Get best of the week

Wulfric Ransomware es un criptor que no existe

A veces uno realmente quiere buscar algún tipo de escritor de virus y preguntar: ¿por qué y por qué? Nos ocuparemos de la respuesta a la pregunta "cómo" nosotros mismos, pero sería muy interesante averiguar por qué se guió el creador de malware. Especialmente cuando nos encontramos con tales "perlas".

El héroe del artículo de hoy es una copia interesante del criptógrafo. Al parecer, pensó que era otro ransomware, pero su implementación técnica se parece más a la broma malvada de alguien. Hablaremos de esta implementación hoy.

Desafortunadamente, es prácticamente imposible rastrear el ciclo de vida de este codificador: hay muy pocas estadísticas sobre él, ya que, afortunadamente, no ha recibido distribución. Por lo tanto, dejamos de origen el origen, los métodos de infección y otras referencias. Solo hablaremos sobre nuestro caso de reunión con Wulfric Ransomware y cómo ayudamos al usuario a guardar sus archivos.

I. Cómo empezó todo


Nuestro laboratorio de antivirus a menudo es contactado por personas que han sido afectadas por criptógrafos. Brindamos asistencia sin importar qué productos antivirus tengan instalados. Esta vez nos contactó una persona cuyos archivos fueron impactados por un codificador desconocido.
¡Buenas tardes! Los archivos en el almacenamiento de archivos (samba4) con entrada sin contraseña se cifraron. Sospecho que la infección fue de la computadora de mi hija (Windows 10 con protección nativa de Windows Defender). La computadora de la hija no se encendió después de eso. Los archivos están principalmente encriptados .jpg y .cr2. Extensión de archivo después del cifrado: .aef.


Recibimos del usuario muestras de archivos cifrados, una nota de rescate y un archivo, que probablemente sea la clave que el autor del cifrado necesita para descifrar los archivos.

Esos son todos nuestros leads:

  • 01c.aef (4481K)
  • hacked.jpg (254K)
  • hacked.txt (0K)
  • 04c.aef (6540K)
  • pass.key (0K)

Echemos un vistazo a la nota. ¿Cuántos bitcoins esta vez?

Transferir:
, !
.

0.05 BTC -: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
, pass.key Wulfric@gmx.com .

.

:
buy.blockexplorer.com
www.buybitcoinworldwide.com
localbitcoins.net

:
en.wikipedia.org/wiki/Bitcoin
- , Wulfric@gmx.com
, .

Pathos wolf, diseñado para mostrar a la víctima la gravedad de la situación. Sin embargo, podría haber sido peor.


Higo. 1.-Como beneficio adicional, te diré cómo proteger tu computadora en el futuro. -Parece legitimo.

II Llegando al trabajo


En primer lugar, observamos la estructura de la muestra enviada. Por extraño que parezca, no parecía un archivo que sufriera un encriptador. Abrimos el editor hexadecimal y miramos. Los primeros 4 bytes contienen el tamaño original del archivo, los siguientes 60 bytes están llenos de ceros. Pero lo más interesante es al final:


Fig. 2 Analice el archivo dañado. ¿Qué te llama la atención de inmediato?

Todo resultó ser ofensivamente simple: 0x40 bytes del encabezado se movieron al final del archivo. Para recuperar datos, simplemente devuélvalos al principio. Se restauró el acceso al archivo, pero el nombre permaneció cifrado, y con él todo es más complicado.


Higo. 3. El nombre encriptado en Base64 parece un juego de caracteres incoherente.

Intentemos analizar pass.keyenviado por el usuario. En él vemos una secuencia de caracteres de 162 bytes en ASCII.


Higo. 4. 162 caracteres restantes en la PC de la víctima.

Si observa detenidamente, notará que los caracteres se repiten con cierta frecuencia. Esto puede indicar el uso de XOR, donde las repeticiones son características, cuya frecuencia depende de la longitud de la clave. Después de haber roto una línea de 6 caracteres y realizado con algunas variantes de secuencias XOR, no logramos ningún resultado significativo.


Higo. 5. Ver constantes duplicadas en el medio?

