivirus laboratoriyamizga murojaat qilishadi. Qanday antivirus mahsulotlarini o'rnatganidan qat'iy nazar yordam beramiz. Bu safar biz bilan fayllariga noma'lum kodlovchi ta'sir ko'rsatgan shaxs murojaat qildi.
Hayrli kun! Fayllar fayl xotirasida (samba4) parolsiz kirish bilan shifrlangan. Men infektsiya qizimning kompyuteridan (standart Windows Defender himoyasi bilan Windows 10) kelgan deb o'ylayman. Shundan keyin qizining kompyuteri yoqilmadi. Fayllar asosan .jpg va .cr2 shifrlangan. Shifrlashdan keyin fayl kengaytmasi: .aef.
Biz foydalanuvchidan shifrlangan fayllar namunalari, to‘lov eslatmasi va to‘lov dasturi muallifi fayllar shifrini ochish uchun zarur bo‘lgan kalit bo‘lgan faylni oldik.
Mana bizning barcha maslahatlarimiz:
- 01c.aef (4481K)
- buzilgan.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Keling, eslatmani ko'rib chiqaylik. Bu safar qancha bitcoins?
Tarjima:
Diqqat, fayllaringiz shifrlangan!
Parol shaxsiy kompyuteringizga xosdir.Bitkoin manziliga 0.05 BTC miqdorini to'lang: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
To'lovdan so'ng, menga pass.key faylini biriktirgan holda elektron pochta xabarini yuboring [elektron pochta bilan himoyalangan] to'lov haqida xabarnoma bilan.Tasdiqlangandan so'ng, men sizga fayllar uchun shifrlovchini yuboraman.
Bitkoinlarni turli yo'llar bilan onlayn to'lashingiz mumkin:
- bank kartasi orqali to'lov
Bitcoins haqida:
Agar sizda biron bir savol bo'lsa, iltimos, menga yozing [elektron pochta bilan himoyalangan]
Bonus sifatida, men sizga kompyuteringiz qanday buzilganligini va kelajakda uni qanday himoya qilishni aytib beraman.
Jabrlanuvchiga vaziyatning jiddiyligini ko'rsatish uchun mo'ljallangan da'vogar bo'ri. Biroq, bundan ham battar bo'lishi mumkin edi.
Guruch. 1. -Bonus sifatida men sizga kelajakda kompyuteringizni qanday himoya qilishni aytib beraman. -Qonuniyga o'xshayapti.
II. Qani boshladik
Avvalo, biz yuborilgan namunaning tuzilishini ko'rib chiqdik. Ajabo, bu to'lov dasturi tomonidan shikastlangan faylga o'xshamasdi. O'n oltilik muharrirni oching va ko'rib chiqing. Dastlabki 4 bayt asl fayl hajmini o'z ichiga oladi, keyingi 60 bayt nol bilan to'ldiriladi. Lekin eng qiziq narsa oxirida:
Guruch. 2 Zararlangan faylni tahlil qiling. Nima darhol ko'zingizni tortadi?
Hammasi zerikarli darajada oddiy bo'lib chiqdi: sarlavhadan 0x40 bayt faylning oxiriga ko'chirildi. Ma'lumotlarni qayta tiklash uchun uni boshiga qaytarish kifoya. Faylga kirish tiklandi, lekin nom shifrlanganligicha qolmoqda va u bilan ishlar murakkablashmoqda.
Guruch. 3. Base64-dagi shifrlangan ism chayqaladigan belgilar to'plamiga o'xshaydi.
Keling, buni tushunishga harakat qilaylik pass.key, foydalanuvchi tomonidan yuborilgan. Unda biz 162 baytlik ASCII belgilar ketma-ketligini ko'ramiz.
Guruch. 4. Jabrlanuvchining shaxsiy kompyuterida 162 ta belgi qoldi.
Agar diqqat bilan qarasangiz, belgilar ma'lum bir chastota bilan takrorlanishini sezasiz. Bu takrorlashlar bilan tavsiflangan XOR dan foydalanishni ko'rsatishi mumkin, ularning chastotasi kalit uzunligiga bog'liq. Satrni 6 ta belgiga bo'lib, XOR ketma-ketliklarining ba'zi variantlari bilan XOR-ni ishlatib, biz hech qanday mazmunli natijaga erisha olmadik.
Guruch. 5. O'rtadagi takrorlanuvchi konstantalarni ko'ring?
Biz Google konstantalarini qidirishga qaror qildik, chunki ha, bu ham mumkin! Va ularning barchasi oxir-oqibat bitta algoritmga olib keldi - Batch Encryption. Ssenariyni o‘rganib chiqqanimizdan so‘ng, bizning chiziq o‘z ishining natijasidan boshqa narsa emasligi ma’lum bo‘ldi. Shuni ta'kidlash kerakki, bu umuman shifrlovchi emas, balki 6 baytlik ketma-ketliklar bilan belgilarni almashtiradigan kodlovchi. Siz uchun kalit yoki boshqa sirlar yo'q :)
Guruch. 6. Noma'lum mualliflik asl algoritmining bir qismi.
