Get best of the week

Wulfric Ransomware adalah cryptor yang tidak ada

Kadang-kadang seseorang benar-benar ingin melihat ke jenis penulis virus dan bertanya: mengapa dan mengapa? Kami akan membahas jawaban atas pertanyaan "bagaimana" diri kami sendiri, tetapi akan sangat menarik untuk mengetahui apa yang dipandu oleh pembuat malware. Terutama ketika kita menemukan "mutiara" seperti itu.

Pahlawan artikel hari ini adalah salinan kriptografi yang menarik. Dia berpikir, tampaknya, sebagai ransomware lain, tetapi penerapan teknisnya lebih seperti lelucon jahat seseorang. Kami akan membicarakan implementasi ini hari ini.

Sayangnya, praktis tidak mungkin untuk melacak siklus hidup pembuat enkode ini - terlalu sedikit statistiknya, karena, untungnya, belum menerima distribusi. Oleh karena itu, kami tidak menyebutkan asal, metode infeksi, dan referensi lainnya. Kami hanya akan berbicara tentang kasus pertemuan kami dengan Wulfric Ransomware dan bagaimana kami membantu pengguna menyimpan file-nya.

I. Bagaimana semuanya dimulai


Laboratorium anti-virus kami sering dihubungi oleh orang-orang yang telah terpengaruh oleh cryptographers. Kami memberikan bantuan, apa pun produk antivirus yang mereka pasang. Kali ini kami didekati oleh orang yang file-nya dihantam oleh pembuat kode yang tidak dikenal.
Selamat sore! File pada penyimpanan file (samba4) dengan entri tanpa kata sandi dienkripsi. Saya menduga bahwa infeksi itu berasal dari komputer anak saya (Windows 10 dengan perlindungan Windows Defender asli). Komputer putrinya tidak dihidupkan setelah itu. File terutama dienkripsi .jpg dan .cr2. Ekstensi file setelah enkripsi: .aef.


Kami menerima dari sampel pengguna file yang dienkripsi, catatan tebusan, dan file, yang mungkin merupakan kunci yang diperlukan oleh pembuat enkripsi untuk mendekripsi file.

Itu semua petunjuk kami:

  • 01c.aef (4481K)
  • hacked.jpg (254K)
  • hacked.txt (0K)
  • 04c.aef (6540K)
  • pass.key (0K)

Mari kita lihat catatannya. Berapa banyak bitcoin kali ini?

Transfer:
, !
.

0.05 BTC -: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
, pass.key Wulfric@gmx.com .

.

:
buy.blockexplorer.com
www.buybitcoinworldwide.com
localbitcoins.net

:
en.wikipedia.org/wiki/Bitcoin
- , Wulfric@gmx.com
, .

Serigala Pathos, dirancang untuk menunjukkan kepada korban keseriusan situasi. Namun, itu bisa saja lebih buruk.


Ara. 1. -Sebagai bonus, saya akan memberi tahu Anda bagaimana melindungi komputer Anda di masa depan. -Kelihatannya mantap.

II Mulai bekerja


Pertama-tama, kami melihat struktur sampel yang dikirim. Anehnya, itu tidak terlihat seperti file yang menderita enkripsi. Kami membuka hex editor dan mencari. 4 byte pertama berisi ukuran file asli, 60 byte berikutnya diisi dengan nol. Tetapi yang paling menarik adalah di bagian akhir:


Gbr. 2 Menganalisis file yang rusak. Apa yang segera menarik perhatian Anda?

Semuanya ternyata sangat sederhana: 0x40 byte dari header dipindahkan ke akhir file. Untuk memulihkan data, cukup kembalikan ke awal. Akses ke file telah dipulihkan, tetapi nama tetap terenkripsi, dan dengan itu semuanya menjadi lebih rumit.


Ara. 3. Nama terenkripsi di Base64 terlihat seperti kumpulan karakter yang tidak koheren.

Mari kita coba mengurai pass.keydikirim oleh pengguna. Di dalamnya kita melihat urutan karakter 162-byte di ASCII.


Ara. 4. 162 karakter tersisa di PC korban.

Jika Anda melihat lebih dekat, Anda akan melihat bahwa karakter diulangi dengan frekuensi tertentu. Ini mungkin menunjukkan penggunaan XOR, di mana pengulangan adalah karakteristik, frekuensinya tergantung pada panjang kunci. Setelah melanggar garis 6 karakter dan tampil dengan beberapa varian sekuens XOR, kami tidak mencapai hasil yang berarti.


Ara. 5. Lihat konstanta duplikat di tengah?

