Расшифровка ру: Российский государственный гуманитарный университет —

Base64 обычно используются, когда необходимо кодировать двоичные данные, особенно когда эти данные необходимо хранить и передавать через носители, предназначенные для работы с текстом. Это кодирование помогает гарантировать, что данные останутся нетронутыми без изменений во время транспортировки. Base64 обычно используется в ряде приложений, включая электронную почту через MIME, а также для хранения сложных данных в XML или JSON.

Дополнительные параметры

• Набор символов: В случае текстовых данных схема кодирования не содержит набор символов, поэтому необходимо указать, какой набор символов использовался в процессе кодирования.Обычно это UTF-8, но могут быть и многие другие; если вы не уверены, поэкспериментируйте с доступными вариантами или попробуйте вариант автоматического обнаружения. Эта информация используется для преобразования декодированных данных в набор символов нашего веб-сайта, чтобы все буквы и символы отображались правильно. Обратите внимание, что это не относится к файлам, поскольку к ним не нужно применять веб-безопасные преобразования.
• Декодируйте каждую строку отдельно: Закодированные данные обычно состоят из непрерывного текста, поэтому даже символы новой строки преобразуются в их формы, закодированные в Base64.Перед декодированием из входных данных удаляются все незакодированные пробелы, чтобы защитить целостность входных данных. Эта опция полезна, если вы собираетесь декодировать несколько независимых записей данных, разделенных разрывами строк.
• Режим реального времени: Когда вы включаете эту опцию, введенные данные немедленно декодируются с помощью встроенных функций JavaScript вашего браузера, без отправки какой-либо информации на наши серверы. В настоящее время этот режим поддерживает только набор символов UTF-8.

Все коммуникации с нашими серверами осуществляются через безопасные зашифрованные соединения SSL (https).Мы удаляем загруженные файлы с наших серверов сразу после их обработки, а полученный загружаемый файл удаляется сразу после первой попытки загрузки или 15 минут бездействия (в зависимости от того, что короче). Мы никоим образом не храним и не проверяем содержимое отправленных данных или загруженных файлов. Ознакомьтесь с нашей политикой конфиденциальности ниже для получения более подробной информации.

Совершенно бесплатно

Наш инструмент можно использовать бесплатно. Отныне вам не нужно скачивать какое-либо программное обеспечение для таких простых задач.

Детали кодирования Base64

Base64 — это общий термин для ряда подобных схем кодирования, которые кодируют двоичные данные, обрабатывая их численно и переводя в представление base-64. Термин Base64 происходит от конкретной кодировки передачи контента MIME.

Дизайн

Конкретный выбор символов, составляющих 64 символа, необходимых для Base64, зависит от реализации. Общее правило состоит в том, чтобы выбрать набор из 64 символов, который является одновременно 1) частью подмножества, общего для большинства кодировок, и 2) также пригодным для печати.Эта комбинация оставляет маловероятной возможность изменения данных при передаче через такие системы, как электронная почта, которые традиционно не были 8-битными. Например, реализация MIME Base64 использует A-Z, a-z и 0-9 для первых 62 значений, а также «+» и «/» для последних двух. Другие варианты, обычно производные от Base64, разделяют это свойство, но отличаются символами, выбранными для последних двух значений; примером является безопасный вариант URL и имени файла «RFC 4648 / Base64URL», в котором используются «-» и «_».

Пример

Вот отрывок из «Левиафана» Томаса Гоббса:

» Человек отличается не только своим разумом, но и….. «

Это представлено в виде последовательности ASCII-байт и кодируется в схеме Base64 MIME, как показано ниже:

TWFuIGlzIGRpc3Rpbmd1aXNoZWQsIG5vdCBvbmx5IGJ5IGhpcyByZWFzb24sIGJ1dCAuLi4 =

В приведенных выше цитатах закодированного значение Люди является TWFu закодированных в формате ASCII, то. буквы «M», «a» и «n» хранятся как байты 77, 97, 110, которые эквивалентны «01001101», «01100001» и «01101110» по основанию 2. Эти три байта соединены вместе в 24-битном буфере, создавая двоичную последовательность «010011010110000101101110».Пакеты из 6 бит (6 бит имеют максимум 64 различных двоичных значения) преобразуются в 4 числа (24 = 4 * 6 бит), которые затем преобразуются в соответствующие значения в Base64.

В. А. Анжин, “Защита контента водяными знаками битового потока на этапе расшифровки”, ПДМ. Дискр. Мат. Приложение, 2014, №1. 7, 73–74

Таким образом, даже если шифрование имени файла включено глобально, новые файлы, созданные в папке без шифрования имени файла , также будут иметь без шифрования имени файла из-за наследования свойства шифрования.

Чтобы включить глобальное шифрование имени файла, откройте приложение Boxcryptor , перейдите к Настройки и включите Включить шифрование имени файла .

Существующие файлы без шифрования имен файлов останутся без изменений. Пожалуйста, используйте один из наших настольных клиентов, чтобы активировать шифрование имени файла для ваших существующих файлов.

Программа-вымогатель BlackByte — Pt. 1 Углубленный анализ

Основная функция запутанного Jscript — декодировать основную полезную нагрузку и запустить ее в памяти.Ниже приведен деобфусцированный и улучшенный код:

Полезная нагрузка DLL

Полезная нагрузка представляет собой .NET DLL (управляемый код), который содержит класс с именем jSfMMrZfotrr.

Рис. 3. DLL-файл сборки .NET

Основная цель этой библиотеки DLL следующая:

1. Добавьте файлы с расширениями .JS и .EXE в список исключений Microsoft Defender.
2. Обходить библиотеку DLL Microsoft Antimalware Scan Interface (AMSI), чтобы она не сканировала загруженное вредоносное ПО и не предупреждала пользователя о подозрительной активности .
3. Проверьте наличие следующих библиотек DLL:

    — SbieDll.dll (песочница)         
    — SxIn.dll (песочница Qihoo360)
    — Sf2.dll (Avast Antivirus)
    — snxhk.dll (Avast)
  3.   — cmddllvrt
  3. Интернет

4. Извлеките и расшифруйте основную полезную нагрузку (программу-вымогатель BlackByte) из ресурсов, а затем выполните ее в памяти.

Извлечение основной полезной нагрузки — BlackByte — было непростым делом, поскольку оказалось, что исполняемый двоичный файл зашифрован.

Рис. 4. Двоичный файл Ransomware находится в файле ресурсов сборки .NET с именем GOor.PVT5.

Чтобы упростить и обойти анализ уровня шифрования и обфускации, мы просто запускаем код JScript с помощью команды cscript:

Затем мы запускаем вредоносную сборку .NET в памяти. После этого мы сбросили все сборки .NET, включая расшифрованный BlackByte.NET исполняемый файл. Для этого мы использовали инструмент под названием MegaDumper.

Рисунок 5. Создав дамп файла CSCRIPT.EXE, выполняющего вредоносный сценарий, мы можем создать дамп всех сборок .NET, работающих в его памяти.

Рис. 6. После создания дампа расшифрованные сборки .NET сохраняются на диске, и мы можем приступить к их анализу.

BlackByte: подготовка зараженной системы

Перед шифрованием BlackByte сначала подготавливает систему, чтобы ничто не мешало ей выполнять процедуру шифрования файлов.Во время инициализации вымогатель устанавливает значение основных полей, таких как заметки о выкупе, расширение зашифрованного файла, криптографическая соль, имя ОС и другие. Затем генерируется идентификация жертвы путем объединения идентификатора процессора зараженной системы и серийного номера тома и их хеширования с помощью MD5. Программа-вымогатель создает мьютекс с именем Global\1f07524d-fb13-4d5e-8e5c-c3373860df25 и прекращает работу, если этот мьютекс уже существует.

Рисунок 7

После этого он проверяет, есть ли языковой стандарт системы в списке языковых кодов, как показано ниже.Если системный язык по умолчанию есть в списке, BlackByte завершает работу:

Вымогатель также устанавливает свой класс приоритета процесса выше обычного и использует API SetThreadExecutionState , чтобы предотвратить переход системы в спящий режим.Затем он удаляет приложения и завершает процессы, которые могут помешать шифрованию целевых файлов. Ниже приведены действия, которые он выполняет в системе:

Перечисляет раздел реестра:

Затем удаляются следующие подразделы:

1. vssadmin.exe
2. wbadmin.exe
3. bcdedit.exe
4. пауэршелл.исполняемый файл
5. diskshadow.exe
6. net.exe
7. тасккилл.exe
8. wmic.exe

BlackByte завершает работу Raccine, утилиты для защиты от программ-вымогателей, и удаляет ее из зараженной системы, выполнив команду:

Он также удаляет все ключи реестра, связанные с Raccine, включая:

Он запускает серию команд SC для отключения списка служб:

