有时您只想看着某个病毒编写者的眼睛并问:为什么、为什么? 我们可以自己回答“如何”的问题,但了解这个或那个恶意软件创建者的想法将是非常有趣的。 尤其是当我们遇到这样的“珍珠”时。
今天文章的主人公是一位密码学家的有趣例子。 它显然被认为只是另一种“勒索软件”,但其技术实现看起来更像是某人的残酷笑话。 今天我们将讨论这个实现。
不幸的是,追踪这个编码器的生命周期几乎是不可能的——关于它的统计数据太少了,幸运的是,它还没有变得广泛。 因此,我们将省略起源、感染方式和其他参考资料。 我们就来说说我们的见面案例吧 Wulfric 勒索软件 以及我们如何帮助用户保存他的文件。
一、这一切是如何开始的
勒索软件的受害者经常联系我们的反病毒实验室。 无论他们安装了什么防病毒产品,我们都会提供帮助。 这次有人联系我们,他的文件受到未知编码器的影响。
下午好文件在文件存储 (samba4) 上通过无密码登录进行加密。 我怀疑感染来自我女儿的计算机(具有标准 Windows Defender 保护的 Windows 10)。 此后女儿的电脑就没再开机过。 加密的文件主要是.jpg 和.cr2。 加密后的文件扩展名:.aef。
我们从用户那里收到了加密文件样本、勒索信息以及一个可能是勒索软件作者解密文件所需密钥的文件。
这是我们所有的线索:
- 01c.aef (4481K)
- 黑客攻击.jpg (254K)
- 黑客攻击.txt (0K)
- 04c.aef (6540K)
- 密钥 (0K)
我们来看看注释。 这次有多少比特币?
翻译:
注意,您的文件已加密!
该密码对于您的电脑来说是唯一的。支付0.05 BTC至比特币地址:1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
付款后,给我发邮件,附上pass.key文件到 [电子邮件保护] 并附有付款通知。确认后,我将向您发送文件的解密器。
您可以通过不同的方式在线支付比特币:
— 银行卡支付
关于比特币:
如果您有任何疑问,请写信给我: [电子邮件保护]
作为奖励,我会告诉您您的计算机是如何被黑客入侵的以及将来如何保护它。
一只自命不凡的狼,旨在向受害者展示情况的严重性。 然而,情况可能会更糟。
米。 1.-作为奖励,我将告诉您将来如何保护您的计算机。 -似乎是合法的。
二. 让我们开始吧
首先,我们查看了发送样本的结构。 奇怪的是,它看起来不像是被勒索软件损坏的文件。 打开十六进制编辑器看一下。 前 4 个字节包含原始文件大小,接下来的 60 个字节用零填充。 但最有趣的是最后:
米。 2 分析损坏的文件。 什么立即引起您的注意?
一切都变得非常简单:标头中的 0x40 字节被移至文件末尾。 要恢复数据,只需将其返回到开头即可。 该文件的访问权限已恢复,但名称仍处于加密状态,事情变得更加复杂。
米。 3. Base64 中的加密名称看起来像是一组杂乱无章的字符。
让我们试着弄清楚 密码,由用户提交。 在其中我们看到一个 162 字节的 ASCII 字符序列。
米。 4. 受害者电脑上还剩下162个字符。
如果仔细观察,您会发现这些符号以一定的频率重复。 这可能表明使用了 XOR,其特点是重复,其频率取决于密钥长度。 将字符串拆分为 6 个字符并与 XOR 序列的一些变体进行异或,但我们没有获得任何有意义的结果。
米。 5. 看到中间的重复常数了吗?
我们决定用谷歌搜索常量,因为是的,这也是可能的! 它们最终导致了一种算法——批量加密。 研究剧本后,我们很清楚我们的台词只不过是其工作的结果。 需要提到的是,这根本不是一个加密器,而只是一个用 6 字节序列替换字符的编码器。 没有钥匙或其他秘密给你:)
米。 6. 一段未知作者的原始算法。
如果没有一个细节,该算法将无法正常工作:
米。 7. 墨菲斯批准了。
使用反向替换,我们将字符串转换为 密码 成 27 个字符的文本。 人类(最有可能)文本“asmodat”值得特别关注。
图 8. 美国GFDG=7。
谷歌将再次帮助我们。 经过一番搜索,我们在 GitHub 上发现了一个有趣的项目——Folder Locker,它是用 .Net 编写的,并使用另一个 Git 帐户的“asmodat”库。
米。 9.文件夹储物柜界面。 请务必检查是否存在恶意软件。
该实用程序是适用于 Windows 7 及更高版本的加密器,以开源方式分发。 加密过程中会使用密码,这是后续解密所必需的。 允许您处理单个文件和整个目录。
它的库使用CBC模式的Rijndael对称加密算法。 值得注意的是,块大小选择为 256 位 - 与 AES 标准中采用的大小相反。 在后者中,大小限制为 128 位。
我们的密钥是根据PBKDF2标准生成的。 在本例中,密码是实用程序中输入的字符串中的 SHA-256。 剩下的就是找到这个字符串来生成解密密钥。
好吧,让我们回到已经解码的 密码。 还记得那行包含一组数字和文本“asmodat”的行吗? 让我们尝试使用该字符串的前 20 个字节作为文件夹锁定器的密码。
看,它有效! 暗号出现,一切都完美破译了。 从密码中的字符来看,它是特定单词在 ASCII 中的十六进制表示。 让我们尝试以文本形式显示代码字。 我们得到'影狼'。 已经感觉到狼人的症状了吗?
让我们再看看受影响文件的结构,现在知道储物柜是如何工作的:
- 02 00 00 00 – 名称加密模式;
- 58 00 00 00 – 加密和base64编码的文件名的长度;
- 40 00 00 00 – 传输的标头的大小。
加密名称本身和传输的标头分别以红色和黄色突出显示。
米。 10. 加密的名称以红色突出显示,传输的标头以黄色突出显示。
现在让我们比较十六进制表示形式的加密和解密名称。
解密数据的结构:
- 78 B9 B8 2E – 实用程序创建的垃圾(4 字节);
- 0С 00 00 00 – 解密名称的长度(12字节);
- 接下来是实际的文件名和用零填充到所需的块长度(填充)。
米。 11. IMG_4114 看起来好多了。
三. 结论与结论
回到最初。 我们不知道 Wulfric.Ransomware 的作者的动机是什么以及他追求的目标是什么。 当然,对于普通用户来说,即使是这样的加密器的工作结果也会看起来像是一场大灾难。 文件打不开。 所有的名字都消失了。 屏幕上出现的不是通常的画面,而是一只狼。 他们强迫你阅读有关比特币的内容。
确实,这一次,在“可怕的编码器”的幌子下,隐藏着如此荒谬和愚蠢的勒索企图,攻击者使用现成的程序并将钥匙留在犯罪现场。
顺便说一下,关于钥匙。 我们没有恶意脚本或木马可以帮助我们了解这是如何发生的。 密码 – 该文件出现在受感染电脑上的机制仍然未知。 但是,我记得,作者在他的笔记中提到了密码的唯一性。 因此,解密的代码字是唯一的,就像用户名 Shadow Wolf 是唯一的一样:)
然而,暗影狼,为什么,为什么?
来源: habr.com