Kami memutuskan untuk Google konstanta, karena ya, itu juga mungkin! Dan semuanya akhirnya mengarah pada satu algoritma - Enkripsi Batch. Setelah mempelajari skrip, menjadi jelas bahwa baris kami tidak lain adalah hasil kerjanya. Harus disebutkan bahwa ini bukan enkripsi sama sekali, tetapi hanya encoder yang mengganti karakter dengan urutan 6-byte. Tidak ada kunci atau rahasia lain untuk Anda :(


Gbr. 6. Sepotong algoritma asli dari kepengarangan yang tidak diketahui.

Algoritma tidak akan berfungsi sebagaimana mestinya, jika tidak untuk satu detail:


Gbr. 7. Disetujui Morpheus.

Menggunakan substitusi terbalik, kami mengubah string dari pass.key menjadi teks dari 27 karakter. Dari catatan khusus adalah teks (asmodat) manusia (kemungkinan besar)


Gambar 8. USGFDG = 7.

Google akan membantu kami lagi. Setelah pencarian singkat, kami menemukan proyek menarik di GitHub - Folder Locker, ditulis dalam .Net dan menggunakan pustaka 'asmodat' dari akun lain di Gita.


Ara. 9. Antarmuka Folder Locker. Pastikan untuk memeriksa malware.

Utilitas ini adalah enkripsi untuk Windows 7 dan di atasnya, yang didistribusikan open source. Saat mengenkripsi, kata sandi yang diperlukan untuk dekripsi selanjutnya digunakan. Memungkinkan Anda untuk bekerja dengan file individual maupun dengan seluruh direktori.

Perpustakaannya menggunakan algoritma enkripsi Rijndael simetris dalam mode CBC. Perlu dicatat bahwa ukuran blok dipilih sama dengan 256 bit - berbeda dengan yang diadopsi dalam standar AES. Dalam yang terakhir, ukuran dibatasi hingga 128 bit.

Kunci kami dibentuk sesuai dengan standar PBKDF2. Dalam hal ini, kata sandi adalah SHA-256 dari baris yang dimasukkan dalam utilitas. Tetap hanya menemukan baris ini untuk membentuk kunci dekripsi.

Nah, kembali ke kode akses kita yang sudah diterjemahkan . Ingat baris itu dengan serangkaian angka dan teks 'asmodat'? Kami mencoba menggunakan 20 byte pertama dari string sebagai kata sandi untuk Folder Locker.

Lihat, itu berhasil! Kata kode muncul, dan semuanya diuraikan dengan sempurna. Dilihat oleh karakter kata sandi, ini adalah representasi HEX dari kata tertentu di ASCII. Mari kita coba menampilkan kata kode dalam bentuk teks. Kami mendapat ' shadowwolf '. Sudah merasakan gejala lycanthropy?

Mari kita lihat struktur file yang terpengaruh, sekarang mengetahui mekanisme loker:

  • 02 00 00 00 - mode enkripsi nama;
  • 58 00 00 00 - panjang nama file dienkripsi dan disandikan di base64;
  • 40 00 00 00 - ukuran judul yang ditransfer.

Nama terenkripsi itu sendiri dan judul yang ditransfer, masing-masing, disorot dalam warna merah dan kuning.


Ara. 10. Nama terenkripsi disorot dalam warna merah, judul yang ditransfer berwarna kuning.

Sekarang bandingkan nama terenkripsi dan dekripsi dalam representasi heksadesimal.

Struktur data yang didekripsi:

  • 78 B9 B8 2E - sampah yang dibuat oleh utilitas (4 byte);
  • 0 00 00 00 - panjang nama yang didekripsi (12 byte);
  • selanjutnya adalah nama file aktual dan padding dengan nol dengan panjang blok yang diinginkan (padding).


Ara. 11. IMG_4114 terlihat jauh lebih baik.

AKU AKU AKU. Kesimpulan dan Kesimpulan


Kembali ke awal. Kita tidak tahu apa yang penulis dari Wulfric.Ransomware dipandu oleh dan tujuan apa yang dia kejar. Tentu saja, untuk rata-rata pengguna, hasil dari bahkan penyandi seperti itu akan tampak seperti bencana besar. File tidak terbuka. Semua nama hilang. Alih-alih gambar yang biasa - serigala di layar. Mereka membuat saya membaca tentang bitcoin.

Benar, kali ini dengan kedok "encoder yang mengerikan" menyembunyikan upaya konyol dan bodoh untuk memeras, di mana seorang penyerang menggunakan program yang sudah jadi dan meninggalkan kunci tepat di tempat kejadian kejahatan.

Berbicara tentang kunci. Kami tidak memiliki skrip atau trojan berbahaya untuk memahami bagaimana kode pass.key ini berasal- mekanisme untuk penampilan file pada PC yang terinfeksi tetap tidak diketahui. Tapi, saya ingat, dalam catatannya, penulis menyebutkan keunikan kata sandi. Jadi, kata kode untuk dekripsi sama uniknya dengan nama pengguna serigala bayangan adalah unik :)

Namun, serigala bayangan, mengapa dan mengapa?

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles