Бросаем вызов CoinVault: пора освободить зашифрованные файлы

Несколько месяцев назад мы опубликовали пост о вредоносной программе CoinVault. Мы рассказали, как разобрали эту программу по кусочкам, чтобы добраться до ее реального, а не обфусцированного кода.

Недавно к нам обратились представители Национального подразделения полиции Нидерландов по расследованию высокотехнологичных преступлений (National High Tech Crime Unit, NHTCU) и Генеральной прокуратуры Нидерландов. Эти организации получили в свое распоряжение базу данных командного сервера CoinVault (содержащую векторы инициализации, ключи и частные кошельки Bitcoin). Соответственно, появилась возможность свести воедино вновь появившиеся данные с теми, что уже были у нас, чтобы совместно ускоренными темпами создать средство расшифровки пользовательских данных.

Мы также создали сайт и запустили информационную кампанию, чтобы довести до сведения жертв атак, что существует потенциальная возможность бесплатной расшифровки их данных.

Чтобы создать инструмент для расшифровки данных, нам нужно было знать ответы на следующие вопросы:

• Какой алгоритм шифрования использовался?
• Какой режим работы блочного шифра применен в данном случае?
• И самый важный вопрос: с какой вредоносной программой мы имеем дело?

Времени на «хардкорный» реверс-инжиниринг, конечно, не было. Поэтому мы первым делом запустили образец вредоносной программы, чтобы понять, для чего она предназначена. Как мы и думали, это оказался наш знакомец – CoinVault. Затем мы открыли исполняемый файл в декомпиляторе и обнаружили, что в этом образце применен тот же метод обфускации, что был описан в упомянутом выше посте. Таким образом, это точно был именно CoinVault. Однако нам по-прежнему было неясно, какой применен алгоритм шифрования и режим работы блочного шифра.

К счастью, в нашем распоряжении есть «песочница»! Она хороша тем, что позволяет не только выполнять вредоносный код, но и наблюдать практически за чем угодно. Можно делать дампы файлов и изменений в реестре, но в данном случае дампы памяти представляли наибольший интерес. По предыдущим образцам CoinVault мы знали, что вредоносная программа использует класс RijndaelManaged, и нужно было просто выполнить поиск этой строки в дампе памяти.

И вот он, искомый результат. Очевидно, по-прежнему используется алгоритм AES, однако размер блока уже не 128, а 256 бит. Кроме того, режим работы блочного шифра изменен с CBC на CFB. Этой информации нам было достаточно для создания средства расшифровки.

Чтобы проверить, существует ли возможность расшифровать ваши файлы бесплатно, пожалуйста, посетите ресурс https://noransom.kaspersky.com