Get best of the week

Wulfric Ransomware é um cryptor que não existe

Às vezes, alguém realmente quer investigar algum tipo de criador de vírus e perguntar: por que e por quê? Lidaremos com a resposta para a pergunta "como", mas seria muito interessante descobrir por que o criador do malware foi guiado. Especialmente quando nos deparamos com essas "pérolas".

O herói do artigo de hoje é uma cópia interessante do criptógrafo. Ele pensou, aparentemente, como outro ransomware, mas sua implementação técnica é mais como a piada de alguém. Falaremos sobre essa implementação hoje.

Infelizmente, é praticamente impossível rastrear o ciclo de vida desse codificador - há poucas estatísticas sobre ele, pois, felizmente, ele não recebeu distribuição. Portanto, deixamos de fora a origem, os métodos de infecção e outras referências. Falaremos apenas sobre nosso caso de reunião com o Wulfric Ransomware e como ajudamos o usuário a salvar seus arquivos.

I. Como tudo começou


Nosso laboratório antivírus é frequentemente contatado por pessoas que foram afetadas por criptografadores. Prestamos assistência, independentemente dos produtos antivírus que eles instalaram. Desta vez, fomos abordados por uma pessoa cujos arquivos foram atingidos por um codificador desconhecido.
Boa tarde! Os arquivos no armazenamento de arquivos (samba4) com entrada sem senha foram criptografados. Suspeito que a infecção tenha ocorrido no computador da minha filha (Windows 10 com proteção nativa do Windows Defender). O computador da filha não foi ligado depois disso. Os arquivos são principalmente criptografados .jpg e .cr2. Extensão de arquivo após criptografia: .aef.


Recebemos do usuário amostras de arquivos criptografados, uma nota de resgate e um arquivo, que provavelmente é a chave que o autor da criptografia precisa para descriptografar os arquivos.

Essas são todas as nossas pistas:

  • 01c.aef (4481K)
  • hacked.jpg (254K)
  • hacked.txt (0K)
  • 04c.aef (6540K)
  • pass.key (0K)

Vamos dar uma olhada na nota. Quantos bitcoins dessa vez?

Transferir:
, !
.

0.05 BTC -: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
, pass.key Wulfric@gmx.com .

.

:
buy.blockexplorer.com
www.buybitcoinworldwide.com
localbitcoins.net

:
en.wikipedia.org/wiki/Bitcoin
- , Wulfric@gmx.com
, .

Lobo de Pathos, projetado para mostrar à vítima a seriedade da situação. No entanto, poderia ter sido pior.


FIG. 1. -Como bônus, vou lhe dizer como proteger seu computador no futuro. -Parece legítimo.

II Indo pro trabalho


Primeiro, analisamos a estrutura da amostra enviada. Curiosamente, não parecia um arquivo que sofria de um criptografador. Abrimos o editor hexadecimal e olhamos. Os primeiros 4 bytes contêm o tamanho do arquivo original, os próximos 60 bytes são preenchidos com zeros. Mas o mais interessante está no final: a


fig. 2 Analise o arquivo danificado. O que imediatamente chama sua atenção?

Tudo se tornou ofensivamente simples: 0x40 bytes do cabeçalho foram movidos para o final do arquivo. Para recuperar dados, basta devolvê-los ao início. O acesso ao arquivo foi restaurado, mas o nome permaneceu criptografado e, com ele, tudo ficou mais complicado.


FIG. 3. O nome criptografado no Base64 se parece com um conjunto de caracteres incoerentes.

Vamos tentar analisar pass.keyenviado pelo usuário. Nele, vemos uma sequência de caracteres de 162 bytes em ASCII.


FIG. 4. 162 caracteres restantes no PC da vítima.

Se você olhar atentamente, notará que os caracteres são repetidos com uma certa frequência. Isso pode indicar o uso de XOR, onde as repetições são características, cuja frequência depende do comprimento da tecla. Tendo quebrado uma linha de 6 caracteres e apresentado com algumas variantes das seqüências XOR, não obtivemos nenhum resultado significativo.


FIG. 5. Veja constantes duplicadas no meio?