Agar bitta tafsilot bo'lmasa, algoritm kerakli darajada ishlamaydi:
Guruch. 7. Morfey tasdiqlangan.
Teskari almashtirishdan foydalanib, biz satrni o'zgartiramiz pass.key 27 belgidan iborat matnga. Insoniy (ehtimol) "asmodat" matni alohida e'tiborga loyiqdir.
8-rasm. USGFDG=7.
Google bizga yana yordam beradi. Biroz qidiruvdan so'ng biz GitHub-da .Net-da yozilgan va boshqa Git akkauntidan "asmodat" kutubxonasidan foydalangan holda yozilgan qiziqarli loyihani topamiz - Folder Locker.
Guruch. 9. Folder Locker interfeysi. Zararli dasturlarni tekshirishga ishonch hosil qiling.
Yordamchi dastur Windows 7 va undan yuqori versiyalar uchun shifrlovchi bo'lib, u ochiq manba sifatida tarqatiladi. Shifrlash vaqtida paroldan foydalaniladi, bu keyingi shifrni ochish uchun zarurdir. Ham alohida fayllar, ham butun kataloglar bilan ishlash imkonini beradi.
Uning kutubxonasi CBC rejimida Rijndael simmetrik shifrlash algoritmidan foydalanadi. Shunisi e'tiborga loyiqki, blok o'lchami AES standartida qabul qilinganidan farqli o'laroq 256 bit sifatida tanlangan. Ikkinchisida o'lcham 128 bit bilan cheklangan.
Bizning kalitimiz PBKDF2 standartiga muvofiq yaratilgan. Bunday holda, parol yordam dasturiga kiritilgan satrdan SHA-256 hisoblanadi. Faqat shifrni ochish kalitini yaratish uchun ushbu qatorni topish qoladi.
Keling, allaqachon dekodlanganimizga qaytaylik pass.key. Raqamlar to'plami va "asmodat" matni yozilgan qatorni eslaysizmi? Keling, satrning dastlabki 20 baytini Folder Locker uchun parol sifatida ishlatishga harakat qilaylik.
Qarang, u ishlaydi! Kod so'zi paydo bo'ldi va hamma narsa mukammal tarzda shifrlangan. Paroldagi belgilarga ko'ra, bu ASCII-da ma'lum bir so'zning HEX ko'rinishidir. Keling, kod so'zini matn shaklida ko'rsatishga harakat qilaylik. olamiz"soya bo'ri'. Likantropiya alomatlarini allaqachon his qilyapsizmi?
Keling, ta'sirlangan faylning tuzilishini yana bir bor ko'rib chiqaylik, endi shkaf qanday ishlashini bilamiz:
- 02 00 00 00 – nom shifrlash rejimi;
- 58 00 00 00 – shifrlangan va base64 kodlangan fayl nomining uzunligi;
- 40 00 00 00 - uzatilgan sarlavhaning o'lchami.
Shifrlangan nomning o'zi va uzatilgan sarlavha mos ravishda qizil va sariq rangda ta'kidlangan.
Guruch. 10. Shifrlangan nom qizil rangda, uzatilgan sarlavha sariq rangda ta'kidlangan.
Endi o'n oltilik ko'rinishdagi shifrlangan va shifrlangan nomlarni solishtiramiz.
Shifrlangan ma'lumotlarning tuzilishi:
- 78 B9 B8 2E - yordamchi dastur tomonidan yaratilgan axlat (4 bayt);
- 0S 00 00 00 – shifrlangan nomning uzunligi (12 bayt);
- Keyinchalik haqiqiy fayl nomi va kerakli blok uzunligiga nol bilan to'ldirish (to'ldirish) keladi.
Guruch. 11. IMG_4114 ancha yaxshi ko'rinadi.
III. Xulosa va xulosa
Boshiga qaytish. Wulfric.Ransomware muallifini nima undaganligi va u qanday maqsadni ko'zlaganini bilmaymiz. Albatta, oddiy foydalanuvchi uchun hatto bunday shifrlovchining ishi natijasi katta falokat kabi ko'rinadi. Fayllar ochilmaydi. Hamma ismlar o'tib ketdi. Ekranda odatdagi rasm o'rniga bo'ri bor. Ular sizni bitcoins haqida o'qishga majbur qiladi.
To'g'ri, bu safar "dahshatli kodlovchi" niqobi ostida tajovuzkor tayyor dasturlardan foydalanadi va kalitlarni jinoyat sodir bo'lgan joyda qoldiradigan shunday bema'ni va ahmoqona tovlamachilik urinishi yashiringan edi.
Aytgancha, kalitlar haqida. Bizda bu qanday sodir bo'lganini tushunishga yordam beradigan zararli skript yoki troyan yo'q edi. pass.key – zararlangan kompyuterda faylning paydo bo'lish mexanizmi noma'lumligicha qolmoqda. Ammo, esimda, muallif o'z eslatmasida parolning o'ziga xosligini eslatib o'tgan. Shunday qilib, shifrni ochish uchun kod so'zi soya bo'ri nomi noyob bo'lgani kabi noyobdir :)
Va shunga qaramay, soya bo'ri, nima uchun va nima uchun?
Manba: www.habr.com