• نقاش حول الفايروس الجديد الذي إكتسح العالم BitCrypt وهل هناك حل له؟ موضوع متجدد

قادم غدا باذن الله بتحليل امني رائع وممتع لكل كبيرة صغيرة في الفيروس
+ طريقة التنظيف واستعادة المجلدات

 

الملف عبارة عن فيروس
ويصنف على انه رانسوم وير أو فيروس الفدية
وذلك لانه يطلب فدية أو فلوس حتى يقوم بعمل Disinfect لجهازك
وليس الرانسوم وير هو ذلك التورجان الذي يغلق الشاشة كما نعتقد جميعا
لا بل هذا يكون تروجان سكرين لوكر من نوع رانسوم وير
وبعض السكرين لوكرز Screen Lockers لا تطلب فدية لألغاء تجميد الشاشة وهي لاتعد رانسوم وير
وهناك مثلا فيروس يمنعك مثلا من الدخول على الفيس بوك أو تويتر ويطلب منك فدية لتستطيع الدخول عليهم
هذا رانسوم وير (من نوع Host\ Domain Blocker)
^
وكذلك فيروس اليوم
الفيروس عبارة عن مشفر ملفات Files Encryptor يقوم بحقن نفسه بملفات الضحية وتشفير أكوادها الى لغة خاصة



تحليل الفيروس:-

الفيروس مشفر بخوارزمية معامل RSA وقد ظهر في الثالث من فبراير 2014 اي منذ بضعة أشهر(ارسل الى فيرس توتو بعد اسبوع تقريبا (6 أيام))
وهو يستعمل دالة PBKDF2 معتمدا على دالة ال Sha -1 لتوليد ال Mac او السريال المستخدم في التشفير
فور تشفير الفيروس يقوم باستخراج ملف في الأبليكيشن داتا C:\Users\Medo\AppData
بأسمbitcrypt.ccw
ونلاحظ الامتداد .CCW وهو أمتداد يعبر عن ملف يحتوي على ال Salt أو المصفوفة المستخدمة في التشفير
بعد ذلك يقوم الملف باختيار ثلاثة أرقام كل منهم أنديكس index
يعني ثلاثة أرقام يبدأ كل منهم من 0 الى 9 (فترة مغلقة) [9,0]
يعني رقم من 000 الى 999
ممكن 110 ممكن 202 ممكن 909 اي حاجة
بشرط انه يكون مكون من 3 أرقام كل منهم
يبدأ من 0 وينتهي الى 9
أي انه يولد 1000 رقم
بعد ذلك يعوض بهذا الرقم في المصفوفة لانتاج خوارزمية تشفير و رقم Mac ينشئ الأي دي لفك هذةالخوارزمية
يعني لكل رقم طريقة فك لوحده :0
بعد الحصول على MAC من المصفوفة يتم انشاء خوارزمية تشفير من النوع Sha-1 بالاعتماد على الدالة PBKDF2
بعد ذلك يبدا الملف في تشفير جميع الملفات
لكنه يستثني ملفات النظام وذلك لمنع برامج الحماية من اكتشاف هذا السلوك
أيضا تشفير ملفات النظام هذا يعني عدم القدرة على الولوج الى النظام دون معرفة الأي دي
وبالتالي لن يحصل الهاكر على أي شيئ
أيضا بعض ملفات النظام قد تعارض الفيروس ولاتقبل التشفير
وأصلا لايمكن تشفير ملفات النظام ومنع الولوج اليه باستخدام فيروس ألا اذ احصل على صلاحيات عالية
وان يكون التشفير مع بدء النظام وقبل بدء ملفات النظام الأساسية في العمل
(سلوكيات مليانة ستجعله يكتشف بسرعة)
وأثناء ذلك يقوم الفيروس بعمل هوكينج hooking على عمليتي التاسك مانيجر وال RegEdit لمنع المستخدم
من قتله وهذا السلوك هو الذي قد يؤدي الى أكتشافه في حالة ما اذا فتح المستخدم التاسك مانيجر او الريج ايديت
ولو كان الكاسبر موجودا لأكتشفه بالـ PMD التابعة لل SW
والتراست ايضا كان سوف يكتشفه بالـ AI تحت قاعدة الهوكينج
أيضا أتصال الملف بجميع ملفات الضحية سيؤدي بالطبع الى الى أكتشافة بأفشل محللات السلوك
ظاهرة (سلوك الفيروس) وهذا السلوك هو الذي يميز الفيروسات عن باقي انواع المالوير وهي نسخ او حقن نفسها داخل الملفات(قديمة فحت)
بعد ذلك يقوم الملف بانشاء ملف تيكيست متوفر بعدة لغات وفيه رابط لا يعمل الا عن طريق متصفح تور
وفي هذا الرابط تقوم بدفع 4 عملات بت كوين الى الهاكر وهذا يدل على ذكائه
لان استخدامه للعملات العادية سيؤدي الى كشف حسابه