Decidimos pesquisar no Google as constantes, porque sim, isso também é possível! E todos eles acabaram levando a um algoritmo - Criptografia em Lote. Depois de estudar o roteiro, ficou claro que nossa linha nada mais é do que o resultado de seu trabalho. Deve-se mencionar que esse não é um criptografador, mas apenas um codificador que substitui caracteres por sequências de 6 bytes. Nenhuma chave ou outro segredo para você :(


Fig. 6. Uma parte do algoritmo original de autoria desconhecida.

O algoritmo não funcionaria como deveria, se não fosse um detalhe:


Fig. 7. Morfeu aprovado.

Usando a substituição reversa, transformamos a string de pass.key em texto de 27 caracteres, com destaque para o texto humano (provavelmente) "asmodat".


Fig. 8. USGFDG = 7.

O Google nos ajudará novamente. Após uma breve pesquisa, encontramos um projeto interessante no GitHub - Folder Locker, escrito em .Net e usando a biblioteca 'asmodat' de outra conta no Gita.


FIG. 9. Interface do Folder Locker. Certifique-se de verificar se há malware.

O utilitário é um criptografador para Windows 7 e superior, que é distribuído de código aberto. Ao criptografar, a senha necessária para a descriptografia subsequente é usada. Permite trabalhar com arquivos individuais e com diretórios inteiros.

Sua biblioteca usa o algoritmo de criptografia simétrico de Rijndael no modo CBC. Vale ressaltar que o tamanho do bloco foi escolhido igual a 256 bits - em contraste com o adotado no padrão AES. Neste último, o tamanho é limitado a 128 bits.

Nossa chave é formada de acordo com o padrão PBKDF2. Nesse caso, a senha é SHA-256 da linha inserida no utilitário. Resta apenas encontrar essa linha para formar a chave de descriptografia.

Bem, voltando à nossa senha já decodificada . Lembra daquela linha com um conjunto de números e o texto 'asmodat'? Tentamos usar os primeiros 20 bytes da cadeia de caracteres como a senha do armário de pastas.

Olha, funciona! A palavra código apareceu e tudo foi perfeitamente decifrado. A julgar pelos caracteres da senha, esta é uma representação HEX de uma palavra específica em ASCII. Vamos tentar exibir a palavra de código em forma de texto. Temos ' lobisomem '. Já está sentindo os sintomas da licantropia?

Vamos dar uma outra olhada na estrutura do arquivo afetado, agora conhecendo o mecanismo do armário:

  • 02 00 00 00 - modo de criptografia de nome;
  • 58 00 00 00 - comprimento do nome do arquivo criptografado e codificado em base64;
  • 40 00 00 00 - o tamanho do título transferido.

O próprio nome criptografado e o título transferido, respectivamente, são destacados em vermelho e amarelo.


FIG. 10. O nome criptografado é destacado em vermelho, o título transferido é amarelo.

Agora compare os nomes criptografados e descriptografados na representação hexadecimal.

A estrutura dos dados descriptografados:

  • 78 B9 B8 2E - lixo criado pelo utilitário (4 bytes);
  • 0 00 00 00 - comprimento do nome descriptografado (12 bytes);
  • a seguir, vem o nome do arquivo real e o preenchimento com zeros no comprimento do bloco desejado (preenchimento).


FIG. 11. IMG_4114 parece muito melhor.

III Conclusões e Conclusão


Voltando ao começo. Não sabemos o motivo pelo qual o autor do Wulfric.Ransomware foi guiado e o objetivo que ele buscava. Obviamente, para o usuário médio, o resultado de um desses criptografadores parecerá um grande desastre. Os arquivos não abrem. Todos os nomes se foram. Em vez da imagem usual - um lobo na tela. Eles me fazem ler sobre bitcoins.

É verdade que desta vez, sob o disfarce de um "terrível codificador", foi ocultada uma tentativa tão absurda e estúpida de extorquir, onde um invasor usa programas prontos e deixa as chaves na cena do crime.

Falando em chaves. Não tínhamos um script ou trojan malicioso para entender como esse passe.key se originou- o mecanismo para a aparência do arquivo no PC infectado permanece desconhecido. Mas, lembro-me, em sua nota, o autor mencionou a exclusividade da senha. Portanto, a palavra-código para descriptografia é tão única quanto o nome de usuário do shadow wolf é único :)

E, no entanto, shadow wolf, por que e por quê?

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles