Ako funguje wanakrypt ransomware?

Obsah:

Ako funguje Wanacrypt ransomware?
Čo je to operačný kód?
Pokračujeme ...
Ako funguje Wanacrypt ransomware?

Wanacrypt má schopnosti podobné červom, čo znamená, že sa snaží šíriť po sieti. Na tento účel využíva exploitáciu Eternalblue (MS17-010) so zámerom rozšíriť ju na všetky počítače, ktoré túto zraniteľnosť nemajú opravenú.

Index obsahu

Ako funguje Wanacrypt ransomware?

Tento ransomware upúta pozornosť nielen toho, že prehľadáva nielen lokálnu sieť postihnutého počítača, ale aj skenuje verejné IP adresy na internete.

Všetky tieto akcie vykonáva služba, ktorú ramsonware sám inštaluje po jej vykonaní. Po nainštalovaní a vykonaní služby sa vytvoria 2 vlákna, ktoré sú zodpovedné za proces replikácie do iných systémov.

V analýze experti v tejto oblasti zistili, ako používa presne ten istý kód, aký používa NSA. Jediný rozdiel je v tom, že nemusia využívať využívanie DoublePulsar, pretože ich zámerom je jednoducho vstúpiť do procesu LSASS (Local Security Authority Subsystem Service).

Pre tých, ktorí nevedia, čo je LSASS, je to proces, vďaka ktorému správne protokoly zabezpečenia systému Windows fungujú, takže tento proces by sa mal vždy vykonať. Ako vieme, kód užitočného zaťaženia EternalBlue sa nezmenil.

Ak porovnáte s existujúcimi analýzami, uvidíte, ako je opcode totožný s opcode…

Čo je to operačný kód?

Operačný kód alebo operačný kód je časť inštrukcie strojového jazyka, ktorá určuje operáciu, ktorá sa má vykonať.

Pokračujeme…

A tento ransomware volá rovnaké funkcie, aby konečne injektoval knižnice.dll odoslané do procesu LSASS a vykonal svoju funkciu "PlayGame", pomocou ktorej znova spustia proces infekcie na napadnutom počítači.

Pri využívaní kódu jadra majú všetky operácie vykonávané škodlivým softvérom privilégiá SYSTEM alebo system.

Pred začatím šifrovania počítača ransomware overí existenciu dvoch mutexov v systéme. Mutex je algoritmus vzájomného vylúčenia, ktorý slúži na to, aby zabránil dvom procesom v prístupe do jeho kritických častí (čo je časť kódu, v ktorej je možné zdieľaný prostriedok modifikovať).

Ak tieto dva mutexy existujú, nevykonáva šifrovanie:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Ransomware generuje jedinečný náhodný kľúč pre každý šifrovaný súbor. Tento kľúč je 128 bitov a používa šifrovací algoritmus AES, tento kľúč je udržiavaný šifrovaný verejným kľúčom RSA vo vlastnej hlavičke, ktorú ransomware pridá do všetkých šifrovaných súborov.

Dešifrovanie súborov je možné iba vtedy, ak máte súkromný kľúč RSA zodpovedajúci verejnému kľúču použitému na šifrovanie kľúča AES použitého v súboroch.

Náhodný kľúč AES sa generuje pomocou funkcie Windows „CryptGenRandom“ v okamihu, keď neobsahuje žiadnu známu zraniteľnosť alebo slabosť, takže v súčasnosti nie je možné vyvinúť žiadny nástroj na dešifrovanie týchto súborov bez znalosti súkromného kľúča RSA použitého pri útoku.

Ako funguje Wanacrypt ransomware?

Aby sa vykonal celý tento proces, ransomware vytvorí v počítači niekoľko vlákien vykonávania a začne vykonávať nasledujúci proces na vykonanie šifrovania dokumentov:

Prečítajte si pôvodný súbor a skopírujte ho pridaním prípony.wnryt Vytvorte náhodný kľúč AES 128 Zašifrujte súbor skopírovaný pomocou AESA Pridajte hlavičku s kľúčom AES zašifrovaným pomocou kľúča

publikuje RSA, ktorá nesie vzorku. Prepíše pôvodný súbor touto šifrovanou kópiou Nakoniec premenuje pôvodný súbor s príponou.wnry Pre každý adresár, ktorý ransomware dokončil šifrovanie, vygeneruje rovnaké dva súbory:

@ Please_Read_Me @.txt

@ WanaDecryptor @.exe

Odporúčame prečítať si hlavné dôvody použitia programu Windows Defender v systéme Windows 10.