^
ياه أيه الحلاوة دي كمان دعم فني
ناقص يجيبولك شاي و عصير Xx D

بعد الحصول على الأي دي يتم وضعه هنا


بعد ذلك يتم عكس الخوارزمية وعكس التشفير

مع العلم ان الفيروس يستخدم نظام 128 بت للتشفير وليس 1024 كما قال الهاكر
اصلا هذا النظام صعب جدا !
كيف سيبرمجه هاكر كـ هذا
وأصلا الجهاز سيفرقع قبل أن تشفر الملفات به
أي أن هنا
2^128 =X
X =3.402823669 X10^38
(اخي مودي لو بدات التخمين منذ عصر الديناصورات الى الآن لن تجده) ههههه
لذلك لم يكن هناك مفر من الدفع للهكر واخذ الكود والبدء في أختزال الدالة
والتي كلفت الفري 15 ساعة لأختزالها (محترررفين لو أنا كانت خدت مني يطلع 300 سنة :\)

وأليكم ملخص بسلوكيات البرنامج

1 أنشاء ملف بأسم bitcrypt.ccw في مجلد %ِAppData% مجلد الابليكيشن داتا

2 أستدعاء Index مكون من 3 أرقام

3 أختزال الـ Set بالتعويض بالـ Index في الـ Array

4 تكوين Mac لتشفير وفك تشفير الملفات

5 البدء في تشفير الملفات

6 عمل هوكينج على التاسك مانيجر والـ regedit لمنعهم من العمل

7 انشاء ملف تيكست يحوي معلومات الهاكر




طيب لاحظنا ان بعض برامج الحماية في الفايرس توتال تعطيه تسمية برنامج حماية كاذب

وذلك لانه ينتحل صفة برنامج سيقوم بفك فيروس انت مصاب به مسبقا بل لدرجه انه قال ان لبرنامج تابع لشركة رسمية وهي شركة Bit Crypt

لذلك فقد انتحل بشكل غير مباشر صفة اداة الحماية




الفيروس انتشر بشكل كبير على الانترنت وللأسف هو لايزال محتكرا لدى شركات الحماية
ومعامل التحليل والتي تتسابق لتقديم الحلول
وقد قدمت العديد من تجمعات الحماية الاجنبية العديد

هذة الطريقة تقوم (بقطيع ) الفيروس
فلايوجد برنامج يختصر في الأبليكيشن داتا مباشرة
اما الريجستري فبعضه لحذف قيم بدء التشغيل
ودلالة ذا الكود ان العضو صاحبه (قرأت في نفس المقالة) لم يحصل على العينة أنما وضع تلك الاكواد بناء على تحليل
احد مختبرات الحماية
ويعتمد على حذف كل ما يقوم به الفيروس في النظام
أيضا قد تسبب مشاكل للجهاز لاقدر الله

سكربتة لفك تشفير احدى الصور في النظام

python ./bitdec.py "Blue hills.jpg.bitcrypt"
[*] Pub key: FRzXsfaUXv2MGBtstNDDXX0OQhQF8luWe+eszngsgYgBOq5E3JcZWQuv94SzOHBOrSSZGh7
[*] Ciphered AES key: 3a86d0605bef536e2e8a531e1e0530f27fb835f1f4daa55c285c3d02dff9332e3ea1ccfa35eec202a1974f316da72d8d70c839fba6
[+] AES Password: _yj^O@1p"CLKfPoK*A{fVm2S0@,G6,s*
[+] Derived AES Key: d5a2bdf7cd03ff2368519840fc1b8d9eb8f542e30a6f34f2
[+] Key is correct
[+] Ciphered text hmac is correct
[+] Decryption done. Output in "Blue hills.jpg.bitcrypt.clear"



وطريقة عمل هذة السكربتة هي تجربة جميع الأيديهات التي أستخرجها الفريق على كل ملف وحدة (وذلك لان كل 1000 جاز له كي مختلف) بالمناسبة ! & Badrana نتعلم بايثون (ادعولنا)




الخلاصة
العلاج موجود لكن غير مضمون
في النهاية
الوقاية خير من العلاج
أنتهى
~

 

أنصح الكل باستخدام الكاسبر للدفاع
+ عدم التحميل من مواقع الستريمينج + الكراكات
بالمناسبة رأيت فيروس منذ هذا من قبل
وكان هناك نسخة قديمة منه قامت شركة النورتون بتحليلها وايجاد الثغرات بها
ثم قام الهاكر بترقيع تلك الثغرات
(Thank u Norton)
عموما غدا اجرب هنت عينة له

 

الفيروس مكتشف من جميع الحمايات ولايشكل تهديدا
جربته علی التراست بورت ونجح في التصدي
عيناته متوافرة
في حالة اصابتك افتح موضوع في قسم الصيانة وسوف تتم مساعدتك باذن الله
خصوصا ان ادوات فك التشفير صارت متوافرة
موضوع قديم يغلق