Decidimos buscar en Google las constantes, porque sí, ¡eso también es posible! Y todos ellos finalmente condujeron a un algoritmo: Cifrado por lotes. Después de estudiar el guión, quedó claro que nuestra línea no es más que el resultado de su trabajo. Cabe mencionar que este no es un cifrador en absoluto, sino solo un codificador que reemplaza caracteres con secuencias de 6 bytes. Sin claves u otros secretos para usted :(


Fig. 6. Una pieza del algoritmo original de autor desconocido.

El algoritmo no funcionaría como debería, si no fuera por un detalle:


Fig. 7. Morpheus aprobó.

Usando la sustitución inversa, convertimos la cadena de pass.key en texto de 27 caracteres. De particular interés es el texto humano (probablemente) "asmodat".


Fig. 8. USGFDG = 7.

Google nos ayudará nuevamente. Después de una breve búsqueda, encontramos un proyecto interesante en GitHub - Folder Locker, escrito en .Net y usando la biblioteca 'asmodat' de otra cuenta en el Gita.


Higo. 9. Interfaz de carpeta de bloqueo. Asegúrese de verificar si hay malware.

La utilidad es un cifrador para Windows 7 y superior, que se distribuye de código abierto. Al cifrar, se utiliza la contraseña requerida para el descifrado posterior. Le permite trabajar con archivos individuales, así como con directorios completos.

Su biblioteca utiliza el algoritmo de cifrado simétrico Rijndael en modo CBC. Es de destacar que el tamaño del bloque se eligió igual a 256 bits, en contraste con el adoptado en el estándar AES. En este último, el tamaño está limitado a 128 bits.

Nuestra clave está formada de acuerdo con el estándar PBKDF2. En este caso, la contraseña es SHA-256 de la línea ingresada en la utilidad. Solo queda encontrar esta línea para formar la clave de descifrado.

Bueno, volvamos a nuestro pass.key ya decodificado . ¿Recuerdas esa línea con un conjunto de números y el texto 'asmodat'? Intentamos utilizar los primeros 20 bytes de la cadena como contraseña para el Folder Locker.

Mira, funciona! La palabra clave apareció, y todo estaba perfectamente descifrado. A juzgar por los caracteres de la contraseña, esta es una representación HEX de una palabra específica en ASCII. Intentemos mostrar la palabra de código en forma de texto. Obtenemos ' shadowwolf '. ¿Ya siente los síntomas de la licantropía?

Echemos otro vistazo a la estructura del archivo afectado, ahora conociendo el mecanismo del casillero:

  • 02 00 00 00 - modo de cifrado de nombre;
  • 58 00 00 00 - longitud del nombre del archivo cifrado y codificado en base64;
  • 40 00 00 00: el tamaño del título transferido.

El nombre encriptado y el título transferido, respectivamente, se resaltan en rojo y amarillo.


Higo. 10. El nombre cifrado se resalta en rojo, el título transferido es amarillo.

Ahora compare los nombres cifrados y descifrados en representación hexadecimal.

La estructura de los datos descifrados:

  • 78 B9 B8 2E: basura creada por la utilidad (4 bytes);
  • 0 00 00 00 - longitud del nombre descifrado (12 bytes);
  • Luego viene el nombre real del archivo y el relleno con ceros a la longitud del bloque deseado (relleno).


Higo. 11. IMG_4114 se ve mucho mejor.

III. Conclusiones y conclusiones


Volviendo al principio. No sabemos por qué se guió el autor de Wulfric.Ransomware y qué propósito persiguió. Por supuesto, para el usuario promedio, el resultado de incluso un cifrador de este tipo parecerá un gran desastre. Los archivos no se abren. Todos los nombres se han ido. En lugar de la imagen habitual: un lobo en la pantalla. Me hacen leer sobre bitcoins.

Es cierto que esta vez, bajo la apariencia de un "codificador terrible", se ocultó un intento tan absurdo y estúpido de extorsionar, donde un atacante usa programas ya preparados y deja las llaves en la escena del crimen.

Hablando de llaves. No teníamos un script malicioso o un troyano para comprender cómo se originó esta contraseña.- el mecanismo para la aparición del archivo en la PC infectada sigue siendo desconocido. Pero, recuerdo, en su nota, el autor mencionó la unicidad de la contraseña. Entonces, la palabra de código para descifrar es tan única como el nombre de usuario de shadow wolf es único :)

Y sin embargo, shadow wolf, ¿por qué y por qué?

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles