Jak funguje wanakrypt ransomware?

Obsah:

Jak funguje Wanacrypt ransomware?
Co je to operační kód?
Pokračujeme ...
Jak funguje Wanacrypt ransomware?

Wanacrypt má schopnosti podobné červům, což znamená, že se snaží šířit po síti. K tomu používá exploit Eternalblue (MS17-010) s úmyslem rozšířit se na všechny počítače, které tuto chybu zabezpečení nemají opravenou.

Index obsahu

Jak funguje Wanacrypt ransomware?

Něco, co upoutá pozornost tohoto ransomwaru, je to, že nejen vyhledává v místní síti postiženého počítače, ale také skenuje veřejné IP adresy na internetu.

Všechny tyto akce jsou prováděny službou, kterou ramsonware sám nainstaluje po jeho spuštění. Po instalaci a spuštění služby se vytvoří 2 vlákna, která mají na starosti proces replikace do jiných systémů.

V analýze odborníci v této oblasti pozorovali, jak používá přesně stejný kód, jaký používá NSA. Jediný rozdíl je v tom, že nemusí využívat využití DoublePulsar, protože jejich záměrem je jednoduše vstoupit do procesu LSASS (Local Security Authority Subsystem Service).

Pro ty, kteří nevědí, co je LSASS, je to proces, který způsobuje, že bezpečnostní protokoly Windows pracují správně, takže tento proces by měl být vždy proveden. Jak můžeme vědět, kód užitečného zatížení EternalBlue se nezměnil.

Pokud porovnáte s existujícími analýzami, uvidíte, jak je operační kód totožný s operačním kódem…

Co je to operační kód?

Operační kód nebo operační kód je část instrukce strojového jazyka, která určuje operaci, která má být provedena.

Pokračujeme…

A tento ransomware provede stejné volání funkcí, aby konečně injektoval knihovny DLL odeslané v procesu LSASS a provedl jeho funkci „PlayGame“, pomocí které znovu zahájí proces infekce na napadeném počítači.

Při využití kódu jádra mají všechny operace prováděné malwarem oprávnění SYSTEM nebo system.

Před zahájením šifrování počítače ransomware ověří existenci dvou mutexů v systému. Mutex je algoritmus vzájemného vyloučení, který slouží k tomu, aby zabránil dvěma procesům v programu v přístupu ke svým kritickým částem (což je část kódu, ve kterém lze sdílený prostředek modifikovat).

Pokud tyto dva mutexy existují, neprovádí žádné šifrování:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Ransomware generuje jedinečný náhodný klíč pro každý šifrovaný soubor. Tento klíč má 128 bitů a používá šifrovací algoritmus AES. Tento klíč je šifrován veřejným klíčem RSA ve vlastní hlavičce, kterou ransomware přidává ke všem šifrovaným souborům.

Dešifrování souborů je možné pouze v případě, že soukromý klíč RSA odpovídá veřejnému klíči použitému k šifrování klíče AES použitého v souborech.

Náhodný klíč AES je generován pomocí funkce Windows „CryptGenRandom“ v okamžiku, kdy neobsahuje žádné známé chyby nebo slabiny, takže v současné době není možné vyvinout žádný nástroj pro dešifrování těchto souborů bez znalosti soukromého klíče RSA použitého při útoku.

Jak funguje Wanacrypt ransomware?

Aby bylo možné provést tento proces, vytvoří ransomware v počítači několik podprocesů a za účelem šifrování dokumentů začne provádět následující proces:

Přečtěte si původní soubor a zkopírujte jej přidáním přípony.wnryt Vytvořte náhodný klíč AES 128 Zašifrujte soubor zkopírovaný pomocí AESA Přidejte záhlaví s klíčem AES zašifrovaným klíčem

publikuje RSA, která nese ukázku. Přepíše původní soubor touto šifrovanou kopií Nakonec přejmenuje původní soubor s příponou.wnry Pro každý adresář, který ransomware dokončil šifrování, vygeneruje stejné dva soubory:

@ Please_Read_Me @.txt

@ WanaDecryptor @.exe

Doporučujeme přečíst hlavní důvody použití programu Windows Defender v systému Windows 10.