有時你真的很想看著某個病毒編寫者的眼睛並問:為什麼、為什麼? 我們可以自己回答「如何」的問題,但了解這個或那個惡意軟體創建者的想法將是非常有趣的。 尤其是當我們遇到這樣的「珍珠」時。
今天文章的主角是一位密碼學家的有趣例子。 它顯然被認為只是另一種“勒索軟體”,但其技術實現看起來更像是某人的殘酷笑話。 今天我們將討論這個實作。
不幸的是,追蹤這個編碼器的生命週期幾乎是不可能的——關於它的統計數據太少了,幸運的是,它還沒有變得廣泛。 因此,我們將省略起源、感染方式和其他參考資料。 讓我們簡單談談我們的見面案例 Wulfric 勒索軟體 以及我們如何幫助用戶保存他的文件。
一、這一切是如何開始的
勒索軟體的受害者經常聯繫我們的防毒實驗室。 無論他們安裝了什麼防毒產品,我們都會提供協助。 這次有人聯絡我們,他的文件受到未知編碼器的影響。
午安文件在文件儲存 (samba4) 上透過無密碼登入進行加密。 我懷疑感染來自我女兒的電腦(具有標準 Windows Defender 保護的 Windows 10)。 此後女兒的電腦就沒再開機過。 加密的檔案主要是.jpg 和.cr2。 加密後的檔案副檔名:.aef。
我們從用戶那裡收到了加密文件樣本、勒索資訊以及可能是勒索軟體作者解密文件所需金鑰的文件。
這是我們所有的線索:
- 01c.aef (4481K)
- 駭客攻擊.jpg (254K)
- 駭客攻擊.txt (0K)
- 04c.aef (6540K)
- 密鑰 (0K)
我們來看看註解。 這次有多少比特幣?
翻譯:
注意,您的文件已加密!
該密碼對於您的電腦來說是唯一的。支付0.05 BTC至比特幣地址:1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
付款後,給我發郵件,附上pass.key文件到 [電子郵件保護] 並附有付款通知。確認後,我將向您發送文件的解密器。
您可以透過不同的方式在線支付比特幣:
— 銀行卡支付
關於比特幣:
如果您有任何疑問,請寫信給我: [電子郵件保護]
作為獎勵,我會告訴您您的電腦是如何被駭客入侵的以及將來如何保護它。
一隻自命不凡的狼,旨在向受害者展示情況的嚴重性。 然而,情況可能會更糟。
米。 1.-作為獎勵,我將告訴您將來如何保護您的電腦。 -似乎是合法的。
二. 讓我們開始吧
首先,我們查看了發送樣本的結構。 奇怪的是,它看起來不像是被勒索軟體損壞的檔案。 打開十六進制編輯器看一下。 前 4 個位元組包含原始檔案大小,接下來的 60 個位元組用零填充。 但最有趣的是最後:
米。 2 分析損壞的檔案。 什麼立即引起您的注意?
一切都變得非常簡單:標頭中的 0x40 位元組被移至檔案末尾。 要恢復數據,只需將其返回到開頭即可。 該檔案的存取權限已恢復,但名稱仍處於加密狀態,事情變得更加複雜。
米。 3. Base64 中的加密名稱看起來像是一組雜亂無章的字元。
讓我們試著弄清楚 密碼,由使用者提交。 在其中我們看到一個 162 位元組的 ASCII 字元序列。
米。 4. 受害者電腦上還剩下162個字元。
如果仔細觀察,您會發現這些符號以一定的頻率重複。 這可能表示使用了 XOR,其特點是重複,其頻率取決於密鑰長度。 將字串拆分為 6 個字元並與 XOR 序列的一些變體進行異或,但我們沒有獲得任何有意義的結果。
米。 5. 看到中間的重複常數了嗎?
