Get best of the week

Wulfric Ransomware est un crypteur qui n'existe pas

Parfois, on veut vraiment se pencher sur une sorte de rédacteur de virus et demander: pourquoi et pourquoi? Nous traiterons de la réponse à la question «comment» nous-mêmes, mais il serait très intéressant de savoir par quoi le créateur du malware a été guidé. Surtout quand on tombe sur de telles "perles".

Le héros de l'article d'aujourd'hui est une copie intéressante du cryptographe. Il pensait, apparemment, comme un autre ransomware, mais son implémentation technique ressemble plus à la mauvaise blague de quelqu'un. Nous parlerons de cette implémentation aujourd'hui.

Malheureusement, il est pratiquement impossible de retracer le cycle de vie de cet encodeur - il y a trop peu de statistiques à ce sujet, car, heureusement, il n'a pas été distribué. Par conséquent, nous laissons hors origine l'origine, les méthodes d'infection et autres références. Nous ne parlerons que de notre cas de rencontre avec Wulfric Ransomware et de la façon dont nous avons aidé l'utilisateur à enregistrer ses fichiers.

I. Comment tout a commencé


Notre laboratoire antivirus est souvent contacté par des personnes affectées par des cryptographes. Nous fournissons une assistance, quels que soient les produits antivirus qu'ils ont installés. Cette fois, nous avons été approchés par une personne dont les fichiers ont été frappés par un encodeur inconnu.
Bonne après-midi! Les fichiers stockés sur les fichiers (samba4) avec une entrée sans mot de passe ont été cryptés. Je soupçonne que l'infection est partie de l'ordinateur de ma fille (Windows 10 avec protection native de Windows Defender). L'ordinateur de la fille n'a pas été allumé après cela. Les fichiers sont principalement cryptés .jpg et .cr2. Extension de fichier après cryptage: .aef.


Nous avons reçu de l'utilisateur des échantillons de fichiers cryptés, une note de rançon et un fichier, qui est probablement la clé dont l'auteur du cryptage a besoin pour décrypter les fichiers.

Voilà toutes nos pistes:

  • 01c.aef (4481K)
  • hacked.jpg (254K)
  • hacked.txt (0K)
  • 04c.aef (6540K)
  • pass.key (0K)

Jetons un coup d'œil à la note. Combien de bitcoins cette fois?

Transfert:
, !
.

0.05 BTC -: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
, pass.key Wulfric@gmx.com .

.

:
buy.blockexplorer.com
www.buybitcoinworldwide.com
localbitcoins.net

:
en.wikipedia.org/wiki/Bitcoin
- , Wulfric@gmx.com
, .

Loup Pathos, conçu pour montrer à la victime la gravité de la situation. Cependant, cela aurait pu être pire.


Figure. 1. -En bonus, je vais vous dire comment protéger votre ordinateur à l'avenir. -Semble légitime.

II. Se rendre au travail


Tout d'abord, nous avons examiné la structure de l'échantillon envoyé. Curieusement, il ne ressemblait pas à un fichier qui souffrait d'un crypteur. Nous ouvrons l'éditeur hexadécimal et regardons. Les 4 premiers octets contiennent la taille du fichier d'origine, les 60 octets suivants sont remplis de zéros. Mais le plus intéressant est à la fin:


Fig. 2 Analysez le fichier endommagé. Qu'est-ce qui attire immédiatement votre attention?

Tout s'est avéré être d'une simplicité offensive: 0x40 octets de l'en-tête ont été déplacés à la fin du fichier. Pour récupérer des données, retournez-les simplement au début. L'accès au fichier a été restauré, mais le nom est resté crypté, et avec lui tout est plus compliqué.


Figure. 3. Le nom chiffré dans Base64 ressemble à un jeu de caractères incohérent.

Essayons d'analyser pass.keyenvoyé par l'utilisateur. On y voit une séquence de caractères de 162 octets en ASCII.


Figure. 4. 162 caractères laissés sur le PC de la victime.

Si vous regardez attentivement, vous remarquerez que les caractères sont répétés avec une certaine fréquence. Cela peut indiquer l'utilisation de XOR, où les répétitions sont caractéristiques, dont la fréquence dépend de la longueur de la clé. Après avoir franchi une ligne de 6 caractères et effectué avec certaines variantes de séquences XOR, nous n'avons obtenu aucun résultat significatif.


Figure. 5. Voir les constantes en double au milieu?

Nous avons décidé de google les constantes, car oui, c'est aussi possible! Et tous ont finalement abouti à un algorithme - le chiffrement par lots. Après avoir étudié le script, il est devenu clair que notre ligne n'est que le résultat de son travail. Il convient de mentionner que ce n'est pas du tout un chiffreur, mais seulement un encodeur remplaçant les caractères par des séquences de 6 octets. Pas de clés ou d'autres secrets pour vous :(


Fig. 6. Un morceau de l'algorithme original de paternité inconnue.

L'algorithme ne fonctionnerait pas comme il le devrait, si ce n'est pour un détail:


Fig. 7. Approuvé par Morpheus.

En utilisant la substitution inverse, nous transformons la chaîne de pass.key en texte de 27 caractères. A noter en particulier le texte humain (le plus probable) «asmodat».


Fig. 8. USGFDG = 7.

Google nous aidera à nouveau. Après une courte recherche, nous trouvons un projet intéressant sur GitHub - Folder Locker, écrit en .Net et utilisant la bibliothèque 'asmodat' d'un autre compte sur la Gita.


Figure. 9. Interface Folder Locker. Assurez-vous de vérifier les logiciels malveillants.

L'utilitaire est un chiffreur pour Windows 7 et supérieur, qui est distribué en open source. Lors du cryptage, le mot de passe requis pour le décryptage ultérieur est utilisé. Vous permet de travailler avec des fichiers individuels ainsi qu'avec des répertoires entiers.

Sa bibliothèque utilise l'algorithme de chiffrement symétrique Rijndael en mode CBC. Il est à noter que la taille de bloc a été choisie égale à 256 bits - contrairement à celle adoptée dans la norme AES. Dans ce dernier, la taille est limitée à 128 bits.

Notre clé est formée selon la norme PBKDF2. Dans ce cas, le mot de passe est SHA-256 à partir de la ligne entrée dans l'utilitaire. Il ne reste plus qu'à trouver cette ligne pour former la clé de déchiffrement.

Eh bien, revenons à notre pass.key déjà décodé . Rappelez-vous cette ligne avec un ensemble de chiffres et le texte «asmodat»? Nous essayons d'utiliser les 20 premiers octets de la chaîne comme mot de passe pour le Folder Locker.

Regardez, ça marche! Le mot de code est apparu et tout a été parfaitement déchiffré. A en juger par les caractères du mot de passe, il s'agit d'une représentation HEX d'un mot spécifique en ASCII. Essayons d'afficher le mot de code sous forme de texte. Nous obtenons « shadowwolf ». Vous ressentez déjà les symptômes de la lycanthropie?

Jetons un autre regard sur la structure du fichier affecté, connaissant maintenant le mécanisme du casier:

  • 02 00 00 00 - mode de cryptage des noms;
  • 58 00 00 00 - longueur du nom de fichier crypté et encodé en base64;
  • 40 00 00 00 - la taille du titre transféré.

Le nom chiffré lui-même et le titre transféré, respectivement, sont surlignés en rouge et jaune.


Figure. 10. Le nom crypté est surligné en rouge, le titre transféré est jaune.

Comparez maintenant les noms chiffrés et déchiffrés en représentation hexadécimale.

La structure des données décryptées:

  • 78 B9 B8 2E - ordures créées par l'utilitaire (4 octets);
  • 0 00 00 00 - longueur du nom déchiffré (12 octets);
  • vient ensuite le nom de fichier réel et le remplissage avec des zéros à la longueur de bloc souhaitée (remplissage).


Figure. 11. IMG_4114 semble beaucoup mieux.

III. Conclusions et conclusion


Revenons au début. Nous ne savons pas ce qui a guidé l'auteur de Wulfric.Ransomware et quel but il a poursuivi. Bien sûr, pour l'utilisateur moyen, le résultat même d'un tel chiffreur semblera être un gros désastre. Les fichiers ne s'ouvrent pas. Tous les noms ont disparu. Au lieu de l'image habituelle - un loup à l'écran. Ils me font lire des bitcoins.

Certes, cette fois sous le couvert d'un «terrible encodeur» se cachait une tentative d'extorsion aussi absurde et stupide, où un attaquant utilise des programmes prêts à l'emploi et laisse les clés sur les lieux du crime.

En parlant de clés. Nous n'avions pas de script malveillant ni de cheval de Troie pour comprendre l'origine de ce mot de passe.- le mécanisme d'apparition du fichier sur le PC infecté reste inconnu. Mais, je me souviens, dans sa note, l'auteur a mentionné l'unicité du mot de passe. Ainsi, le mot de code pour le décryptage est aussi unique que le nom d'utilisateur du loup fantôme est unique :)

Et pourtant, le loup fantôme, pourquoi et pourquoi?

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles