Get best of the week

Wulfric Ransomware عبارة عن برنامج تشفير غير موجود

في بعض الأحيان يرغب المرء حقًا في النظر إلى نوع من كاتب الفيروسات ويسأل: لماذا ولماذا؟ سوف نتعامل مع إجابة السؤال "كيف" أنفسنا ، ولكن سيكون من المثير للاهتمام للغاية معرفة ما تم توجيهه منشئ البرامج الضارة. خاصة عندما نأتي عبر هذه "اللآلئ".

بطل مقال اليوم هو نسخة مثيرة للاهتمام من التشفير. كان يعتقد ، على ما يبدو ، كبرنامج فدية آخر ، لكن تنفيذه التقني أشبه بمزحة شريرة لشخص ما. سنتحدث عن هذا التنفيذ اليوم.

لسوء الحظ ، من المستحيل عمليا تتبع دورة حياة هذا التشفير - هناك القليل من الإحصائيات حوله ، لأنه ، لحسن الحظ ، لم يتلق التوزيع. لذلك ، نترك أصل وطرق العدوى ومراجع أخرى خارج المنشأ. سنتحدث فقط عن حالتنا للاجتماع مع Wulfric Ransomware وكيف ساعدنا المستخدم على حفظ ملفاته.

I. كيف بدأ كل شيء


غالبًا ما يتم الاتصال بمختبر مكافحة الفيروسات الخاص بنا من قبل الأشخاص الذين تأثروا ببرنامج التشفير. نحن نقدم المساعدة بغض النظر عن منتجات مكافحة الفيروسات التي قاموا بتثبيتها. هذه المرة تم الاتصال بنا من قبل شخص تم ضرب ملفاته بواسطة برنامج ترميز غير معروف.
طاب مسائك! تم تشفير الملفات الموجودة على تخزين الملفات (samba4) مع إدخال بدون كلمة مرور. أظن أن العدوى انتقلت من كمبيوتر ابنتي (Windows 10 مع حماية Windows Defender الأصلية). لم يتم تشغيل جهاز الكمبيوتر الخاص بالابنة بعد ذلك. يتم تشفير الملفات بشكل أساسي .jpg و .cr2. ملحق الملف بعد التشفير: .aef.


لقد تلقينا من عينات المستخدمين للملفات المشفرة ومذكرة فدية وملف ، وهو على الأرجح المفتاح الذي يحتاجه مؤلف التشفير لفك تشفير الملفات.

هذا كل ما لدينا من خيوط:

  • 01c.aef (4481 كيلو)
  • hacked.jpg (254 كيلوبايت)
  • hacked.txt (0 ك)
  • 04c.aef (6540 ألف)
  • مفتاح المرور (0 ك)

دعونا نلقي نظرة على الملاحظة. كم عدد البيتكوين هذه المرة؟

نقل:
, !
.

0.05 BTC -: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
, pass.key Wulfric@gmx.com .

.

:
buy.blockexplorer.com
www.buybitcoinworldwide.com
localbitcoins.net

:
en.wikipedia.org/wiki/Bitcoin
- , Wulfric@gmx.com
, .

الذئب باثوس ، مصمم لإظهار الضحية خطورة الوضع. ومع ذلك ، كان يمكن أن يكون أسوأ.


تين. 1. -على سبيل المكافأة ، سأخبرك بكيفية حماية جهاز الكمبيوتر الخاص بك في المستقبل. -يبدو حققي.

II. الحصول على العمل


بادئ ذي بدء ، نظرنا في بنية العينة المرسلة. ومن الغريب أنه لم يكن يبدو كملف يعاني من تشفير. نفتح محرر عرافة وننظر. أول 4 بايت تحتوي على حجم الملف الأصلي ، 60 بايت التالية مليئة بالأصفار. لكن الأكثر إثارة للاهتمام هو في النهاية:


الشكل. 2 تحليل الملف التالف. ما الذي يلفت انتباهك على الفور؟

اتضح أن كل شيء بسيط للغاية: تم نقل 0x40 بايت من الرأس إلى نهاية الملف. لاستعادة البيانات ، ما عليك سوى إعادتها إلى البداية. تم استعادة الوصول إلى الملف ، لكن الاسم ظل مشفرًا ، ومع كل شيء أكثر تعقيدًا.


تين. 3. يشبه الاسم المشفر في Base64 مجموعة أحرف غير مترابطة.

دعونا نحاول تحليل pass.keyمرسلة من قبل المستخدم. نرى فيه تسلسل أحرف 162 بايت في ASCII.


تين. 4. اليسار 162 حرفا على جهاز الكمبيوتر الخاص بالضحية.

إذا نظرت عن كثب ، ستلاحظ أن الحروف تتكرر بتردد معين. قد يشير هذا إلى استخدام XOR ، حيث تكون التكرار مميزة ، ويعتمد تواترها على طول المفتاح. بعد كسر خط مكون من 6 أحرف وإجراء بعض المتغيرات من تسلسلات XOR ، لم نحقق أي نتيجة ذات معنى.


تين. 5. انظر الثوابت المكررة في الوسط؟

قررنا جوجل الثوابت ، لأن هذا ممكن أيضا! وقد أدت جميعها في النهاية إلى خوارزمية واحدة - تشفير الدفعة. بعد دراسة النص ، أصبح من الواضح أن خطنا ليس سوى نتيجة لعمله. وتجدر الإشارة إلى أن هذا ليس مشفرًا على الإطلاق ، ولكنه فقط مشفر يستبدل الأحرف بتسلسلات 6 بايت. لا توجد مفاتيح أو أسرار أخرى بالنسبة لك :(


الشكل 6. قطعة من الخوارزمية الأصلية للتأليف غير معروف.

لن تعمل الخوارزمية كما ينبغي ، إن لم يكن لتفاصيل واحدة:


الشكل 7. تمت الموافقة على مورفيوس.

باستخدام الاستبدال العكسي ، نحول السلسلة من pass.key إلى نص 27 حرفًا. وتجدر الإشارة إلى النص البشري (على الأرجح) "اسمودات".


الشكل 8. USGFDG = 7.

ستساعدنا Google مرة أخرى. بعد بحث قصير ، نجد مشروعًا مثيرًا للاهتمام على GitHub - Folder Locker ، مكتوبًا في .Net واستخدام مكتبة "asmodat" من حساب آخر على Gita.


تين. 9. واجهة خزانة المجلد. تأكد من التحقق من البرامج الضارة.

الأداة هي تشفير لنظام التشغيل Windows 7 والإصدارات الأحدث ، والتي يتم توزيعها مفتوحة المصدر. عند التشفير ، يتم استخدام كلمة المرور المطلوبة لفك التشفير اللاحق. يتيح لك العمل مع ملفات فردية وكذلك مع أدلة كاملة.

تستخدم مكتبتها خوارزمية تشفير Rijndael المتماثلة في وضع CBC. يشار إلى أن حجم الكتلة تم اختياره يساوي 256 بت - على عكس الحجم المعتمد في معيار AES. في الأخير ، يقتصر الحجم على 128 بت.

يتم تشكيل مفتاحنا وفقًا لمعيار PBKDF2. في هذه الحالة ، تكون كلمة المرور SHA-256 من السطر الذي تم إدخاله في الأداة المساعدة. يبقى فقط للعثور على هذا الخط لتشكيل مفتاح فك التشفير.

حسنًا ، عد إلى مفتاح المرور الذي تم فك ترميزه بالفعل . تذكر هذا السطر مع مجموعة من الأرقام والنص "اسمودات"؟ نحاول استخدام أول 20 بايت من السلسلة ككلمة مرور لـ Folder Locker.

انظروا ، إنه يعمل! ظهرت كلمة الشفرة ، وتم فك كل شيء تمامًا. إذا حكمنا من خلال أحرف كلمة المرور ، فهذا تمثيل HEX لكلمة معينة في ASCII. دعنا نحاول عرض كلمة السر في شكل نص. نحصل على " shadowwolf ". تشعر بالفعل بأعراض lycanthropy؟

دعنا نلقي نظرة أخرى على بنية الملف المتأثر ، الآن مع معرفة آلية القفل:

  • 02 00 00 00 - وضع تشفير الاسم ؛
  • 58 00 00 00 - طول اسم الملف المشفر والمشفّر في base64 ؛
  • 40 00 00 00 - حجم العنوان المنقول.

يتم تمييز الاسم المشفر نفسه والعنوان المنقول ، على التوالي ، باللون الأحمر والأصفر.


تين. 10. يتم تمييز الاسم المشفر باللون الأحمر ، والعنوان المنقول باللون الأصفر.

قارن الآن الأسماء المشفرة وغير المشفرة في تمثيل سداسي عشري.

هيكل البيانات المشفرة:

  • 78 B9 B8 2E - القمامة التي تم إنشاؤها بواسطة الأداة المساعدة (4 بايت) ؛
  • 0 00 00 00 - طول الاسم الذي تم فك تشفيره (12 بايت) ؛
  • يأتي بعد ذلك اسم الملف الفعلي والحشو مع الأصفار إلى طول الكتلة المطلوب (الحشو).


تين. 11. IMG_4114 تبدو أفضل بكثير.

ثالثًا. الاستنتاجات والاستنتاج


العودة إلى البداية. نحن لا نعرف ما الذي استرشد به مؤلف Wulfric.Ransomware والغرض الذي سعى إليه. بالطبع ، بالنسبة للمستخدم العادي ، ستبدو نتيجة هذا المشفر كارثة كبيرة. لا تفتح الملفات. اختفت جميع الأسماء. بدلا من الصورة المعتادة - ذئب على الشاشة. يجعلونني أقرأ عن البيتكوين.

صحيح ، هذه المرة تحت ستار "برنامج ترميز رهيب" تم إخفاء هذه المحاولة السخيفة والغبية للابتزاز ، حيث يستخدم المهاجم برامج جاهزة ويترك المفاتيح مباشرة في مكان الجريمة.

يتحدث عن المفاتيح. لم يكن لدينا نص برمجي ضار أو حصان طروادة لفهم كيفية إنشاء هذا المفتاح- لا تزال آلية ظهور الملف على جهاز الكمبيوتر المصاب غير معروفة. ولكن ، أتذكر ، في مذكرته ، ذكر المؤلف تفرد كلمة المرور. لذا ، فإن كلمة الكود لفك التشفير فريدة مثل اسم مستخدم ذئب الظل فريد :)

ومع ذلك ، ذئب الظل ، لماذا ولماذا؟

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles