Hogyan működik a wanacrypt ransomware?

A Wanacrypt féregszerű képességekkel rendelkezik, és ez azt jelenti, hogy megpróbálja elterjedni a hálózaton. Ehhez az Eternalblue exploit-t (MS17-010) használja azzal a szándékkal, hogy minden olyan gépre elterjedjen, amelyeken ez a biztonsági rés nem javítva.

Tartalom index

Hogyan működik a Wanacrypt ransomware?

Ami a ransomware figyelmét felhívja a figyelmet az az, hogy nem csak az érintett gép helyi hálózatán keresi a keresést, hanem a nyilvános IP-címeket is megkeresi az interneten.

Ezeket a műveleteket a szolgáltatás hajtja végre, amelyet a ramsonware telepít a végrehajtás után. A szolgáltatás telepítése és végrehajtása után létrejön 2 szál, amelyek felelnek a más rendszerek replikációs folyamatáért.

Az elemzés során a terület szakértői megfigyelték, hogy pontosan ugyanazt a kódot használja az NSA. Az egyetlen különbség az, hogy nincs szükségük a DoublePulsar kizsákmányolás használatára, mivel célja az, hogy egyszerűen beinjektálják magukat az LSASS (Helyi Biztonsági Hatóság Alrendszer Szolgáltatás) folyamatába.

Azok számára, akik nem tudják, mi az LSASS, a Windows biztonsági protokollok megfelelő működését a folyamat teszi lehetővé, ezért ezt a folyamatot mindig végre kell hajtani. Mint tudjuk, az EternalBlue hasznos teherkódja nem módosult.

Ha összehasonlítja a meglévő elemzésekkel, akkor láthatja, hogy az opcode azonos az opcode-val…

Mi az opód?

Az opcode vagy opcode egy gépi nyelvű utasítás töredéke, amely meghatározza a végrehajtandó műveletet.

Folytatjuk…

És ez a ransomware ugyanazokat a funkcióhívásokat kezdeményezi, amelyek végül befecskendezik az LSASS folyamatban elküldött.dll könyvtárakat, és végrehajtják a „PlayGame” funkciót, amellyel újra megindítják a fertőzés folyamatát a megtámadott gépen.

Kernelkód-exploit használatával a rosszindulatú programok által végrehajtott összes művelethez RENDSZER- vagy rendszerjogosultságok vannak.

A számítógép titkosításának megkezdése előtt a ransomware ellenőrzi, hogy van-e két mutex a rendszerben. A mutex egy kölcsönös kizárási algoritmus, ez arra szolgál, hogy megakadályozza a program két folyamatának a kritikus szakaszaihoz való hozzáférését (amelyek egy kódrész, ahol a megosztott erőforrások módosíthatók).

Ha ez a két mutex létezik, akkor nem végez titkosítást:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

A ransomware a maga részéről egyedi véletlenszerű kulcsot generál minden titkosított fájlhoz. Ez a kulcs 128 bites, és az AES titkosítási algoritmust használja, ezt a kulcsot egy nyilvános RSA-kulccsal titkosítják egy egyéni fejlécben, amelyet a ransomware hozzáad az összes titkosított fájlhoz.

A fájlok visszafejtése csak akkor lehetséges, ha rendelkezik a fájlokban használt AES kulcs titkosításához használt nyilvános kulcsnak megfelelő RSA privát kulccsal.

Az AES véletlenszerű kulcsot a "CryptGenRandom" Windows funkcióval generálják, és jelenleg nem tartalmaz sebezhetőségeket vagy gyengeségeket, így jelenleg nem lehet kifejleszteni semmilyen eszközt ezeknek a fájloknak a visszafejtésére anélkül, hogy tudnák a támadás során használt RSA privát kulcsot.

Hogyan működik a Wanacrypt ransomware?

A folyamat végrehajtása érdekében a ransomware több végrehajtási szálat hoz létre a számítógépen, és elkezdi a következő eljárást végrehajtani a dokumentumok titkosításának végrehajtására:

1. Olvassa el az eredeti fájlt, és másolja a.wnryt kiterjesztés hozzáadásával. Véletlenszerű AES 128 kulcs létrehozása. Titkosítsa az AESA-val másolt fájlt. Adjon hozzá egy fejlécet az AES kulcsmal titkosítva.

   közzéteszi az RSA-t, amely a mintát hordozza.Az eredeti fájlt felülírja ezzel a titkosított példánygal. Végül átnevezi az eredeti fájlt.wnry kiterjesztéssel. Minden olyan könyvtár számára, amelyben a ransomware befejezte a titkosítást, ugyanazt a fájlt hozza létre:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Javasoljuk, hogy olvassa el a Windows Defender használatának fő okait a Windows 10 rendszerben.