我們決定用谷歌搜尋常數,因為是的,這也是可能的! 它們最終導致了一種演算法——批量加密。 研究劇本後,我們很清楚我們的台詞只不過是其工作的結果。 需要提到的是,這根本不是一個加密器,而只是一個用 6 個位元組序列取代字元的編碼器。 沒有鑰匙或其他秘密給你:)
米。 6. 一段未知作者的原始演算法。
如果沒有一個細節,該演算法將無法正常運作:
米。 7. 墨菲斯批准了。
使用反向替換,我們將字串轉換為 密碼 成 27 個字元的文字。 人類(最有可能)文本“asmodat”值得特別關注。
圖 8. 美國GFDG=7。
谷歌將再次幫助我們。 經過一番搜索,我們在 GitHub 上發現了一個有趣的專案——Folder Locker,它是用 .Net 編寫的,並使用另一個 Git 帳戶的「asmodat」庫。
米。 9.文件夾儲物櫃介面。 請務必檢查是否有惡意軟體。
該實用程式是適用於 Windows 7 及更高版本的加密器,以開源方式分發。 加密過程中會使用密碼,這是後續解密所必需的。 允許您處理單一檔案和整個目錄。
它的函式庫使用CBC模式的Rijndael對稱加密演算法。 值得注意的是,區塊大小選擇為 256 位元 - 與 AES 標準中採用的大小相反。 在後者中,大小限制為 128 位元。
我們的密鑰是根據PBKDF2標準產生的。 在本例中,密碼是實用程式中輸入的字串中的 SHA-256。 剩下的就是找到這個字串來產生解密金鑰。
好吧,讓我們回到已經解碼的 密碼。 還記得那行包含一組數字和文字「asmodat」的行嗎? 讓我們嘗試使用該字串的前 20 個位元組作為資料夾鎖定器的密碼。
看,它有效! 暗語出現,一切都被完美破解。 從密碼中的字元來看,它是特定單字在 ASCII 中的十六進位表示。 讓我們嘗試以文字形式顯示代碼字。 我們得到'影狼'。 已經感覺到狼人的症狀了嗎?
讓我們再看看受影響文件的結構,現在知道儲物櫃是如何運作的:
- 02 00 00 00 – 名稱加密模式;
- 58 00 00 00 – 加密和base64編碼的檔案名稱的長度;
- 40 00 00 00 – 傳輸的標頭的大小。
加密名稱本身和傳輸的標頭分別以紅色和黃色突出顯示。
米。 10. 加密的名稱以紅色突出顯示,傳輸的標頭以黃色突出顯示。
現在讓我們比較十六進位表示形式的加密和解密名稱。
解密資料的結構:
- 78 B9 B8 2E – 實用程式所建立的垃圾(4 位元組);
- 0С 00 00 00 – 解密名稱的長度(12位元組);
- 接下來是實際的檔案名稱和用零填充到所需的區塊長度(填充)。
米。 11. IMG_4114 看起來好多了。
三. 結論與結論
回到最初。 我們不知道 Wulfric.Ransomware 的作者的動機是什麼以及他追求的目標是什麼。 當然,對於普通用戶來說,即使是這樣的加密器的工作結果也會看起來像是一場大災難。 文件打不開。 所有的名字都消失了。 螢幕上出現的不是平常的畫面,而是一隻狼。 他們強迫你閱讀有關比特幣的文章。
確實,這次在「可怕的編碼器」的幌子下,隱藏著如此荒謬和愚蠢的勒索企圖,攻擊者使用現成的程序並將鑰匙留在犯罪現場。
順便說一下,關於鑰匙。 我們沒有惡意腳本或木馬可以幫助我們了解這是如何發生的。 密碼 – 該檔案出現在受感染電腦上的機制仍未知。 但是,我記得,作者在他的筆記中提到了密碼的唯一性。 因此,解密的代碼字是唯一的,就像用戶名 Shadow Wolf 是唯一的一樣:)
然而,暗影狼,為什麼,為什麼?
來源: www.habr.com