Get best of the week

Wulfric勒索软件是不存在的加密器

有时人们真的很想研究某种病毒编写者,然后问:为什么以及为什么?我们将处理与问题的回答“如何”自己,但是这将是非常有趣的,以找出什么是恶意软件的创造者通过指导。特别是当我们遇到这样的“珍珠”时。

今天这篇文章的英雄是一位有趣的密码学家。他显然以为是另一种勒索软件,但其技术实现更像是一个恶作剧。今天我们将讨论这种实现。

不幸的是,实际上不可能追踪此编码器的生命周期-编码统计太少,因为幸运的是,它尚未收到分配。因此,我们将起源,感染方法和其他参考资料排除在外。我们只会谈论与Wulfric Ransomware会面的案例,以及我们如何帮助用户保存他的文件。

一开始


经常受到密码学家影响的人会与我们的防病毒实验室联系。无论他们安装了什么防病毒产品,我们都会提供帮助。这次,我们遇到了一个文件被未知编码器删除的人。
下午好!具有无密码输入的文件存储(samba4)中的文件已加密。我怀疑感染来自我女儿的计算机(带有本机Windows Defender保护的Windows 10)。此后,女儿的计算机没有打开。文件主要是加密的.jpg和.cr2。加密后的文件扩展名:.aef。


我们从用户那里收到了加密文件的样本,赎金记录和文件,这可能是加密作者解密文件所需的密钥。

那就是我们所有的线索:

  • 01c.aef(4481K)
  • hacked.jpg(254K)
  • hacked.txt(0K)
  • 04c.aef(6540K)
  • pass.key(0K)

让我们看一下笔记。这次有多少个比特币?

传递:
, !
.

0.05 BTC -: 1ERtRjWAKyG2Edm9nKLLCzd8p1CjjdTiF
, pass.key Wulfric@gmx.com .

.

:
buy.blockexplorer.com
www.buybitcoinworldwide.com
localbitcoins.net

:
en.wikipedia.org/wiki/Bitcoin
- , Wulfric@gmx.com
, .

悲情狼,旨在向受害者展示情况的严重性。但是,情况可能更糟。


图。1.-作为奖励,我将告诉您将来如何保护计算机。-似乎是合法的。

二。开始工作


首先,我们看了发送样本的结构。奇怪的是,它看起来不像是遭受加密器攻击的文件。我们打开十六进制编辑器并查看。前4个字节包含原始文件大小,后60个字节用零填充。但是最有趣的是最后:


图。 2分析损坏的文件。什么立即引起您的注意?

一切都变得很简单:将标头中的0x40字节移到文件末尾。要恢复数据,只需将它们返回到开头即可。恢复了对该文件的访问权限,但名称仍保持加密,因此一切都变得更加复杂。


图。 3. Base64中的加密名称看起来像一个不连贯的字符集。

让我们尝试解析pass.key由用户发送。在其中,我们看到了一个162字节的ASCII字符序列。


图。 4.受害人的PC上还剩下162个字符。

如果仔细观察,您会注意到以一定的频率重复字符。这可能表示使用XOR,其中重复是特征性的,其频率取决于密钥的长度。折断了6个字符的行并执行了XOR序列的某些变体后,我们没有获得任何有意义的结果。


图。 5.看到中间的重复常量?

我们决定对这些常量进行Google搜索,因为是的,这也是可能的!所有这些最终导致了一种算法-批量加密。在研究了脚本之后,很明显,我们的台词不过是其工作的结果。应该提到的是,它根本不是加密器,而仅仅是用6字节序列替换字符的编码器。没有密钥或其他机密供您使用:(


图6.原始作者身份未知的算法的一部分。

如果没有一个细节,该算法将无法正常工作:


图7. Morpheus批准。

使用反向替换,我们将字符串从pass.key转换为文本共27个字符,特别值得注意的是人类(很可能是)文本“ asmodat”(


图8. USGFDG = 7)。

Google会再次帮助我们。简短搜索后,我们在GitHub上找到了一个有趣的项目-Folder Locker,它是用.Net编写的,并使用了Gita上另一个帐户的'asmodat'库。


图。 9. Folder Locker界面。确保检查恶意软件。

该实用程序是Windows 7及更高版本的加密器,它是分布式开放源代码。加密时,使用后续解密所需的密码。使您可以处理单个文件以及整个目录。

她的库在CBC模式下使用对称Rijndael加密算法。值得注意的是,与AES标准相比,选择的块大小等于256位。在后者中,大小限制为128位。

我们的密钥是根据PBKDF2标准形成的。在这种情况下,该实用程序中输入的行的密码为SHA-256。剩下的只是找到这一行来形成解密密钥。

好了,回到我们已经解码的pass.key还记得那条带有一组数字和文字“ asmodat”的行吗?我们尝试使用字符串的前20个字节作为Folder Locker的密码。

看,行得通!代码字出现了,一切都被完美地解密了。从密码字符来看,这是ASCII中特定单词的十六进制表示。让我们尝试以文本形式显示代码字。我们得到了“ 影子狼 ”。已经感觉到巨人症的症状了吗?

让我们再来看一下受影响文件的结构,现在知道了锁柜的机制:

  • 02 00 00 00-名称加密模式;
  • 58 00 00 00-以base64加密和编码的文件名的长度;
  • 40 00 00 00-传输标题的大小。

加密名称本身和传输的标题分别以红色和黄色突出显示。


图。10.加密的名称以红色突出显示,传输的标题为黄色。

现在,以十六进制表示形式比较加密和解密的名称。

解密数据的结构:

  • 78 B9 B8 2E-实用程序创建的垃圾(4个字节);
  • 000 00 00-解密名称的长度(12个字节);
  • 接下来是实际的文件名,并使用零填充到所需的块长度(填充)。


图。11. IMG_4114看起来好多了。

三,结论与结论


回到开始。我们不知道Wulfric.Ransomware的作者受到什么指导以及他追求的目的是什么。当然,对于普通用户而言,即使是这样的加密器,其结果也似乎是一场巨大的灾难。文件无法打开。所有名称都消失了。而不是通常的图片-屏幕上的狼。他们让我读到了有关比特币的信息。

没错,这次以“可怕的编码器”为幌子被掩盖了,这样愚蠢而愚蠢的勒索企图,攻击者使用现成的程序并将密钥留在犯罪现场。

说到按键。我们没有恶意脚本或木马来了解pass.key的起源-在受感染的PC上显示文件的机制仍然未知。但是,我记得在他的笔记中,作者提到了密码的唯一性。因此,用于解密的代码字与“影子狼”用户名是唯一的一样独特:)

但是,“影子狼”为什么以及为什么呢?

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles