Kako deluje Wanacrypt odkupna programska oprema?

Kazalo:

Kako deluje odkupna programska oprema Wanacrypt?
Kaj je opcode?
Nadaljujemo ...
Kako deluje odkupna programska oprema Wanacrypt?

Wanacrypt ima črvi podobne zmogljivosti, kar pomeni, da se poskuša širiti po omrežju. Da bi to naredil, uporablja izkoriščanje Eternalblue (MS17-010) z namenom, da se razširi na vse stroje, ki nimajo zakrpljenosti te ranljivosti.

Kazalo vsebine

Kako deluje odkupna programska oprema Wanacrypt?

Nekaj, kar pritegne pozornost te izsiljevalne programske opreme, je, da ne išče samo v lokalni mreži prizadetega stroja, ampak tudi nadaljuje s pregledovanjem javnih naslovov IP na internetu.

Vsa ta dejanja izvaja storitev, ki jo ramsonware namesti sam po izvedbi. Ko je storitev nameščena in izvedena, se ustvarita 2 niti, ki sta zadolžena za postopek podvajanja v druge sisteme.

Strokovnjaki na terenu so med analizo opazili, kako uporablja popolnoma isto kodo, ki jo uporablja NSA. Edina razlika je v tem, da jim ni treba uporabljati izkoriščanja DoublePulsar, saj je njihov namen preprosto vstaviti sebe v postopek LSASS (Local Security Authority Service System).

Za tiste, ki ne vedo, kaj je LSASS, je postopek, zaradi katerega varnostni protokoli Windows delujejo pravilno, zato je treba ta postopek vedno izvajati. Kot vemo, koda bremena EternalBlue ni bila spremenjena.

Če primerjate z obstoječimi analizami, lahko vidite, kako je opcode enak opcode…

Kaj je opcode?

Opcode ali opcode je del navodila strojnega jezika, ki določa operacijo, ki jo je treba izvesti.

Nadaljujemo…

In ta ransomware izvede iste funkcije, da končno vbrizga knjižnice.dll, poslane v postopku LSASS in izvede svojo funkcijo "PlayGame", s katero začnejo postopek okužbe znova na napadenem stroju.

Z uporabo izkoriščanja jedrne kode imajo vse operacije, ki jih izvaja zlonamerna programska oprema, sistemske ali sistemske privilegije.

Preden začnete šifriranje računalnika, ransomware preveri obstoj dveh mutexov v sistemu. Mutex je algoritem za medsebojno izključitev, ki preprečuje dostop do dveh procesov v programu do njegovih kritičnih odsekov (ki so del kode, kjer je mogoče spremeniti skupni vir).

Če ta dva muteksa obstajata, ne izvaja nobene šifriranja:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Sicer pa programska oprema ustvari edinstven naključni ključ za vsako šifrirano datoteko. Ta ključ je 128 bitov in uporablja algoritem za šifriranje AES, ta ključ se šifrira z javnim ključem RSA v glavi po meri, ki ga ransomware doda vsem šifriranim datotekam.

Dešifriranje datotek je možno le, če imate zasebni ključ RSA, ki ustreza javnemu ključu, ki se uporablja za šifriranje ključa AES, ki se uporablja v datotekah.

Naključni ključ AES je ustvarjen s funkcijo Windows "CryptGenRandom", trenutno ne vsebuje nobenih znanih ranljivosti ali slabosti, zato trenutno ni mogoče razviti nobenega orodja za dešifriranje teh datotek, ne da bi poznali zasebni ključ RSA, uporabljen med napadom.

Kako deluje odkupna programska oprema Wanacrypt?

Da bi izvedli ves ta postopek, ransomware ustvari več izvedbenih niti v računalniku in začne izvajati naslednji postopek za šifriranje dokumentov:

Preberite izvirno datoteko in jo kopirajte tako, da dodate pripono.wnryt Ustvarite naključno tipko AES 128 Šifrirajte datoteko, kopirano z AESA Dodajte glavo s ključem AES, šifriran s tipko

objavi RSA, ki nosi vzorec. Prepisuje prvotno datoteko s to šifrirano kopijo Končno preimenuje izvirno datoteko s pripono.wnry Za vsak imenik, ki ga je ransomware končal s šifriranjem, ustvari isti dve datoteki:

@ Prosim_Read_Me @.txt

@ WanaDecryptor @.exe

Priporočamo, da preberete glavne razloge za uporabo programa Windows Defender v sistemu Windows 10.