الملف عبارة عن فيروس
ويصنف على انه رانسوم وير أو فيروس الفدية
وذلك لانه يطلب فدية أو فلوس حتى يقوم بعمل Disinfect لجهازك
وليس الرانسوم وير هو ذلك التورجان الذي يغلق الشاشة كما نعتقد جميعا
لا بل هذا يكون تروجان سكرين لوكر من نوع رانسوم وير
وبعض السكرين لوكرز Screen Lockers لا تطلب فدية لألغاء تجميد الشاشة وهي لاتعد رانسوم وير
وهناك مثلا فيروس يمنعك مثلا من الدخول على الفيس بوك أو تويتر ويطلب منك فدية لتستطيع الدخول عليهم
هذا رانسوم وير (من نوع Host\ Domain Blocker)
^
وكذلك فيروس اليوم
الفيروس عبارة عن مشفر ملفات Files Encryptor يقوم بحقن نفسه بملفات الضحية وتشفير أكوادها الى لغة خاصة
تحليل الفيروس:-
الفيروس مشفر بخوارزمية معامل RSA وقد ظهر في الثالث من فبراير 2014 اي منذ بضعة أشهر(ارسل الى فيرس توتو بعد اسبوع تقريبا (6 أيام))
وهو يستعمل دالة PBKDF2 معتمدا على دالة ال Sha -1 لتوليد ال Mac او السريال المستخدم في التشفير
فور تشفير الفيروس يقوم باستخراج ملف في الأبليكيشن داتا C:\Users\Medo\AppData
بأسم
bitcrypt.ccw
ونلاحظ الامتداد .CCW وهو أمتداد يعبر عن ملف يحتوي على ال Salt أو المصفوفة المستخدمة في التشفير
بعد ذلك يقوم الملف باختيار ثلاثة أرقام كل منهم أنديكس index
يعني ثلاثة أرقام يبدأ كل منهم من 0 الى 9 (فترة مغلقة) [9,0]
يعني رقم من 000 الى 999
ممكن 110 ممكن 202 ممكن 909 اي حاجة
بشرط انه يكون مكون من 3 أرقام كل منهم
يبدأ من 0 وينتهي الى 9
أي انه يولد 1000 رقم
بعد ذلك يعوض بهذا الرقم في المصفوفة لانتاج خوارزمية تشفير و رقم Mac ينشئ الأي دي لفك هذةالخوارزمية
يعني لكل رقم طريقة فك لوحده :0
بعد الحصول على MAC من المصفوفة يتم انشاء خوارزمية تشفير من النوع Sha-1 بالاعتماد على الدالة PBKDF2
بعد ذلك يبدا الملف في تشفير جميع الملفات
لكنه يستثني ملفات النظام وذلك لمنع برامج الحماية من اكتشاف هذا السلوك
أيضا تشفير ملفات النظام هذا يعني عدم القدرة على الولوج الى النظام دون معرفة الأي دي
وبالتالي لن يحصل الهاكر على أي شيئ
أيضا بعض ملفات النظام قد تعارض الفيروس ولاتقبل التشفير
وأصلا لايمكن تشفير ملفات النظام ومنع الولوج اليه باستخدام فيروس ألا اذ احصل على صلاحيات عالية
وان يكون التشفير مع بدء النظام وقبل بدء ملفات النظام الأساسية في العمل
(سلوكيات مليانة ستجعله يكتشف بسرعة)
وأثناء ذلك يقوم الفيروس بعمل هوكينج hooking على عمليتي التاسك مانيجر وال RegEdit لمنع المستخدم
من قتله وهذا السلوك هو الذي قد يؤدي الى أكتشافه في حالة ما اذا فتح المستخدم التاسك مانيجر او الريج ايديت
ولو كان الكاسبر موجودا لأكتشفه بالـ PMD التابعة لل SW
والتراست ايضا كان سوف يكتشفه بالـ AI تحت قاعدة الهوكينج
أيضا أتصال الملف بجميع ملفات الضحية سيؤدي بالطبع الى الى أكتشافة بأفشل محللات السلوك
ظاهرة (سلوك الفيروس) وهذا السلوك هو الذي يميز الفيروسات عن باقي انواع المالوير وهي نسخ او حقن نفسها داخل الملفات(قديمة فحت)
بعد ذلك يقوم الملف بانشاء ملف تيكيست متوفر بعدة لغات وفيه رابط لا يعمل الا عن طريق متصفح تور
وفي هذا الرابط تقوم بدفع 4 عملات بت كوين الى الهاكر وهذا يدل على ذكائه
لان استخدامه للعملات العادية سيؤدي الى كشف حسابه
^
ياه أيه الحلاوة دي كمان دعم فني
ناقص يجيبولك شاي و عصير Xx D
بعد الحصول على الأي دي يتم وضعه هنا
بعد ذلك يتم عكس الخوارزمية وعكس التشفير
مع العلم ان الفيروس يستخدم نظام 128 بت للتشفير وليس 1024 كما قال الهاكر
اصلا هذا النظام صعب جدا !
