Nigba miiran o kan fẹ lati wo oju ti diẹ ninu awọn onkọwe ọlọjẹ ki o beere: kilode ati kilode? A le dahun ibeere naa “bawo ni” funrara wa, ṣugbọn yoo jẹ iyanilenu pupọ lati wa kini eyi tabi ẹlẹda malware n ronu. Paapaa nigba ti a ba pade iru “awọn okuta iyebiye”.
Awọn akoni ti oni article jẹ ẹya awon apẹẹrẹ ti a cryptographer. O han gbangba pe o loyun bi “ransomware” miiran, ṣugbọn imuse imọ-ẹrọ rẹ dabi awada ika eniyan diẹ sii. A yoo sọrọ nipa imuse yii loni.
Laanu, o fẹrẹ jẹ pe ko ṣee ṣe lati wa kakiri igbesi aye ti koodu koodu yii - awọn iṣiro diẹ wa lori rẹ, nitori, laanu, ko ti di ibigbogbo. Nitorinaa, a yoo fi ipilẹṣẹ silẹ, awọn ọna ti ikolu ati awọn itọkasi miiran. Jẹ ki a kan sọrọ nipa ọran wa ti ipade pẹlu Wulfric Ransomware ati bii a ṣe ṣe iranlọwọ fun olumulo lati ṣafipamọ awọn faili rẹ.
I. Bawo ni gbogbo rẹ ti bẹrẹ
Awọn eniyan ti o ti jẹ olufaragba ransomware nigbagbogbo kan si ile-iwosan ọlọjẹ ọlọjẹ wa. A pese iranlowo laibikita iru awọn ọja antivirus ti wọn ti fi sii. Ni akoko yii a kan si wa nipasẹ eniyan ti awọn faili rẹ ni ipa nipasẹ koodu aimọ kan.
E kaasan Awọn faili ti paroko lori ibi ipamọ faili kan (samba4) pẹlu iwọle laisi ọrọ igbaniwọle. Mo fura pe ikolu naa wa lati kọnputa ọmọbinrin mi (Windows 10 pẹlu aabo aabo Windows Defender boṣewa). Kọmputa ọmọbirin naa ko tan lẹhin iyẹn. Awọn faili ti wa ni ìpàrokò nipataki .jpg ati .cr2. Ifaagun faili lẹhin fifi ẹnọ kọ nkan: .aef.
A gba lati ọdọ awọn apẹẹrẹ olumulo ti awọn faili ti paroko, akọsilẹ irapada kan, ati faili ti o ṣee ṣe bọtini ti onkọwe ransomware nilo lati pa awọn faili naa.
Eyi ni gbogbo awọn itọkasi wa:
- 01c.aef (4481K)
- ti gepa.jpg (254K)
- hacked.txt (0K)
- 04c.aef (6540K)
- bọtini-iwọle (0K)
Jẹ ki a wo akọsilẹ naa. Awọn bitcoins melo ni akoko yii?
Gbigbe:
Akiyesi, awọn faili rẹ ti wa ni ìpàrokò!
Ọrọigbaniwọle jẹ alailẹgbẹ si PC rẹ.San iye ti 0.05 BTC si adirẹsi Bitcoin: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
Lẹhin isanwo, fi imeeli ranṣẹ si mi, so faili pass.key pọ si [imeeli ni idaabobo] pẹlu iwifunni ti owo sisan.Lẹhin ìmúdájú, Emi yoo fi ọ decryptor fun awọn faili.
O le sanwo fun awọn bitcoins lori ayelujara ni awọn ọna oriṣiriṣi:
- sisan nipa ifowo kaadi
Nipa Bitcoins:
Ti o ba ni ibeere eyikeyi, jọwọ kọ si mi ni [imeeli ni idaabobo]
Gẹgẹbi ẹbun, Emi yoo sọ fun ọ bi a ṣe ge kọnputa rẹ ati bii o ṣe le daabobo rẹ ni ọjọ iwaju.
Ikooko pretentious kan, ti a ṣe apẹrẹ lati fihan ẹni ti o ni ipalara pataki ti ipo naa. Sibẹsibẹ, o le ti buru.
Iresi. 1. -Bi a ajeseku, Mo ti yoo so fun o bi o lati dabobo kọmputa rẹ ni ojo iwaju. - O dabi ẹni pe o tọ.
II. Jẹ ká bẹrẹ
Ni akọkọ, a wo ilana ti apẹẹrẹ ti a firanṣẹ. Ni iyalẹnu, ko dabi faili ti o ti bajẹ nipasẹ ransomware. Ṣii olootu hexadecimal ki o wo. Awọn baiti 4 akọkọ ni iwọn faili atilẹba, awọn baiti 60 ti o tẹle ti kun pẹlu awọn odo. Ṣugbọn ohun ti o nifẹ julọ ni ipari:
Iresi. 2 Ṣe itupalẹ faili ti o bajẹ. Kini o mu oju rẹ lẹsẹkẹsẹ?
Ohun gbogbo ti jade lati jẹ irọrun didanubi: awọn baiti 0x40 lati akọsori ni a gbe lọ si opin faili naa. Lati mu data pada, nìkan da pada si ibẹrẹ. Wiwọle si faili naa ti tun pada, ṣugbọn orukọ naa wa ni fifi ẹnọ kọ nkan, ati pe awọn nkan n ni idiju diẹ sii pẹlu rẹ.
Iresi. 3. Orukọ ti paroko ni Base64 dabi ohun kikọ rambling.
Jẹ ká gbiyanju lati ro ero rẹ kọja.bọtini, silẹ nipasẹ olumulo. Ninu rẹ a rii ọkọọkan 162-baiti ti awọn ohun kikọ ASCII.
Iresi. 4. 162 ohun kikọ silẹ lori awọn njiya ká PC.
Ti o ba wo ni pẹkipẹki, iwọ yoo ṣe akiyesi pe awọn aami naa tun ṣe pẹlu igbohunsafẹfẹ kan. Eyi le ṣe afihan lilo XOR, eyiti o jẹ afihan nipasẹ awọn atunwi, igbohunsafẹfẹ eyiti o da lori ipari bọtini. Ti pin okun naa si awọn ohun kikọ 6 ati XORed pẹlu awọn iyatọ ti awọn ọna XOR, a ko ṣaṣeyọri eyikeyi abajade to nilari.
Iresi. 5. Wo awọn aiṣedeede atunṣe ni aarin?
A pinnu lati google awọn igbagbogbo, nitori bẹẹni, iyẹn ṣee ṣe paapaa! Ati pe gbogbo wọn nikẹhin yori si algorithm kan - Batch Encryption. Lẹhin kika iwe afọwọkọ naa, o han gbangba pe laini wa ko ju abajade iṣẹ rẹ lọ. O yẹ ki o darukọ pe eyi kii ṣe encryptor rara, ṣugbọn o kan koodu koodu kan ti o rọpo awọn kikọ pẹlu awọn ọna 6-baiti. Ko si awọn bọtini tabi awọn aṣiri miiran fun ọ :)
Iresi. 6. A nkan ti atilẹba alugoridimu ti aimọ authorship.
Algoridimu naa kii yoo ṣiṣẹ bi o ti yẹ ti kii ṣe fun alaye kan:
Iresi. 7. Morpheus fọwọsi.
Lilo iyipada iyipada a yi okun pada lati kọja.bọtini sinu ọrọ ti awọn ohun kikọ 27. Ọrọ eniyan (o ṣeese julọ) 'asmodat' yẹ akiyesi pataki.
Eya.8. USGFDG=7.
Google yoo tun ran wa lọwọ. Lẹhin wiwa diẹ, a rii iṣẹ akanṣe lori GitHub - Titiipa Folda, ti a kọ sinu .Net ati lilo ile-ikawe 'asmodat' lati akọọlẹ Git miiran.
Iresi. 9. Folda atimole ni wiwo. Rii daju lati ṣayẹwo fun malware.
IwUlO jẹ encryptor fun Windows 7 ati giga julọ, eyiti o pin bi orisun ṣiṣi. Lakoko fifi ẹnọ kọ nkan, ọrọ igbaniwọle kan ti lo, eyiti o jẹ pataki fun iṣiparọ atẹle. Gba ọ laaye lati ṣiṣẹ mejeeji pẹlu awọn faili kọọkan ati pẹlu gbogbo awọn ilana.
Ile-ikawe rẹ nlo algorithm fifi ẹnọ kọ nkan ti Rijndael ni ipo CBC. O jẹ akiyesi pe iwọn bulọọki ti yan lati jẹ awọn bit 256 - ni idakeji si eyiti a gba ni boṣewa AES. Ni igbehin, awọn iwọn ti wa ni opin si 128 die-die.
Bọtini wa ni ipilẹṣẹ ni ibamu si boṣewa PBKDF2. Ni idi eyi, ọrọ igbaniwọle jẹ SHA-256 lati okun ti a tẹ sinu ohun elo naa. Gbogbo ohun ti o ku ni lati wa okun yii lati ṣe ina bọtini decryption.
O dara, jẹ ki a pada si koodu ti wa tẹlẹ kọja.bọtini. Ranti laini yẹn pẹlu ṣeto awọn nọmba ati ọrọ 'asmodat'? Jẹ ki a gbiyanju lati lo awọn baiti 20 akọkọ ti okun bi ọrọ igbaniwọle fun Titiipa Folda.
Wo, o ṣiṣẹ! Ọrọ koodu naa wa, ati pe ohun gbogbo ti pinnu ni pipe. Idajọ nipasẹ awọn ohun kikọ ninu ọrọ igbaniwọle, o jẹ aṣoju HEX ti ọrọ kan pato ni ASCII. Jẹ ki a gbiyanju lati ṣafihan ọrọ koodu ni fọọmu ọrọ. A gba'ojiji wolf' . Ti rilara awọn aami aisan ti lycanthropy?
Jẹ ki a wo miiran ni ọna ti faili ti o kan, ni mimọ bi titiipa naa ṣe n ṣiṣẹ:
- 02 00 00 00 - ipo fifi ẹnọ kọ nkan;
- 58 00 00 00 - ipari ti fifi ẹnọ kọ nkan ati base64 orukọ faili koodu;
- 40 00 00 00 - iwọn akọsori ti o ti gbe.
Orukọ ti paroko funrararẹ ati akọsori ti o gbe jẹ afihan ni pupa ati ofeefee, lẹsẹsẹ.
Iresi. 10. Awọn ti paroko orukọ ti wa ni afihan ni pupa, awọn ti o ti gbe akọsori ti wa ni afihan ni ofeefee.
Bayi jẹ ki a ṣe afiwe awọn ti paroko ati awọn orukọ decrypted ni aṣoju hexadecimal.
Ilana ti data ti a ti sọ di mimọ:
- 78 B9 B8 2E - idoti da nipasẹ awọn IwUlO (4 baiti);
- 0С 00 00 00 - ipari ti orukọ decrypted (12 baiti);
- Nigbamii ti orukọ faili gangan ati fifẹ pẹlu awọn odo si ipari idina ti a beere (padding).
Iresi. 11. IMG_4114 wulẹ Elo dara.
III. Ipari ati Ipari
Pada si ibẹrẹ. A ko mọ ohun ti o ru onkọwe ti Wulfric.Ransomware ati ibi-afẹde wo ni o lepa. Nitoribẹẹ, fun olumulo apapọ, abajade iṣẹ ti paapaa iru encryptor yoo dabi ajalu nla kan. Awọn faili ko ṣii. Gbogbo awọn orukọ ti wa ni lọ. Dipo aworan deede, Ikooko kan wa loju iboju. Wọn fi ipa mu ọ lati ka nipa awọn bitcoins.
Lootọ, ni akoko yii, labẹ itanjẹ “apoti ẹru,” iru iru ẹgan ati igbiyanju aṣiwere ni o farapamọ ni ilokulo, nibiti ikọlu naa ti nlo awọn eto ti a ti ṣetan ati fi awọn bọtini silẹ ni ibi isẹlẹ ilufin.
Nipa ọna, nipa awọn bọtini. A ko ni iwe afọwọkọ irira tabi Tirojanu ti o le ṣe iranlọwọ fun wa ni oye bi eyi ṣe ṣẹlẹ. kọja.bọtini - ẹrọ nipasẹ eyiti faili naa han lori PC ti o ni arun jẹ aimọ. Ṣugbọn, Mo ranti, ninu akọsilẹ rẹ onkowe mẹnuba iyasọtọ ti ọrọ igbaniwọle. Nitorinaa, ọrọ koodu fun decryption jẹ alailẹgbẹ bi Ikooko ojiji ojiji jẹ alailẹgbẹ :)
Ati sibẹsibẹ, Ikooko ojiji, kilode ati idi?
orisun: www.habr.com