Kā darbojas wanacrypt ransomware?

Wanacrypt ir tārpiem līdzīgas iespējas, un tas nozīmē, ka tas mēģina izplatīties tīklā. Lai to izdarītu, tas izmanto Eternalblue exploit (MS17-010) ar nolūku izplatīties uz visām mašīnām, kurām šī ievainojamība nav izlabota.

Satura rādītājs

Kā darbojas Wanacrypt izpirkuma programmatūra?

Kaut kas piesaista šīs ransomware uzmanību, ir tas, ka tā ne tikai meklē skartās mašīnas lokālajā tīklā, bet arī meklē publisku IP adrešu skenēšanu internetā.

Visas šīs darbības veic dienests, kuru pati ramsonware instalē pēc tā izpildes. Kad pakalpojums ir instalēts un izpildīts, tiek izveidoti 2 pavedieni, kas atbild par replikācijas procesu citās sistēmās.

Veicot analīzi, nozares eksperti novēroja, kā tā izmanto tieši to pašu kodu, ko izmantoja NSA. Vienīgā atšķirība ir tā, ka viņiem nav jāizmanto DoublePulsar ekspluatācija, jo viņu mērķis ir vienkārši iepludināt sevi LSASS (vietējās drošības iestādes apakšsistēmas pakalpojums) procesā.

Tiem, kuri nezina, kas ir LSASS, tieši Windows drošības protokoli darbojas pareizi, tāpēc šis process vienmēr jāveic. Kā mēs zinām, EternalBlue kravas kods nav mainīts.

Ja jūs salīdzināt ar esošajām analīzēm, varat redzēt, kā opcode ir identisks opcode…

Kas ir opcode?

Opkods jeb opcode ir mašīnvalodas instrukcijas fragments, kas norāda veicamo darbību.

Mēs turpinām…

Un šī izpirkšanas programmatūra veic tos pašus funkciju izsaukumus, lai beidzot ievadītu LSASS procesā nosūtītās.dll bibliotēkas un izpildītu savu “PlayGame” funkciju, ar kuru viņi atkal sāk infekcijas procesu uzbrukušajā mašīnā.

Izmantojot kodola kodu exploit, visām operācijām, kuras veic ļaunprogrammatūra, ir SISTĒMAS vai sistēmas privilēģijas.

Pirms datora šifrēšanas sākšanas ransomware pārbauda divu mutexes esamību sistēmā. Mutex ir savstarpējas izslēgšanas algoritms, tas kalpo, lai neļautu diviem programmas procesiem piekļūt tās kritiskajām sadaļām (kas ir koda gabals, kurā kopīgu resursu var modificēt).

Ja pastāv šie divi mutex, tas neveic nekādu šifrēšanu:

'Global \ MsWinZonesCacheCounterMutexA'

“Globālā \ MsWinZonesCacheCounterMutexW”

Savukārt ransomware katram šifrētam failam ģenerē unikālu izlases atslēgu. Šī atslēga ir 128 bitu un tajā tiek izmantots AES šifrēšanas algoritms, šī atslēga tiek šifrēta ar publisku RSA atslēgu pielāgotā galvenē, kuru ransomware pievieno visiem šifrētajiem failiem.

Failu atšifrēšana ir iespējama tikai tad, ja jums ir RSA privātā atslēga, kas atbilst publiskajai atslēgai, kuru izmanto, lai šifrētu failos izmantoto AES atslēgu.

AES izlases atslēga tiek ģenerēta ar Windows funkciju "CryptGenRandom" šobrīd tajā nav zināmu ievainojamību vai trūkumu, tāpēc šobrīd nav iespējams izveidot nevienu rīku, kas atšifrētu šos failus, nezinot uzbrukuma laikā izmantoto RSA privāto atslēgu.

Kā darbojas Wanacrypt izpirkuma programmatūra?

Lai veiktu visu šo procesu, izpirkšanas programmatūra izveido vairākus izpildes pavedienus datorā un sāk veikt šādu procesu, lai veiktu dokumentu šifrēšanu:

1. Izlasiet oriģinālo failu un nokopējiet to, pievienojot paplašinājumu.wnryt Izveidojiet nejaušu AES 128 atslēgu. Šifrējiet failu, kas kopēts ar AESA. Pievienojiet galveni ar atslēgas AES šifrētu ar atslēgu.

   publicē RSA, kas nes paraugu. Oriģinālo failu pārraksta ar šo šifrēto kopiju. Visbeidzot pārdēvē oriģinālo failu ar paplašinājumu.wnry. Katrā direktorijā, kuru ransomware ir pabeidzis šifrēšanu, tas ģenerē tos pašus divus failus:

   @ Lūdzu, _Read_Me @.txt

   @ WanaDecryptor @.exe

Mēs iesakām izlasīt galvenos iemeslus Windows Defender lietošanai operētājsistēmā Windows 10.