كيف سيبرمجه هاكر كـ هذا
وأصلا الجهاز سيفرقع قبل أن تشفر الملفات به
أي أن هنا
2^128 =X
X =3.402823669 X10^38
(اخي مودي لو بدات التخمين منذ عصر الديناصورات الى الآن لن تجده) ههههه
لذلك لم يكن هناك مفر من الدفع للهكر واخذ الكود والبدء في أختزال الدالة
والتي كلفت الفري 15 ساعة لأختزالها
(محترررفين لو أنا كانت خدت مني يطلع 300 سنة :\)
وأليكم ملخص بسلوكيات البرنامج
1 أنشاء ملف بأسم
bitcrypt.ccw في مجلد %ِAppData% مجلد الابليكيشن داتا
2 أستدعاء Index مكون من 3 أرقام
3 أختزال الـ Set بالتعويض بالـ Index في الـ Array
4 تكوين Mac لتشفير وفك تشفير الملفات
5 البدء في تشفير الملفات
6 عمل هوكينج على التاسك مانيجر والـ regedit لمنعهم من العمل
7 انشاء ملف تيكست يحوي معلومات الهاكر
طيب لاحظنا ان بعض برامج الحماية في الفايرس توتال تعطيه تسمية برنامج حماية كاذب
وذلك لانه ينتحل صفة برنامج سيقوم بفك فيروس انت مصاب به مسبقا بل لدرجه انه قال ان لبرنامج تابع لشركة رسمية وهي شركة Bit Crypt
لذلك فقد انتحل بشكل غير مباشر صفة اداة الحماية
الفيروس انتشر بشكل كبير على الانترنت وللأسف هو لايزال محتكرا لدى شركات الحماية
ومعامل التحليل والتي تتسابق لتقديم الحلول
وقد قدمت العديد من تجمعات الحماية الاجنبية العديد
وعليكم السلام ورحمة الله وبركاته
مساء الياسمين والجوري
لم اصب بمثل هذه النوعية وتوصلت الى بعض الحلول لحذف الاصابة ولا اعلم ولا اجزم بانها فعالة كما ذكر الخبراء
اولا
2- Ctrl+Alt+Del لاستدعاء التاسك مانيجير وابحث عن اي ملف غريب وقم بقتلة End process tree
3- اذهب التيمب وقم بحذف الملفات التي تحمل الاسماء التالية
random.exe
random
4- استدعي محرر الريجستري وابحث عن هذه القيم واحذفها
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
^
ملفات بدء التشغيل
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “CertificateRevocation” = ’0′
ألغاء التحقق الدائم من الشادات
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “WarnonBadCertRecving” = ’0′
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop “NoChangingWallPaper” = ’1′
تغيير الديسك توب ل عرض معلومات الهاكر)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes
” =
‘/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:’
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = ’1′
التعديل في اعدادات النظام الامنية
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System “DisableTaskMgr” = ’1′
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system “DisableTaskMgr” = ’1′
أيقاف التاسك مانيجر
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = ‘no
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main “Use FormSuggest” = ‘yes
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “Hidden” = ’0′
أخفاء الملف
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “ShowSuperHidden” = 0′
