Hvordan fungerer wanacrypt ransomware?

Indholdsfortegnelse:

Hvordan fungerer Wanacrypt ransomware?
Hvad er en opcode?
Vi fortsætter ...
Hvordan fungerer Wanacrypt ransomware?

Wanacrypt har ormlignende funktioner, og det betyder, at det forsøger at sprede sig over netværket. For at gøre dette bruger den Eternalblue-udnyttelsen (MS17-010) med det formål at sprede sig til alle maskiner, der ikke har denne sårbarhed rettet.

Indholdsindeks

Hvordan fungerer Wanacrypt ransomware?

Noget, der fanger opmærksomheden ved denne ransomware, er, at den ikke kun søger inden for det lokale netværk af den berørte maskine, men også fortsætter med at scanne offentlige IP-adresser på internettet.

Alle disse handlinger udføres af den service, som ramsonware selv installerer efter dens eksekvering. Når tjenesten er installeret og udført, oprettes 2 tråde, der er ansvarlige for replikationsprocessen til andre systemer.

I analysen har eksperter på området observeret, hvordan den bruger nøjagtigt den samme kode, som NSA bruger. Den eneste forskel er, at de ikke har brug for at bruge DoublePulsar-udnyttelsen, da deres hensigt blot er at sprøjte sig ind i LSASS-processen (Local Security Authority Subsystem Service).

For dem, der ikke ved, hvad LSASS er, er det processen, der får Windows-sikkerhedsprotokoller til at fungere korrekt, så denne proces skal altid udføres. Som vi ved, er EternalBlue nyttelastkoden ikke ændret.

Hvis du sammenligner med eksisterende analyser, kan du se, hvordan opcode er identisk med opcode…

Hvad er en opcode?

En opcode eller opcode er et fragment af en maskinsproginstruktion, der specificerer den handling, der skal udføres.

Vi fortsætter…

Og denne ransomware får de samme funktionskald til endelig at injicere.dll-bibliotekerne, der er sendt i LSASS-processen, og udføre dens "PlayGame" -funktion, som de starter infektionsprocessen igen på den angrebne maskine.

Ved at bruge en kernel-kodeudnyttelse har alle operationer, der udføres af malware, SYSTEM eller systemrettigheder.

Før kodning af computeren starter, verificerer ransomware, om der findes to mutexer i systemet. En mutex er en gensidig ekskluderingsalgoritme, dette tjener til at forhindre to processer i et program i at få adgang til dets kritiske sektioner (som er et stykke kode, hvor en delt ressource kan ændres).

Hvis disse to mutex findes, udfører den ikke nogen kryptering:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Ransomware genererer på sin side en unik tilfældig nøgle til hver krypteret fil. Denne nøgle er 128 bit og bruger AES-krypteringsalgoritmen, denne nøgle holdes krypteret med en offentlig RSA-nøgle i en brugerdefineret header, som ransomware tilføjer til alle krypterede filer.

Dekryptering af filer er kun mulig, hvis du har den private RSA-nøgle, der svarer til den offentlige nøgle, der bruges til at kryptere AES-nøglen, der bruges i filerne.

AES tilfældige nøgle genereres med Windows-funktionen "CryptGenRandom" i øjeblikket den ikke indeholder nogen kendte sårbarheder eller svagheder, så det er i øjeblikket ikke muligt at udvikle noget værktøj til at dekryptere disse filer uden at kende den RSA private nøgle, der blev brugt under angrebet.

Hvordan fungerer Wanacrypt ransomware?

For at udføre al denne proces opretter ransomware adskillige udførelsestråde på computeren og begynder at udføre følgende proces for at udføre krypteringen af dokumenterne:

Læs den originale fil, og kopier den ved at tilføje udvidelsen.wnryt Opret en tilfældig AES 128-nøgle Krypter den fil, der er kopieret med AESA Tilføj en overskrift med nøglen AES, der er krypteret med nøglen

offentliggør RSA, der bærer prøven. Overskriver den originale fil med denne krypterede kopi omdøber endelig den originale fil med udvidelsen.wnry For hvert bibliotek, som ransomware er færdig med at kryptere, genererer det de samme to filer:

@ Please_Read_Me @.txt

@ WanaDecryptor @.exe

Vi anbefaler at læse de vigtigste grunde til at bruge Windows Defender i Windows 10.