Wulfric Ransomware एक क्रिप्टोर है जो मौजूद नहीं है
कभी-कभी कोई वास्तव में किसी प्रकार के वायरस लेखक को देखना चाहता है और पूछता है: क्यों और क्यों? हम स्वयं "कैसे" प्रश्न के उत्तर से निपटेंगे , लेकिन यह पता लगाना बहुत दिलचस्प होगा कि मैलवेयर निर्माता द्वारा क्या निर्देशित किया गया था । खासकर जब हम ऐसे "मोती" के पार आते हैं।आज के लेख का नायक क्रिप्टोग्राफर की एक दिलचस्प प्रति है। उन्होंने एक अन्य रैंसमवेयर के रूप में जाहिरा तौर पर सोचा, लेकिन इसका तकनीकी कार्यान्वयन किसी के बुरे मजाक की तरह है। हम आज इस कार्यान्वयन के बारे में बात करेंगे।दुर्भाग्य से, इस एनकोडर के जीवन चक्र का पता लगाना व्यावहारिक रूप से असंभव है - इस पर बहुत कम आँकड़े हैं, क्योंकि, सौभाग्य से, इसे वितरण नहीं मिला है। इसलिए, हम उत्पत्ति की उत्पत्ति, संक्रमण के तरीकों और अन्य संदर्भों से बाहर निकलते हैं। हम केवल Wulfric Ransomware के साथ मिलने के हमारे मामले के बारे में बात करेंगे और हमने उपयोगकर्ता को अपनी फ़ाइलों को सहेजने में कैसे मदद की।I. यह सब कैसे शुरू हुआ
हमारी एंटी-वायरस लैब अक्सर उन लोगों से संपर्क करती है जो क्रिप्टोग्राफर्स से प्रभावित होते हैं। हम सहायता प्रदान करते हैं कि कोई भी एंटीवायरस उत्पाद जो उन्होंने स्थापित किया है। इस बार हमें एक ऐसे व्यक्ति से संपर्क किया गया, जिसकी फाइलें अज्ञात एनकोडर से टकराई थीं।नमस्कार! पासवर्ड भंडारण के साथ फाइल स्टोरेज (samba4) पर फ़ाइलों को एन्क्रिप्ट किया गया था। मुझे संदेह है कि संक्रमण मेरी बेटी के कंप्यूटर (देशी विंडोज डिफेंडर सुरक्षा के साथ विंडोज 10) से चला गया। उसके बाद बेटी का कंप्यूटर चालू नहीं किया गया। फ़ाइलें मुख्य रूप से एन्क्रिप्टेड हैं .jpg और .cr2। एन्क्रिप्शन के बाद फ़ाइल एक्सटेंशन: .aef।
हमें एन्क्रिप्टेड फ़ाइलों के उपयोगकर्ता नमूनों, एक फिरौती नोट और एक फ़ाइल से प्राप्त हुआ, जो संभवतः कुंजी है जो एन्क्रिप्शन लेखक को फ़ाइलों को डिक्रिप्ट करने की आवश्यकता है।हमारे सभी लीड हैं:- 01aaef (4481K)
- hacked.jpg (254K)
- hacked.txt (0K)
- 04aaef (6540K)
- pass.key (0K)
आइए नजर डालते हैं नोट पर। इस समय कितने बिटकॉइन हैं?स्थानांतरण:, !
.
0.05 BTC -: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
, pass.key Wulfric@gmx.com .
.
:
buy.blockexplorer.com —
www.buybitcoinworldwide.com
localbitcoins.net
:
en.wikipedia.org/wiki/Bitcoin
- , Wulfric@gmx.com
, .
पैथोस भेड़िया, पीड़ित को स्थिति की गंभीरता दिखाने के लिए डिज़ाइन किया गया। हालाँकि, यह और भी बुरा हो सकता था।
अंजीर। 1.-बोनस के रूप में, मैं आपको भविष्य में आपके कंप्यूटर की सुरक्षा करने का तरीका बताऊंगा। -वैध लगता है।द्वितीय। कार्य अर्जित करना
सबसे पहले, हमने भेजे गए नमूने की संरचना को देखा। विचित्र रूप से पर्याप्त है, यह एक फ़ाइल की तरह नहीं दिखता है जो एक एनक्रिप्ट से ग्रस्त है। हम हेक्स संपादक खोलते हैं और देखो। पहले 4 बाइट्स में मूल फ़ाइल का आकार होता है, अगले 60 बाइट्स शून्य से भरे होते हैं। लेकिन सबसे दिलचस्प अंत में है:
अंजीर। 2 क्षतिग्रस्त फ़ाइल का विश्लेषण करें। क्या तुरंत अपनी आंख पकड़ता है?सब कुछ आक्रामक रूप से सरल हो गया: हेडर से 0x40 बाइट्स फ़ाइल के अंत में चले गए थे। डेटा को पुनर्प्राप्त करने के लिए, बस उन्हें शुरुआत में वापस करें। फ़ाइल तक पहुंच बहाल की गई थी, लेकिन नाम एन्क्रिप्ट किया गया था, और इसके साथ सब कुछ अधिक जटिल है।
अंजीर। 3. बेस 64 में एन्क्रिप्टेड नाम एक अगोचर चरित्र सेट की तरह दिखता है।आइए pass.key को पार्स करने का प्रयास करेंउपयोगकर्ता द्वारा भेजा गया। इसमें हमें ASCII में 162-बाइट चरित्र अनुक्रम दिखाई देता है।
अंजीर। 4. पीड़ित के पीसी पर 162 वर्ण बचे हैं।यदि आप बारीकी से देखते हैं, तो आप देखेंगे कि वर्ण एक निश्चित आवृत्ति के साथ दोहराया जाता है। यह XOR के उपयोग को इंगित कर सकता है, जहां पुनरावृत्तियां विशेषता हैं, जिनमें से आवृत्ति कुंजी की लंबाई पर निर्भर करती है। 6 वर्णों की एक पंक्ति को तोड़ने और XOR दृश्यों के कुछ प्रकारों के साथ प्रदर्शन करने के बाद, हमने कोई सार्थक परिणाम प्राप्त नहीं किया।
अंजीर। 5. बीच में नकली स्थिरांक देखें?हमने स्थिरांक को गूगल करने का फैसला किया, क्योंकि हाँ, यह भी संभव है! और उन सभी ने अंततः एक एल्गोरिथ्म का नेतृत्व किया - बैच एन्क्रिप्शन। स्क्रिप्ट का अध्ययन करने के बाद, यह स्पष्ट हो गया कि हमारी रेखा कुछ और नहीं बल्कि उसके काम का परिणाम है। यह उल्लेख किया जाना चाहिए कि यह एक एनक्रिप्ट नहीं है, लेकिन केवल 6-बाइट अनुक्रमों के साथ वर्णों को प्रतिस्थापित करने वाला एक एनकोडर है। आपके लिए कोई कुंजी या अन्य रहस्य नहीं है :(
अंजीर। 6. अज्ञात लेखक के मूल एल्गोरिथ्म का एक टुकड़ा।एल्गोरिथ्म काम नहीं करेगा जैसा कि एक विवरण के लिए नहीं करना चाहिए:
अंजीर। 7. मॉर्फियस ने मंजूरी दे दी।रिवर्स प्रतिस्थापन के उपयोग से, हम स्ट्रिंग को पाठ में पास करते हैं। 27 अक्षरों में से। विशेष नोट में मानव (सबसे अधिक संभावना वाला) पाठ 'अस्मोडैट' है।
अंजीर। 8. USGFDG = 7।Google फिर हमारी मदद करेगा। एक छोटी खोज के बाद, हमें गीता पर एक अन्य परियोजना से, GitHub - Folder Locker पर एक दिलचस्प परियोजना मिली, जो कि .Net में लिखी गई है और 'asmodat' लाइब्रेरी का उपयोग कर रही है।
अंजीर। 9. फ़ोल्डर लॉकर इंटरफ़ेस। मैलवेयर के लिए जाँच अवश्य करें।उपयोगिता विंडोज 7 और इसके बाद के संस्करण के लिए एक एनक्रिप्ट है, जिसे ओपन सोर्स वितरित किया जाता है। एन्क्रिप्ट करते समय, बाद के डिक्रिप्शन के लिए आवश्यक पासवर्ड का उपयोग किया जाता है। आपको व्यक्तिगत फ़ाइलों के साथ-साथ संपूर्ण निर्देशिकाओं के साथ काम करने की अनुमति देता है।उसका पुस्तकालय सीबीसी मोड में सममित रिजेंडेल एन्क्रिप्शन एल्गोरिथ्म का उपयोग करता है। यह उल्लेखनीय है कि ब्लॉक का आकार 256 बिट के बराबर चुना गया था - एईएस मानक में इसके विपरीत। उत्तरार्द्ध में, आकार 128 बिट तक सीमित है।हमारी कुंजी PBKDF2 मानक के अनुसार बनाई गई है। इस स्थिति में, पासवर्ड उपयोगिता में दर्ज की गई रेखा से SHA-256 है। यह केवल डिक्रिप्शन कुंजी बनाने के लिए इस लाइन को खोजने के लिए बनी हुई है।खैर, वापस हमारे पहले से ही पास । संख्या और पाठ 'अस्मोडैट' के सेट के साथ उस पंक्ति को याद रखें? हम फ़ोल्डर लॉकर के लिए पासवर्ड के रूप में स्ट्रिंग के पहले 20 बाइट्स का उपयोग करने का प्रयास करते हैं।देखो, यह काम करता है! कोड शब्द आया, और सब कुछ पूरी तरह से विघटित हो गया। पासवर्ड वर्णों को देखते हुए, यह ASCII में एक विशिष्ट शब्द का HEX प्रतिनिधित्व है। पाठ रूप में कोड शब्द प्रदर्शित करने का प्रयास करते हैं। हमें ' छायावाद ' मिलता है । पहले से ही लाइकेनथ्रोपी के लक्षण महसूस कर रहे हैं?आइए प्रभावित फ़ाइल की संरचना पर एक और नज़र डालें, अब लॉकर के तंत्र को जानना:- 02 00 00 00 - नाम एन्क्रिप्शन मोड;
- 58 00 00 00 - बेस 64 में एन्क्रिप्ट और एन्कोडेड फ़ाइल नाम की लंबाई;
- 40 00 00 00 - हस्तांतरित शीर्षक का आकार।
क्रमशः एन्क्रिप्ट किया गया नाम और स्थानांतरित नाम, लाल और पीले रंग में हाइलाइट किए गए हैं।
अंजीर। 10. एन्क्रिप्ट किया गया नाम लाल रंग में हाइलाइट किया गया है, हस्तांतरित शीर्षक पीला है।अब हेक्साडेसिमल प्रतिनिधित्व में एन्क्रिप्टेड और डिक्रिप्ट किए गए नामों की तुलना करें।डिक्रिप्ट किए गए डेटा की संरचना:- 78 बी 9 बी 8 2 ई - उपयोगिता द्वारा निर्मित कचरा (4 बाइट्स);
- 0 length 00 00 00 - डिक्रिप्ट नाम की लंबाई (12 बाइट्स);
- इसके बाद वास्तविक फ़ाइल नाम आता है और ज़ीरोस के साथ वांछित ब्लॉक लंबाई (पैडिंग) के लिए पैडिंग होती है।
अंजीर। 11. IMG_4114 ज्यादा बेहतर दिखता है।तृतीय। निष्कर्ष और निष्कर्ष
शुरुआत में वापसी। हम नहीं जानते कि Wulfric.Ransomware के लेखक ने क्या मार्गदर्शन किया था और उन्होंने किस उद्देश्य से पीछा किया। बेशक, औसत उपयोगकर्ता के लिए, यहां तक कि इस तरह के एक एनक्रिप्ट का परिणाम एक बड़ी आपदा की तरह प्रतीत होगा। फाइलें नहीं खुलीं। सभी नाम छूट गए हैं। सामान्य तस्वीर के बजाय - स्क्रीन पर एक भेड़िया। वे मुझे बिटकॉइन के बारे में पढ़ते हैं।सच है, इस बार एक "भयानक एनकोडर" की आड़ में ऐसे बेतुके और मूर्खतापूर्ण प्रयास को छिपाया गया था, जहां एक हमलावर तैयार कार्यक्रमों का उपयोग करता है और अपराध स्थल पर चाबी छोड़ देता है।कुंजियों की बात। हमारे पास दुर्भावनापूर्ण स्क्रिप्ट या ट्रोजन नहीं है यह समझने के लिए कि यह पास कैसे उत्पन्न हुआ- संक्रमित पीसी पर फ़ाइल की उपस्थिति के लिए तंत्र अज्ञात रहता है। लेकिन, मुझे याद है, उनके नोट में, लेखक ने पासवर्ड की विशिष्टता का उल्लेख किया था। तो, डिक्रिप्शन के लिए कोड शब्द उतना ही अनोखा है जितना कि शैडो वुल्फ यूजरनेम अद्वितीय है :)और फिर भी, शैडो वुल्फ, क्यों और क्यों? Source: https://habr.com/ru/post/undefined/
All Articles