Get best of the week

Wulfric Ransomware ist ein Kryptor, den es nicht gibt

Manchmal möchte man wirklich in eine Art Virenschreiber schauen und fragen: warum und warum? Wir werden uns selbst mit der Antwort auf die Frage „wie“ befassen , aber es wäre sehr interessant herauszufinden, woran sich der Malware-Ersteller orientiert hat. Besonders wenn wir auf solche "Perlen" stoßen.

Der Held des heutigen Artikels ist eine interessante Kopie des Kryptographen. Er dachte anscheinend an eine andere Ransomware, aber ihre technische Implementierung ähnelt eher einem bösen Witz. Wir werden heute über diese Implementierung sprechen.

Leider ist es praktisch unmöglich, den Lebenszyklus dieses Encoders zu verfolgen - es gibt zu wenige Statistiken darüber, da er glücklicherweise nicht verteilt wurde. Daher lassen wir den Ursprung, die Infektionsmethoden und andere Referenzen unberührt. Wir werden nur über unseren Fall eines Treffens mit Wulfric Ransomware sprechen und darüber, wie wir dem Benutzer beim Speichern seiner Dateien geholfen haben.

I. Wie alles begann


Unser Antivirenlabor wird häufig von Personen kontaktiert, die von Kryptographen betroffen sind. Wir bieten Unterstützung, unabhängig davon, welche Antivirenprodukte sie installiert haben. Diesmal wurden wir von einer Person angesprochen, deren Akten von einem unbekannten Encoder getroffen wurden.
Guten Tag! Dateien im Dateispeicher (samba4) mit passwortlosem Eintrag wurden verschlüsselt. Ich vermute, dass die Infektion vom Computer meiner Tochter ausgeht (Windows 10 mit nativem Windows Defender-Schutz). Der Computer der Tochter wurde danach nicht mehr eingeschaltet. Dateien werden hauptsächlich mit .jpg und .cr2 verschlüsselt. Dateierweiterung nach Verschlüsselung: .aef.


Wir haben vom Benutzer Beispiele für verschlüsselte Dateien, einen Lösegeldschein und eine Datei erhalten, die wahrscheinlich der Schlüssel ist, den der Verschlüsselungsautor zum Entschlüsseln der Dateien benötigt.

Das sind alle unsere Hinweise:

  • 01c.aef (4481K)
  • hacked.jpg (254K)
  • hacked.txt (0K)
  • 04c.aef (6540K)
  • pass.key (0K)

Werfen wir einen Blick auf die Notiz. Wie viele Bitcoins diesmal?

Transfer:
, !
.

0.05 BTC -: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
, pass.key Wulfric@gmx.com .

.

:
buy.blockexplorer.com
www.buybitcoinworldwide.com
localbitcoins.net

:
en.wikipedia.org/wiki/Bitcoin
- , Wulfric@gmx.com
, .

Pathos Wolf, der dem Opfer den Ernst der Lage zeigen soll. Es hätte jedoch schlimmer kommen können.


Feige. 1. - Als Bonus werde ich Ihnen sagen, wie Sie Ihren Computer in Zukunft schützen können. -Klingt plausibel.

II. An die Arbeit gehen


Zunächst haben wir uns die Struktur der gesendeten Probe angesehen. Seltsamerweise sah es nicht wie eine Datei aus, die unter einem Verschlüsseler litt. Wir öffnen den Hex-Editor und schauen. Die ersten 4 Bytes enthalten die ursprüngliche Dateigröße, die nächsten 60 Bytes sind mit Nullen gefüllt. Am interessantesten ist jedoch das Ende:


Abb. 2 Analysieren Sie die beschädigte Datei. Was fällt Ihnen sofort auf?

Alles stellte sich als offensiv einfach heraus: 0x40 Bytes aus dem Header wurden an das Ende der Datei verschoben. Um Daten wiederherzustellen, setzen Sie sie einfach an den Anfang zurück. Der Zugriff auf die Datei wurde wiederhergestellt, aber der Name blieb verschlüsselt, und damit ist alles komplizierter.


Feige. 3. Der verschlüsselte Name in Base64 sieht aus wie ein inkohärenter Zeichensatz.

Versuchen wir, pass.key zu analysierenvom Benutzer gesendet. Darin sehen wir eine 162-Byte-Zeichenfolge in ASCII.


Feige. 4. 162 Zeichen verbleiben auf dem PC des Opfers.

Wenn Sie genau hinschauen, werden Sie feststellen, dass die Zeichen mit einer bestimmten Häufigkeit wiederholt werden. Dies kann auf die Verwendung von XOR hinweisen, bei dem Wiederholungen charakteristisch sind, deren Häufigkeit von der Länge des Schlüssels abhängt. Nachdem wir eine Zeile mit 6 Zeichen unterbrochen und mit einigen Varianten von XOR-Sequenzen ausgeführt hatten, konnten wir kein aussagekräftiges Ergebnis erzielen.


Feige. 5. Doppelte Konstanten in der Mitte sehen?

Wir haben uns entschlossen, die Konstanten zu googeln, denn ja, das ist auch möglich! Und alle führten schließlich zu einem Algorithmus - der Stapelverschlüsselung. Nach dem Studium des Drehbuchs wurde klar, dass unsere Linie nichts anderes als das Ergebnis ihrer Arbeit ist. Es sollte erwähnt werden, dass dies überhaupt kein Verschlüsseler ist, sondern nur ein Codierer, der Zeichen durch 6-Byte-Sequenzen ersetzt. Keine Schlüssel oder andere Geheimnisse für Sie :(


Abb. 6. Ein Teil des ursprünglichen Algorithmus unbekannter Urheberschaft.

Der Algorithmus würde nicht wie gewünscht funktionieren, wenn nicht für ein Detail:


Abb. 7. Morpheus genehmigt.

Mit umgekehrter Substitution wandeln wir die Zeichenfolge von pass.key in Text um Besonders hervorzuheben ist der (höchstwahrscheinlich) menschliche Text 'asmodat'.


Abb. 8. USGFDG = 7.

Google wird uns wieder helfen. Nach einer kurzen Suche finden wir ein interessantes Projekt auf GitHub - Folder Locker, das in .Net geschrieben ist und die 'asmodat'-Bibliothek eines anderen Gita-Kontos verwendet.


Feige. 9. Folder Locker-Oberfläche. Achten Sie darauf, nach Malware zu suchen.

Das Dienstprogramm ist ein Verschlüsseler für Windows 7 und höher, der Open Source verteilt wird. Bei der Verschlüsselung wird das für die nachfolgende Entschlüsselung erforderliche Kennwort verwendet. Ermöglicht die Arbeit mit einzelnen Dateien sowie mit ganzen Verzeichnissen.

Ihre Bibliothek verwendet den symmetrischen Rijndael-Verschlüsselungsalgorithmus im CBC-Modus. Es ist bemerkenswert, dass die Blockgröße gleich 256 Bit gewählt wurde - im Gegensatz zu der im AES-Standard angenommenen. In letzterem ist die Größe auf 128 Bit begrenzt.

Unser Schlüssel wird nach dem PBKDF2-Standard gebildet. In diesem Fall lautet das Kennwort SHA-256 aus der im Dienstprogramm eingegebenen Zeile. Es bleibt nur diese Zeile zu finden, um den Entschlüsselungsschlüssel zu bilden.

Nun zurück zu unserem bereits entschlüsselten pass.key . Erinnerst du dich an diese Zeile mit einer Reihe von Zahlen und dem Text 'asmodat'? Wir versuchen, die ersten 20 Bytes der Zeichenfolge als Kennwort für den Folder Locker zu verwenden.

Schau, es funktioniert! Das Codewort tauchte auf und alles war perfekt entschlüsselt. Gemessen an den Kennwortzeichen ist dies eine HEX-Darstellung eines bestimmten Wortes in ASCII. Versuchen wir, das Codewort in Textform anzuzeigen. Wir bekommen ' Schattenwolf '. Fühlen Sie bereits die Symptome der Lykanthropie?

Schauen wir uns noch einmal die Struktur der betroffenen Datei an und kennen nun den Mechanismus des Schließfachs:

  • 02 00 00 00 - Namensverschlüsselungsmodus;
  • 58 00 00 00 - Länge des in base64 verschlüsselten und verschlüsselten Dateinamens;
  • 40 00 00 00 - die Größe des übertragenen Titels.

Der verschlüsselte Name selbst und der übertragene Titel werden rot bzw. gelb hervorgehoben.


Feige. 10. Der verschlüsselte Name wird rot hervorgehoben, der übertragene Titel ist gelb.

Vergleichen Sie nun die verschlüsselten und entschlüsselten Namen in hexadezimaler Darstellung.

Die Struktur der entschlüsselten Daten:

  • 78 B9 B8 2E - vom Dienstprogramm erstellter Müll (4 Bytes);
  • 0 00 00 00 - Länge des entschlüsselten Namens (12 Bytes);
  • Als nächstes kommt der tatsächliche Dateiname und das Auffüllen mit Nullen auf die gewünschte Blocklänge (Auffüllen).


Feige. 11. IMG_4114 sieht viel besser aus.

III. Schlussfolgerungen und Schlussfolgerung


Zurück zum Anfang. Wir wissen nicht, von was der Autor von Wulfric.Ransomware geleitet wurde und welchen Zweck er verfolgte. Für den Durchschnittsbenutzer scheint das Ergebnis eines solchen Verschlüsselers natürlich eine große Katastrophe zu sein. Dateien werden nicht geöffnet. Alle Namen sind weg. Anstelle des üblichen Bildes - ein Wolf auf dem Bildschirm. Sie bringen mich dazu, über Bitcoins zu lesen.

Diesmal wurde unter dem Deckmantel eines „schrecklichen Encoders“ ein solch absurder und dummer Erpressungsversuch versteckt, bei dem ein Angreifer vorgefertigte Programme verwendet und die Schlüssel direkt am Tatort zurücklässt.

Apropos Schlüssel. Wir hatten kein bösartiges Skript oder keinen Trojaner, um zu verstehen, wie dieser pass.key entstanden ist- Der Mechanismus für das Erscheinen der Datei auf dem infizierten PC ist unbekannt. Ich erinnere mich jedoch, dass der Autor in seiner Notiz die Eindeutigkeit des Passworts erwähnt hat. Das Codewort für die Entschlüsselung ist also so eindeutig wie der Benutzername des Schattenwolfs eindeutig ist :)

Und doch, Schattenwolf, warum und warum?

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles