Đôi khi bạn chỉ muốn nhìn vào mắt một người viết virus nào đó và hỏi: tại sao và tại sao? Chúng ta có thể tự trả lời câu hỏi “làm thế nào”, nhưng sẽ rất thú vị nếu tìm hiểu xem người tạo ra phần mềm độc hại này đang nghĩ gì. Đặc biệt là khi chúng ta bắt gặp những “viên ngọc trai” như vậy.
Người hùng của bài viết hôm nay là một ví dụ thú vị về một nhà mật mã. Rõ ràng nó được hình thành như một “phần mềm tống tiền” khác, nhưng việc triển khai kỹ thuật của nó trông giống một trò đùa độc ác của ai đó hơn. Chúng ta sẽ nói về việc thực hiện này ngày hôm nay.
Thật không may, hầu như không thể theo dõi vòng đời của bộ mã hóa này - có quá ít số liệu thống kê về nó, vì may mắn thay, nó chưa trở nên phổ biến. Vì vậy, chúng tôi sẽ loại bỏ nguồn gốc, phương pháp lây nhiễm và các tài liệu tham khảo khác. Chúng ta hãy nói về trường hợp chúng ta gặp gỡ với Phần mềm tống tiền Wulfric và cách chúng tôi giúp người dùng lưu các tập tin của mình.
I. Mọi chuyện bắt đầu như thế nào
Những người từng là nạn nhân của ransomware thường liên hệ với phòng thí nghiệm chống vi-rút của chúng tôi. Chúng tôi cung cấp hỗ trợ bất kể họ đã cài đặt sản phẩm chống vi-rút nào. Lần này chúng tôi được liên hệ với một người có tập tin bị ảnh hưởng bởi một bộ mã hóa không xác định.
Chào buổi chiều Các tệp được mã hóa trên bộ lưu trữ tệp (samba4) bằng tính năng đăng nhập không cần mật khẩu. Tôi nghi ngờ rằng sự lây nhiễm đến từ máy tính của con gái tôi (Windows 10 với tính năng bảo vệ Windows Defender tiêu chuẩn). Sau đó, máy tính của cô con gái không được bật lên. Các tập tin được mã hóa chủ yếu là .jpg và .cr2. Đuôi file sau khi mã hóa: .aef.
Chúng tôi đã nhận được từ người dùng các mẫu tệp được mã hóa, thông báo đòi tiền chuộc và một tệp có thể là khóa mà tác giả ransomware cần để giải mã các tệp.
Dưới đây là tất cả manh mối của chúng tôi:
- 01c.aef (4481K)
- hack.jpg (254K)
- hack.txt (0K)
- 04c.aef (6540K)
- pass.key (0K)
Chúng ta hãy nhìn vào ghi chú. Lần này có bao nhiêu bitcoin?
Translation:
Chú ý, tập tin của bạn đã được mã hóa!
Mật khẩu là duy nhất cho PC của bạn.Thanh toán số tiền 0.05 BTC vào địa chỉ Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Sau khi thanh toán xong hãy gửi email cho tôi, đính kèm file pass.key vào [email được bảo vệ] kèm theo thông báo thanh toán.Sau khi xác nhận, tôi sẽ gửi cho bạn bộ giải mã các tập tin.
Bạn có thể thanh toán bitcoin trực tuyến theo nhiều cách khác nhau:
- thanh toán bằng thẻ ngân hàng
Về Bitcoin:
Nếu bạn có bất kỳ câu hỏi nào, xin vui lòng viết thư cho tôi tại [email được bảo vệ]
Như một phần thưởng, tôi sẽ cho bạn biết máy tính của bạn đã bị hack như thế nào và cách bảo vệ nó trong tương lai.
Một con sói kiêu căng, được thiết kế để cho nạn nhân thấy mức độ nghiêm trọng của tình hình. Tuy nhiên, nó có thể đã tồi tệ hơn.
Cơm. 1. -Như một phần thưởng, tôi sẽ cho bạn biết cách bảo vệ máy tính của bạn trong tương lai. – Có vẻ hợp lý.
II. Bắt đầu nào
Trước hết, chúng tôi xem xét cấu trúc của mẫu được gửi. Điều kỳ lạ là nó không giống như một tập tin đã bị ransomware làm hỏng. Mở trình soạn thảo thập lục phân và xem. 4 byte đầu tiên chứa kích thước tệp gốc, 60 byte tiếp theo chứa số XNUMX. Nhưng điều thú vị nhất là ở phần cuối:
Cơm. 2 Phân tích tập tin bị hỏng. Điều gì ngay lập tức thu hút sự chú ý của bạn?
Mọi thứ hóa ra lại đơn giản đến mức khó chịu: 0x40 byte từ tiêu đề đã được chuyển đến cuối tệp. Để khôi phục dữ liệu, chỉ cần đưa nó trở lại từ đầu. Quyền truy cập vào tệp đã được khôi phục nhưng tên vẫn được mã hóa và mọi thứ trở nên phức tạp hơn với nó.
Cơm. 3. Tên được mã hóa trong Base64 trông giống như một bộ ký tự lan man.
Chúng ta hãy cố gắng tìm ra nó pass.key, do người dùng gửi. Trong đó chúng ta thấy một chuỗi ký tự ASCII dài 162 byte.
Cơm. 4. Còn lại 162 ký tự trên PC của nạn nhân.
Nếu để ý kỹ, bạn sẽ nhận thấy các ký hiệu được lặp lại với tần suất nhất định. Điều này có thể cho thấy việc sử dụng XOR, được đặc trưng bởi sự lặp lại, tần số phụ thuộc vào độ dài khóa. Sau khi chia chuỗi thành 6 ký tự và XOR với một số biến thể của chuỗi XOR, chúng tôi không đạt được kết quả có ý nghĩa nào.
Cơm. 5. Bạn có thấy các hằng số lặp lại ở giữa không?
Chúng tôi quyết định tìm kiếm các hằng số trên Google, bởi vì điều đó cũng có thể xảy ra! Và cuối cùng tất cả đều dẫn đến một thuật toán - Mã hóa hàng loạt. Sau khi nghiên cứu kịch bản, tôi thấy rõ rằng lời thoại của chúng tôi chẳng qua là kết quả của quá trình làm việc. Cần phải nói thêm rằng đây hoàn toàn không phải là một bộ mã hóa mà chỉ là một bộ mã hóa thay thế các ký tự bằng chuỗi 6 byte. Không có chìa khóa hoặc bí mật nào khác dành cho bạn :)
Cơm. 6. Một phần của thuật toán gốc không rõ tác giả.
Thuật toán sẽ không hoạt động như bình thường nếu không có một chi tiết:
Cơm. 7. Morpheus đã được phê duyệt.
Sử dụng sự thay thế ngược lại, chúng tôi chuyển đổi chuỗi từ pass.key thành một văn bản gồm 27 ký tự. Văn bản 'asmodat' của con người (rất có thể) đáng được quan tâm đặc biệt.
Hình.8. USGFDG=7.
Google sẽ giúp chúng tôi một lần nữa. Sau một hồi tìm kiếm, chúng tôi tìm thấy một dự án thú vị trên GitHub - Folder Locker, được viết bằng .Net và sử dụng thư viện 'asmodat' từ một tài khoản Git khác.
Cơm. 9. Giao diện Folder Locker. Hãy chắc chắn kiểm tra phần mềm độc hại.
Tiện ích này là một bộ mã hóa cho Windows 7 trở lên, được phân phối dưới dạng nguồn mở. Trong quá trình mã hóa, mật khẩu sẽ được sử dụng, mật khẩu này cần thiết cho lần giải mã tiếp theo. Cho phép bạn làm việc cả với các tệp riêng lẻ và với toàn bộ thư mục.
Thư viện của nó sử dụng thuật toán mã hóa đối xứng Rijndael ở chế độ CBC. Đáng chú ý là kích thước khối được chọn là 256 bit - trái ngược với kích thước được áp dụng trong tiêu chuẩn AES. Ở phần sau, kích thước được giới hạn ở 128 bit.
Khóa của chúng tôi được tạo theo tiêu chuẩn PBKDF2. Trong trường hợp này, mật khẩu là SHA-256 từ chuỗi được nhập trong tiện ích. Tất cả những gì còn lại là tìm chuỗi này để tạo khóa giải mã.
Chà, hãy quay trở lại với giải mã đã được giải mã của chúng tôi pass.key. Bạn có nhớ dòng có tập hợp các số và văn bản 'asmodat' không? Hãy thử sử dụng 20 byte đầu tiên của chuỗi làm mật khẩu cho Folder Locker.
Hãy nhìn xem, nó hoạt động! Từ mã xuất hiện và mọi thứ đều được giải mã một cách hoàn hảo. Đánh giá theo các ký tự trong mật khẩu, đó là dạng biểu diễn HEX của một từ cụ thể trong ASCII. Hãy thử hiển thị từ mã ở dạng văn bản. Chúng tôi nhận được 'sói bóng tối'. Đã cảm thấy các triệu chứng của bệnh lycanthropy?
Chúng ta hãy xem xét lại cấu trúc của tệp bị ảnh hưởng, bây giờ đã biết cách hoạt động của tủ khóa:
- 02 00 00 00 – chế độ mã hóa tên;
- 58 00 00 00 – độ dài của tên tệp được mã hóa và mã hóa base64;
- 40 00 00 00 – kích thước của tiêu đề được chuyển.
Bản thân tên được mã hóa và tiêu đề được chuyển lần lượt được đánh dấu bằng màu đỏ và màu vàng.
Cơm. 10. Tên được mã hóa được tô sáng màu đỏ, tiêu đề được truyền được tô sáng màu vàng.
Bây giờ hãy so sánh tên được mã hóa và giải mã dưới dạng biểu diễn thập lục phân.
Cấu trúc dữ liệu được giải mã:
- 78 B9 B8 2E – rác được tạo bởi tiện ích (4 byte);
- 0С 00 00 00 – độ dài của tên được giải mã (12 byte);
- Tiếp theo là tên tệp thực tế và phần đệm có số 0 theo độ dài khối được yêu cầu (phần đệm).
Cơm. 11. IMG_4114 trông đẹp hơn nhiều.
III. Kết luận và kết luận
Trở lại từ đầu. Chúng tôi không biết điều gì đã thúc đẩy tác giả của Wulfric.Ransomware và mục tiêu mà ông theo đuổi. Tất nhiên, đối với người dùng bình thường, kết quả hoạt động của ngay cả một bộ mã hóa như vậy cũng sẽ giống như một thảm họa lớn. Tập tin không mở. Tất cả những cái tên đều biến mất. Thay vì hình ảnh thông thường, trên màn hình là một con sói. Họ buộc bạn phải đọc về bitcoin.
Đúng vậy, lần này, dưới vỏ bọc của một “bộ mã hóa khủng khiếp”, đã ẩn giấu một nỗ lực tống tiền lố bịch và ngu ngốc như vậy, trong đó kẻ tấn công sử dụng các chương trình làm sẵn và để lại chìa khóa ngay tại hiện trường vụ án.
Nhân tiện, về chìa khóa. Chúng tôi không có tập lệnh độc hại hoặc Trojan có thể giúp chúng tôi hiểu điều này xảy ra như thế nào. pass.key – cơ chế mà tệp xuất hiện trên PC bị nhiễm vẫn chưa được biết. Nhưng tôi nhớ, trong ghi chú của mình tác giả đã đề cập đến tính duy nhất của mật khẩu. Vì vậy, từ mã để giải mã cũng độc đáo như tên người dùng Shadow Wolf là duy nhất :)
Chưa hết, con sói bóng tối, tại sao và tại sao?
Nguồn: www.habr.com