Acronis: HILDACRYPT - нова програма-вимагач завдає удару по системам резервного копіювання та антивірусним рішенням

Acronis повідомив про нові версії шкідливого програмного забезпечення з категорії Ransomware. HILDACRYPT – це нова програма-вимагач, представник виявленого у серпні 2019 року сімейства Hilda, названого на честь мультфільму стрімінгового сервісу Netflix, який був використаний для розповсюдження ПЗ. Сьогодні ми знайомимося з технічними особливостями роботи цього оновленого вірусу-вимагача.

У першій версії здирників Hilda посилання на розміщений на Youtube трейлер мультиплікаційного серіалу містилося в листі про викуп. HILDACRYPT маскується під легітимний установник XAMPP - простий в установці дистрибутив Apache, що включає MariaDB, PHP і Perl. При цьому криптолокер має інше ім'я файлу — xamp. Крім того, файл програми-вимагача не має електронного підпису.

Статичний аналіз

Програма-вимагач міститься у файлі PE32 .NET, написаному під MS Windows. Його розмір складає 135168 байт. Як основний програмний код, і код програми-захисника написані на С#. Згідно з позначкою про дату та час компіляції, двійковий файл було створено 14 вересня 2019 року.

За даними Detect It Easy, вірус-вимагач заархівований за допомогою Confuser і ConfuserEx, але ці обфускатори такі ж, як раніше, тільки ConfuserEx є наступником Confuser, тому сигнатури їх кодів є схожими.

HILDACRYPT дійсно запаковано за допомогою ConfuserEx.

Вектор атаки

Швидше за все, програма-вимагач була виявлена ​​на одному з сайтів, присвячених веб-програмуванню, маскуючись під легітимну програму XAMPP.

Весь ланцюжок зараження можна побачити в app.any.run sandbox.

Обфускація

Рядки програми-вимагача зберігаються у зашифрованому вигляді. При запуску HILDACRYPT розшифровує їх за допомогою Base64 та AES-256-CBC.

Установка

Передусім програма-вимагач створює в %AppData\Roaming% папку, в якій параметр GUID (Globally Unique Identifier) ​​генерується випадковим чином. Додаючи в це розташування bat-файл, вірус-вимагач запускає його за допомогою cmd.exe:cmd.exe

/c \ JKfgkgj3hjgfhjka.bat \ & exit

Потім він починає виконання пакетного скрипту, щоб вимкнути системні функції або служби.

Скрипт містить довгий список команд, за допомогою яких знищуються тіньові копії, відключається SQL-сервер, резервне копіювання та антивірусні рішення.

Після того, як згадані вище служби та процеси відключені, криптолокер збирає інформацію про всі працюючі процеси, використовуючи команду tasklist, щоб переконатися в тому, що всі необхідні служби непрацездатні.
tasklist v /fo csv

Шифрування файлів

HILDACRYPT проходить по всьому знайденому вмісту жорстких дисків, крім папок Recycle.Bin та Reference Assemblies\Microsoft. В останньому містяться критично важливі файли dll, pdb та ін. для додатків .Net, які можуть вплинути на роботу програми-вимагача. Для пошуку файлів, які будуть зашифровані, використовується наступний список розширень:

Інші новини