Как работи wanacrypt ransomware?

Wanacrypt има червеевидни възможности и това означава, че се опитва да се разпространи по мрежата. За да направи това, той използва експлоатацията Eternalblue (MS17-010) с намерението да се разпространи във всички машини, които не са закрепени тази уязвимост.

Индекс на съдържанието

Как работи изкупвачният софтуер на Wanacrypt?

Нещо, което привлича вниманието на този откуп, е, че той не само търси в локалната мрежа на засегнатата машина, но и пристъпва към сканиране на публични IP адреси в интернет.

Всички тези действия се извършват от услугата, която ramsonware инсталира сам след изпълнението му. След като услугата е инсталирана и изпълнена, се създават 2 нишки, които отговарят за процеса на репликация към други системи.

При анализа експертите в тази област са наблюдавали как използва абсолютно същия код, използван от НСА. Единствената разлика е, че те нямат нужда да използват DoublePulsar експлоатацията, тъй като тяхното намерение е просто да се инжектират в LSASS (Local Security Authority Subsystem Service) процеса.

За тези, които не знаят какво е LSASS, именно процесът прави протоколите за сигурност на Windows да работят правилно, така че този процес винаги трябва да се изпълнява. Както можем да знаем, кодът на полезния товар EternalBlue не е променен.

Ако сравните със съществуващите анализи, можете да видите как опкод е идентичен с опкод…

Какво е опкод?

Опкод, или опкод, е фрагмент от инструкция за машинен език, която определя операцията, която трябва да се извърши.

Продължаваме…

И този ransomware прави същите обаждания за функция, за да инжектира най-накрая библиотеките.dll, изпратени в процеса LSASS и да изпълни функцията си „PlayGame“, с която те отново стартират процеса на заразяване на атакуваната машина.

Използвайки експлоатация на код на ядрото, всички операции, извършвани от злонамерен софтуер, имат системни или системни привилегии.

Преди да започне криптирането на компютъра, ransomware проверява съществуването на два мутекса в системата. Мутексът е алгоритъм за взаимно изключване, който служи за предотвратяване на достъп до критичните секции на два процеса в програмата (които са част от кода, където споделеният ресурс може да бъде променен).

Ако съществуват тези два мутекса, той не извършва никакво криптиране:

„Глобален \ MsWinZonesCacheCounterMutexA“

„Глобален \ MsWinZonesCacheCounterMutexW“

От своя страна софтуерът за извличане на данни създава уникален случаен ключ за всеки криптиран файл. Този ключ е 128-битов и използва алгоритъма за криптиране AES, този ключ се съхранява криптиран с публичен RSA ключ в персонализиран заглавка, който ransomware добавя към всички криптирани файлове.

Дешифрирането на файлове е възможно само ако имате RSA частен ключ, съответстващ на публичния ключ, използван за криптиране на AES ключа, използван във файловете.

Случайният ключ AES се генерира с функцията на Windows "CryptGenRandom" в момента, в който той не съдържа известни уязвимости или слабости, така че в момента не е възможно да се разработи никакъв инструмент за декриптиране на тези файлове, без да се знае RSA частният ключ, използван по време на атаката.

Как работи изкупвачният софтуер на Wanacrypt?

За да извърши целия този процес, ransomware създава няколко нишки за изпълнение на компютъра и започва да извършва следния процес за извършване на криптирането на документите:

1. Прочетете оригиналния файл и го копирайте, като добавите разширението.wnryt Създайте произволен ключ AES 128 Шифроване на файла, копиран с AESA Добавяне на заглавка с ключа AES, шифрован с ключа

   публикува RSA, която носи пробата. Презаписва оригиналния файл с това криптирано копие Накрая преименува оригиналния файл с разширението.wnry За всяка директория, която ransomware завърши с криптиране, генерира същите два файла:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Препоръчваме да прочетете основните причини за използване на Windows Defender в Windows 10.