Cum funcționează wanacrypt ransomware?

Wanacrypt are capabilități asemănătoare viermilor și asta înseamnă că încearcă să se răspândească în rețea. Pentru a face acest lucru, folosește exploatarea Eternalblue (MS17-010) cu intenția de a se răspândi la toate mașinile care nu au această vulnerabilitate plasată.

Indice de conținut

Cum funcționează Wanacrypt ransomware?

Ceva care atrage atenția acestui ransomware este că acesta nu numai căută în rețeaua locală a mașinii afectate, ci și procedează la scanarea adreselor IP publice de pe internet.

Toate aceste acțiuni sunt realizate de serviciul pe care ramsonware îl instalează însuși după executarea sa. Odată ce serviciul este instalat și executat, sunt create 2 fire care sunt responsabile de procesul de replicare în alte sisteme.

În cadrul analizei, experții în domeniu au observat modul în care acesta utilizează exact același cod folosit de ANS. Singura diferență este că nu au nevoie să utilizeze exploatarea DoublePulsar, deoarece intenția lor este pur și simplu să se injecteze în procesul LSASS (Serviciul Local de Securitate al Autorității de Securitate).

Pentru cei care nu știu ce este LSASS, este procesul care face ca protocoalele de securitate Windows să funcționeze corect, deci acest proces ar trebui să fie întotdeauna executat. După cum știm, codul de sarcină utilă EternalBlue nu a fost modificat.

Dacă comparați cu analizele existente, puteți vedea cum opcode-ul este identic cu opcode-ul…

Ce este un cod de operare?

Un opcode, sau opcode, este un fragment dintr-o instrucțiune de limbaj mașină care specifică operația care trebuie efectuată.

Continuăm…

Și acest ransomware face aceleași apeluri către funcții pentru a injecta în sfârșit bibliotecile.dll trimise în procesul LSASS și executa funcția sa „PlayGame” cu ajutorul căreia pornesc din nou procesul de infecție pe mașina atacată.

Folosind un exploit cu cod de kernel, toate operațiunile efectuate de malware au privilegii SISTEM sau sistem.

Înainte de a începe criptarea computerului, ransomware-ul verifică existența a două mutexe în sistem. Un mutex este un algoritm de excludere reciprocă, acesta servește pentru a împiedica două procese dintr-un program să acceseze secțiunile sale critice (care sunt o bucată de cod unde o resursă partajată poate fi modificată).

Dacă aceste două mutex există, nu efectuează nicio criptare:

„Global \ MsWinZonesCacheCounterMutexA”

„Global \ MsWinZonesCacheCounterMutexW”

Ransomware-ul, la rândul său, generează o cheie aleatorie unică pentru fiecare fișier criptat. Această cheie este de 128 biți și folosește algoritmul de criptare AES, această cheie este păstrată criptată cu o cheie RSA publică într-un antet personalizat pe care ransomware-ul îl adaugă la toate fișierele criptate.

Decriptarea fișierelor este posibilă numai dacă aveți cheia privată RSA corespunzătoare cheii publice utilizate pentru criptarea cheii AES utilizate în fișiere.

Cheia aleatorie AES este generată cu funcția Windows „CryptGenRandom” în acest moment, care nu conține vulnerabilități sau slăbiciuni cunoscute, astfel încât în ​​prezent nu este posibil să se dezvolte niciun instrument pentru a decripta aceste fișiere fără a cunoaște cheia privată RSA folosită în timpul atacului.

Cum funcționează Wanacrypt ransomware?

Pentru a realiza tot acest proces, ransomware-ul creează mai multe fire de execuție pe computer și începe să efectueze următorul proces pentru a efectua criptarea documentelor:

1. Citiți fișierul original și copiați-l adăugând extensia.wnryt Creați o cheie AES 128 aleatorie Criptați fișierul copiat cu AESA Adăugați un antet cu tasta AES criptată cu cheia.

   publică RSA care poartă eșantionul. Suprascrie fișierul original cu această copie criptată În cele din urmă redenumește fișierul original cu extensia.wnry Pentru fiecare director pe care ransomware-ul a terminat-o să îl cripteze, generează aceleași două fișiere:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Vă recomandăm să citiți principalele motive pentru a utiliza Windows Defender în Windows 10.