Hvordan fungerer wanacrypt ransomware?

Wanacrypt har ormlignende evner, og dette betyr at den prøver å spre seg over nettverket. For å gjøre dette bruker den Eternalblue exploit (MS17-010) med den hensikt å spre seg til alle maskiner som ikke har denne sårbarheten oppdatert.

Innholdsindeks

Hvordan fungerer Wanacrypt ransomware?

Noe som fanger oppmerksomheten til denne ransomware er at den ikke bare søker i det lokale nettverket til den berørte maskinen, men også fortsetter med å skanne offentlige IP-adresser på internett.

Alle disse handlingene utføres av tjenesten som ramsonware selv installerer etter utførelsen. Når tjenesten er installert og utført, opprettes 2 tråder som er ansvarlige for replikasjonsprosessen til andre systemer.

I analysen har eksperter på området observert hvordan den bruker nøyaktig den samme koden som ble brukt av NSA. Den eneste forskjellen er at de ikke har behov for å bruke DoublePulsar-utnyttelsen, siden deres hensikt bare er å injisere seg i LSASS-prosessen (Local Security Authority Subsystem Service).

For de som ikke vet hva LSASS er, er det prosessen som får Windows-sikkerhetsprotokoller til å fungere riktig, så denne prosessen bør alltid utføres. Som vi vet, har EternalBlue nyttelastkode ikke blitt endret.

Hvis du sammenligner med eksisterende analyser, kan du se hvordan opcode er identisk med opcode…

Hva er en opcode?

En opcode, eller opcode, er et fragment av en maskinspråkinstruksjon som spesifiserer operasjonen som skal utføres.

Vi fortsetter…

Og dette løseprogrammet gjør at de samme funksjonene ringer for å endelig injisere.dll-bibliotekene som er sendt i LSASS-prosessen og utføre sin "PlayGame" -funksjon som de starter infeksjonsprosessen på igjen på den angrepne maskinen.

Ved å bruke en kjerne-kodeutnyttelse, har alle operasjoner som utføres av skadelig programvare SYSTEM eller systemrettigheter.

Før kodingen av datamaskinen starter, bekrefter ransomware eksistensen av to mutexer i systemet. En mutex er en gjensidig eksklusjonsalgoritme, dette tjener til å forhindre at to prosesser i et program får tilgang til dets kritiske seksjoner (som er et stykke kode der en delt ressurs kan modifiseres).

Hvis disse to mutexene eksisterer, utfører den ingen kryptering:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Ransomware, på sin side, genererer en unik tilfeldig nøkkel for hver kryptert fil. Denne nøkkelen er 128 bit og bruker AES-krypteringsalgoritmen, denne nøkkelen holdes kryptert med en offentlig RSA-nøkkel i en tilpasset header som ransomware legger til alle krypterte filer.

Dekryptering av filer er bare mulig hvis du har den private RSA-nøkkelen som tilsvarer den offentlige nøkkelen som brukes til å kryptere AES-nøkkelen som brukes i filene.

Den tilfeldige AES-nøkkelen genereres med Windows-funksjonen "CryptGenRandom" for øyeblikket den ikke inneholder noen kjente sårbarheter eller svakheter, så det er foreløpig ikke mulig å utvikle noe verktøy for å dekryptere disse filene uten å kjenne til RSAs private nøkkel som ble brukt under angrepet.

Hvordan fungerer Wanacrypt ransomware?

For å utføre all denne prosessen oppretter ransomware flere utførelsestråder på datamaskinen og begynner å utføre følgende prosess for å utføre kryptering av dokumentene:

1. Les den originale filen og kopier den ved å legge til utvidelsen.wnryt Opprett en tilfeldig AES 128-nøkkel Krypter filen som er kopiert med AESA Legg til en overskrift med nøkkelen AES kryptert med nøkkelen

   publiserer RSA som bærer prøven. Overskriver originalfilen med denne krypterte kopien Endelig gir nytt navn til originalfilen med utvidelsen.wnry For hver katalog som ransomware er ferdig med å kryptere genererer den de samme to filene:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Vi anbefaler å lese de viktigste grunnene til å bruke Windows Defender i Windows 10.