книги хакеры / журнал хакер / 200_Optimized

Окно стребованием оплаты TeslaCrypt версии 0.4.0 (RSA-2048 написано для устрашения, в реальности используется AES-256-CBC)

Шифрование файлов

TeslaCrypt выбирает для шифрования очень много типов файлов (порядка двухсот), при этом в список попали и типы файлов, связанные с играми (сохранения, пользовательские профили и прочее):

•Bethesda Softworks settings file

•F.E.A.R. 2 game

•Steam NCF Valve Pak

•Call of Duty

•EA Sports

•Unreal 3

•Unity scene

•Assassin’s Creed game

•Skyrim animation

Сама схема шифрования претерпевала изменения от версии к версии. Изначально это была реализация алгоритма AES-256-CBC, с сохранением ключа расшифровки в файле key.dat до конца зашифровывания всех файлов (после шифрования последнего файла этот ключ затирался нулями).

Вболее поздних версиях (в частности, 0.4.0) ключ расшифровки сохранялся в файле storage.bin уже не в открытом виде, а в преобразованном с помощью алгоритма цифровой подписи с эллиптическими кривыми (реализация под названием secp256k1) и после зашифровывания последнего файла затирался случайными байтами.

Впоследних версиях (TeslaCrypt 2.0.0) алгоритм шифрования стал гораздо более совершенным. Скорее всего, авторы этого троя подсмотрели реализацию шифрования у Critroni и практически без изменений перенесли ее в свое творение. Все алгоритмы реализованы с помощью свободно распространяемой библиотеки cryptlib предположительно версии 3.4.1 (в теле локера встречаются строки с названиями файлов исходников из этой библиотеки: bn_lib.c, ec_lid.c, ec_key.c и другие). Отличие реализации алгоритмов в TeslaCrypt от их реализации в CTB-Locker’е в том, что сессионные ключи генерируются не для каждого файла, а для текущей сессии компьютера (до следующей перезагрузки).

Перед шифрованием файлов TeslaCrypt удаляет все системные бекапы (теневые копии) файлов жертвы с помощью команды

vssadmin.exe delete shadows /all /quiet

Необходимую для работы информацию TeslaCrypt 2.0.0 сохраняет в реестре (а не в файлах, как это было ранее). В HKCU\Software\msys\ID сохраняется значение идентификатора троя, а в HKCU\Software\<идентификатор троя>\data сохраняется номер Bitcoin-кошелька, публичный ключ master-public, разделяемый секрет алгоритма ECDH и другая служебная информация (при этом ни master-private, ни session-private нигде не сохраняются).

Vssadmin.exe — это утилита управления службой теневого копирования VSS (Volume Snapshot Service или Volume Shadow Copy Service). Данная служба используется в стандартном процессе восстановления системы и различных программах резервного копирования/архивации данных (Handy Backup, Leo Backup и другие). Некоторые локеры-шифровальщики используют эту утилиту для уничтожения всех созданных теневых копий, что, соответственно, делает невозможным восстановление зашифрованных файлов. Как правило, в этом случае команда выглядит как vssadmin.exe delete shadows /all /quiet, где параметр delete shadows обозначает как раз удаление теневых копий, параметр /all говорит о том, что необходимо удалить все теневые копии, а параметр /quiet указывает, что все действия необходимо провести незаметно для пользователя, без вывода на экран каких-либо сообщений.

Интересная особенность последней версии TeslaCrypt — отказ от GUI-ок- на для вывода сообщения с требованием об оплате и вывод этого сообще-

Служебная информация TeslaCrypt, сохраненная вреестре

Имена командных серверов втеле TorLocker 2.0

Скачивание изапуск tor.exe иpolipo.exe вTorLocker 2.0

Приемы, затрудняющие анализ

Обычно представители этого семейства упакованы UPX, кроме этого, секция данных зашифрована с помощью алгоритма AES с 256-битным ключом (при этом первые четыре байта этого ключа записываются в конец зашифрованных файлов и используются как идентификатор конкретного семпла трояна).

Сам код щедро разбавлен последовательностями ничего не значащих и не выполняемых ни при каких условиях команд (так называемые висячие байты), которые обходятся командой безусловного перехода.

Функция настройки криптоконтейнера вTorLocker 2.0 (до ипосле нее видны «висячие байты»)

При запуске TorLocker создает отдельный поток, который, используя API-функ- ции CreateToolhelp32Snapshot, Process32First и Process32Next, ищет процессы с именами taskmgr.exe, regedit.exe, procexp.exe, procexp64.exe и завершает их.

TORRENTLOCKER

Первые заражения этим локером были зафиксированы в начале февраля 2014 года. Название взято из имени раздела реестра Bit Torrent Application, который создавался первыми версиями этого локера для хранения служебной информации. Данный зловред распространялся исключительно путем спам-рассы- лок зараженных писем.

Шифрование файлов

TorrentLocker шифрует порядка 250 разных типов файлов, что делает невозможным любую продуктивную деятельность на зараженном компьютере. Для шифрования файлов используется алгоритм AES-256-CBC (первые версии использовали алгоритм AES-256-CTR, для всех файлов использовался один и тот же ключ, а также вектор инициализации, что делало алгоритм уязвимым и давало возможность восстановить файлы без материальных затрат).

AES-ключгенерируетсяодинразнаосновезначений,получаемыхотнесколь- ких API-функций (GetTickCount, GetCurrentProcessId, GetCurrentThreadId, GetProcessHeap, GetThreadTimes, GetProcessTimes). После шифрования файлов AES-ключ шифруется публичным ключом RSA, который находится в фай-