Kako funkcionira wanacrypt ransomware?

Sadržaj:

Kako radi Wanacrypt ransomware?
Što je opcode?
Nastavljamo ...
Kako radi Wanacrypt ransomware?

Wanacrypt ima mogućnosti poput crva, a to znači da se pokušava širiti mrežom. Da bi to učinio, koristi Eternalblue exploit (MS17-010) s namjerom da se proširi na sve strojeve koji nemaju zakrpljenost ove ranjivosti.

Sadržaj indeks

Kako radi Wanacrypt ransomware?

Nešto što privlači pažnju ovog ransomwarea jest to da ne samo da pretražuje unutar lokalne mreže pogođenog stroja, već nastavlja skenirati javne IP adrese na internetu.

Sve ove radnje provodi servis koji sam ramsonware instalira nakon izvršenja. Jednom kada se usluga instalira i izvrši, stvaraju se 2 niti koje su zadužene za proces replikacije u druge sustave.

U analizi su stručnjaci na terenu primijetili kako se koristi potpuno isti kod koji koristi NSA. Jedina je razlika što oni nemaju potrebu koristiti DoublePulsar iskorištavanje jer je njihova namjera jednostavno ubacivanje sebe u proces LSASS (Lokalna sigurnosna služba).

Za one koji ne znaju što je LSASS, postupak zaštite Windows funkcionira ispravno, tako da ovaj postupak uvijek treba izvršiti. Kao što znamo, kod EternalBlue korisnog opterećenja nije izmijenjen.

Ako usporedite s postojećim analizama, možete vidjeti kako je opcode identičan opcode-u…

Što je opcode?

Opcode, odnosno opcode, ulomak je strojne upute za jezik koja određuje operaciju koju treba izvesti.

Nastavljamo…

A ovaj ransomware upućuje na istu funkciju poziva da konačno ubrizga.dll knjižnice poslane u LSASS procesu i izvrši svoju "PlayGame" funkciju kojom ponovno pokreću proces infekcije na napadnutom računalu.

Korištenjem iskorištavanja kernel-koda, sve operacije koje provodi zlonamjerni softver imaju SYSTEM ili sistemske povlastice.

Prije pokretanja šifriranja računala, ransomware provjerava postojanje dvaju mutexa u sustavu. Mutex je algoritam uzajamne isključenosti koji služi za sprečavanje dva procesa u programu da pristupe kritičnim dijelovima (koji su dio koda gdje se zajednički resurs može mijenjati).

Ako ta dva muteksa postoje, ne provodi nikakvo šifriranje:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Sa svoje strane, ransomware stvara jedinstveni slučajni ključ za svaku šifriranu datoteku. Ovaj je ključ 128bit i koristi algoritam šifriranja AES, taj se ključ čuva šifriran javnim RSA ključem u prilagođenom zaglavlju koje ransomware dodaje svim šifriranim datotekama.

Dešifriranje datoteka moguće je samo ako imate RSA privatni ključ koji odgovara javnom ključu koji se koristi za šifriranje AES ključa koji se koristi u datotekama.

AES slučajni ključ generira se sa Windows funkcijom "CryptGenRandom" trenutno ne sadrži poznate ranjivosti ili slabosti, tako da trenutno nije moguće razviti nijedan alat za dešifriranje ovih datoteka bez poznavanja RSA privatnog ključa koji se koristio tijekom napada.

Kako radi Wanacrypt ransomware?

Da bi izveo sav taj postupak, ransomware stvara nekoliko izvršnih niti na računalu i započinje sljedeći postupak za šifriranje dokumenata:

Pročitajte originalnu datoteku i kopirajte je dodavanjem ekstenzije.wnryt Stvaranje slučajne tipke AES 128 Šifrirajte datoteku kopiranu s AESA Dodajte zaglavlje s ključem AES šifriran ključem

objavljuje RSA koji nosi uzorak. Prepisuje izvornu datoteku s ovom šifriranom kopijom Konačno preimenuje izvornu datoteku s nastavkom.wnry Za svaki direktorij koji je ransomware završio šifriranjem generira iste dvije datoteke:

@ Molimo_Read_Me @.txt

@ WanaDecryptor @.exe

Preporučujemo da pročitate glavne razloge za korištenje programa Windows Defender u sustavu Windows 10.