Он также обеспечивает следующие услуги:

Он использует RmShutdown API Microsoft Restart Manager для завершения следующих процессов:

Также выполняются следующие команды, работающие за пределами земли, для удаления всех теневых копий на всех томах, удаления точек восстановления Windows, отключения контролируемого доступа к папкам, включения сетевого обнаружения, предоставления «всем» полного доступа к целевым дискам, удалите корзину, включите общий доступ к файлам и принтерам и включите протокол SMB1.

 icacls.exe" "<БУКВА ДИСКА>:*" /grant Everyone:F /T /C /Q 

Программа-вымогатель устанавливает следующие параметры реестра для повышения локальных привилегий, подключения подключенных дисков, включения длинных путей:

BlackByte использует файл mountvol.exe для монтирования имен томов и использования инструмента Microsoft Discretionary Access Control List — icacls.exe, чтобы предоставить группе «Все» полный доступ к корню диска.

BlackByte: червь

Эта программа-вымогатель также может быть червем. Сначала он проверяет, существует ли файл %AppData%\. Если этот файл не существует, это означает, что программа-вымогатель еще не заразила сеть.

Рис. 8. После создания дампа расшифрованные сборки .NET сохраняются на диске, и мы можем начать их анализ.

Когда функция червя вызывается, она сначала спит в течение 10 секунд, а затем запрашивает не менее 1000 имен хостов в домене из активного каталога.

Рисунок 9: Чтобы получить все имена компьютеров в сети, BlackByte пытается получить значение по умолчаниюNamingContext из RootDSE с сервера Active Directory, затем фильтрует объекты в Active Directory, идентифицируя их как компьютеры, и извлекает до 1000 записей.

Он перечисляет возвращенную запись имен хостов, отправляет магический пакет пробуждения по локальной сети, а затем проверяет связь с целевыми хостами, чтобы убедиться, что они живы. Ниже приведена процедура червя и поток выполнения:

Рис. 10. Схема выполнения программы-червя

Затем BlackByte заражает хост, копируя себя по пути \c$\Users\Public\obamka.js (если у него есть права администратора) или \Users\Public\obamka.js, а затем создает запланированная задача на удаленном хосте для выполнения файла.

  расшифровка секрета werf helm [опции]
  

  # Расшифровать данные в интерактивном режиме
  Расшифровка секрета $ werf helm
  Введите секрет:
  контрольная работа

  # Расшифровать из канала
  $ cat .helm/secret/date | Расшифровка секрета werf helm
  Вт, 26 июня, 09:58:10 PDT 1990
  

  $WERF_SECRET_KEY Использовать указанный секретный ключ для извлечения секретов для развертывания.Рекомендуемый способ
                    установить секретный ключ в CI-системе.
                    
                    Секретный ключ также может быть определен в файлах:
                    * ~/.werf/global_secret_key (глобально),
                    * .werf_secret_key (для каждого проекта)
  

  --каталог=''
            Использовать пользовательский рабочий каталог (по умолчанию $WERF_DIR или текущий каталог)
  -h, --help=ложь
            помогите расшифровать
      --home-каталог=''
            Используйте указанный каталог для хранения файлов и каталогов кеша werf (по умолчанию $WERF_HOME или ~/.верф)
      --log-color-mode='авто'
            Установите цветовой режим журнала.
            Поддерживается вкл., выкл. и автоматически (на основе файлового дескриптора stdout, ссылающегося на
            терминал) режимы.
            По умолчанию $WERF_LOG_COLOR_MODE или автоматический режим.
      --log-отладка = ложь
            Включить отладку (по умолчанию $WERF_LOG_DEBUG).
      --log-красиво = правда
            Включить эмодзи, автоматический перенос строк и границу процесса журнала (по умолчанию $WERF_LOG_PRETTY или
            истинный).
      --log-quiet=false
            Отключить пояснительный вывод (по умолчанию $WERF_LOG_QUIET).--log-terminal-width=-1
            Установите ширину терминала журнала.
            По умолчанию:
            * $WERF_LOG_TERMINAL_WIDTH
            * ширина интерактивного терминала или 140
      --log-verbose=ложь
            Включить подробный вывод (по умолчанию $WERF_LOG_VERBOSE).
  -o, --output-file-path=''
            Запись в файл вместо stdout
      --tmp-каталог=''
            Использовать указанный каталог для хранения файлов и каталогов tmp (по умолчанию $WERF_TMP_DIR или системный каталог tmp)