أخفاء الملف
ملفات مرتبطة بالاصابه لحذفها
HTML:
%AllUsersProfile%\~
%AllUsersProfile%\~r
%AllUsersProfile%\.dll
%AllUsersProfile%\.exe
%AllUsersProfile%\
%AllUsersProfile%\.exe
%UserProfile%\Desktop\BitCrypt.lnk
%UserProfile%\Start Menu\Programs\BitCrypt\
%UserProfile%\Start Menu\Programs\BitCrypt\Uninstall BitCrypt.lnk
%UserProfile%\Start Menu\Programs\BitCrypt\BitCrypt.lnk
حذف متعلقات الفيروس
هذه الطريقه منقولة لحذف الاصابة يدويا
والله اعلم
هذة الطريقة تقوم (بقطيع ) الفيروس
فلايوجد برنامج يختصر في الأبليكيشن داتا مباشرة
اما الريجستري فبعضه لحذف قيم بدء التشغيل
ودلالة ذا الكود ان العضو صاحبه (قرأت في نفس المقالة) لم يحصل على العينة أنما وضع تلك الاكواد بناء على تحليل
احد مختبرات الحماية
ويعتمد على حذف كل ما يقوم به الفيروس في النظام
أيضا قد تسبب مشاكل للجهاز لاقدر الله
اولا هذا الرانسوم صار مكشوف من كثير من الحمايات خاصه المشهوره
https://www.virustotal.com/fr/file/...ca69cecf2496328b1c700ec1073ad52e99a/analysis/
ثانيا الحل لاسترجاع الملفات المشفره هو باستخدام مفتاح التشفير و الحصول عليه اما من خلال المشفر نفسه او من خلال التخمين
والسؤال ما مدي صعوبه التخمين هنا
يدعي صاحب الرانسوم ان التشفيره باستخدام خوارزميه RSA بطول 1024 وهي بذلك معقده وصعبه للغايه ولم ينجح احد في كسرها الا مجموعه صغيره باحد المعاهد التقنيه واستغرق الامر منهم ما يزيد عن 100 ساعه مع الوضع بالاعتبار مدي قوه وامكانيات الاجهزه التي تم كسر التشفيره عليها
الا ان بعض الباحثين نجحوا في كسر تشفير هذا الرانسوم ووجدوا ان التشفيره بطول 128 بايت وليس كما ادعي صاحب الرانسوم كما ان التشفيره عباره عن ارقام فحسب وليس بها اي حروف او رموز معقده
وقاموا بعمل اسكربت بايثون لاستخدامه لفك تشفير هذه الملفات (الامر قد يستغرق يوما كاملا باستخدام جهاز امكانياته عاليه)
هنا المقاله كامله للباحثين الذين نجحوا في كسر تشفير الرانسوم
http://blog.cassidiancybersecurity.com/post/2014/02/Bitcrypt-broken
سكربتة لفك تشفير احدى الصور في النظام
python ./bitdec.py "Blue hills.jpg.bitcrypt"
[*] Pub key: FRzXsfaUXv2MGBtstNDDXX0OQhQF8luWe+eszngsgYgBOq5E3JcZWQuv94SzOHBOrSSZGh7
[*] Ciphered AES key: 3a86d0605bef536e2e8a531e1e0530f27fb835f1f4daa55c285c3d02dff9332e3ea1ccfa35eec202a1974f316da72d8d70c839fba6
[+] AES Password: _yj^O@1p"CLKfPoK*A{fVm2S0@,G6,s*
[+] Derived AES Key: d5a2bdf7cd03ff2368519840fc1b8d9eb8f542e30a6f34f2
[+] Key is correct
[+] Ciphered text hmac is correct
[+] Decryption done. Output in "Blue hills.jpg.bitcrypt.clear"
وطريقة عمل هذة السكربتة هي تجربة جميع الأيديهات التي أستخرجها الفريق على كل ملف وحدة (وذلك لان كل 1000 جاز له كي مختلف) بالمناسبة ! & Badrana نتعلم بايثون (ادعولنا)
الخلاصة
العلاج موجود لكن غير مضمون
في النهاية
الوقاية خير من العلاج
أنتهى
~
