Kuinka wanacrypt lunastusohjelma toimii?

Wanacryptillä on matomaisia ​​ominaisuuksia ja tämä tarkoittaa, että se yrittää levitä verkossa. Tätä varten se käyttää Eternalblue-hyväksikäyttöä (MS17-010) tarkoituksena levittää kaikkiin koneisiin, joissa tätä haavoittuvuutta ei ole korjattu.

Sisällysluettelo

Kuinka Wanacrypt lunnaohjelma toimii?

Joku, joka kiinnittää tämän lunaohjelmiston huomion, on se, että se ei vain etsi kyseisen koneen paikallisesta verkosta, vaan myös etsii julkisia IP-osoitteita Internetissä.

Kaikkien näiden toimien suorittaa palvelu, jonka ramsonware itse asentaa suorituksen jälkeen. Kun palvelu on asennettu ja suoritettu, luodaan 2 säiettä, jotka vastaavat toisinnusprosessista muihin järjestelmiin.

Alan asiantuntijat ovat analyysissä havainneet, kuinka se käyttää täsmälleen samaa koodia, jota NSA käyttää. Ainoa ero on, että heillä ei ole tarvetta käyttää DoublePulsar-hyväksikäyttöä, koska heidän tarkoituksena on vain injektoida itseään LSASS (Local Security Authority Subsystem Service) -prosessiin.

Niille, jotka eivät tiedä mitä LSASS on, se on prosessi, joka saa Windows-suojausprotokollat ​​toimimaan oikein, joten tämä prosessi tulisi aina suorittaa. Kuten voimme tietää, EternalBlue-hyötykuvakoodia ei ole muutettu.

Jos vertaat olemassa oleviin analyyseihin, näet kuinka opcode on identtinen opcode: n kanssa…

Mikä on opkoodi?

Opcode tai opcode on fragmentti konekielisestä käskystä, joka määrittelee suoritettavan toiminnan.

Jatkamme…

Ja tämä ransomware tekee samat toimintopuhelut LSASS-prosessissa lähetettyjen.dll-kirjastojen lopulliseen injektioon ja "PlayGame" -toiminnon suorittamiseen, jonka avulla ne aloittavat tartuntaprosessin uudelleen hyökkäävässä koneessa.

Käyttämällä ytimen koodin hyväksikäyttöä kaikilla haittaohjelmien suorittamilla toimilla on JÄRJESTELMÄ- tai järjestelmäoikeudet.

Ennen tietokoneen salauksen aloittamista ransomware tarkistaa kahden mutexin olemassaolon järjestelmässä. Mutex on keskinäinen poissulkemisalgoritmi, jonka tarkoituksena on estää kahta ohjelman prosessia pääsemästä sen kriittisiin osiin (jotka ovat koodinpätkä, jossa jaettua resurssia voidaan muokata).

Jos näitä kahta mutexia on olemassa, se ei suorita mitään salausta:

'Global \ MsWinZonesCacheCounterMutexA'

'Globaali \ MsWinZonesCacheCounterMutexW'

Lunastusohjelma puolestaan ​​luo yksilöllisen satunnaisen avaimen jokaiselle salatulle tiedostolle. Tämä avain on 128 bittiä ja käyttää AES-salausalgoritmia, tämä avain pidetään salatuna julkisella RSA-avaimella mukautetussa otsikossa, jonka ransomware lisää kaikkiin salattuihin tiedostoihin.

Tiedostojen salauksen purku on mahdollista vain, jos sinulla on RSA-yksityinen avain, joka vastaa tiedostoissa käytetyn AES-avaimen salaamiseen käytettyä julkista avainta.

AES-satunnainen avain luodaan Windows-toiminnolla "CryptGenRandom". Tällä hetkellä se ei sisällä tunnettuja haavoittuvuuksia tai heikkouksia, joten tällä hetkellä ei ole mahdollista kehittää mitään työkalua näiden tiedostojen salauksen purkamiseen tietämättä hyökkäyksen aikana käytettyä RSA-yksityistä avainta.

Kuinka Wanacrypt lunnaohjelma toimii?

Kaikkien tämän prosessin suorittamiseksi ransomware luo useita suoritussäikeitä tietokoneelle ja alkaa suorittaa seuraavan prosessin dokumenttien salaamiseksi:

1. Lue alkuperäinen tiedosto ja kopioi se lisäämällä tiedostopääte.wnryt Luo satunnainen AES 128-avain Salaa AESA: lla kopioitu tiedosto Lisää otsikko avaimella AES salatulla avaimella

   julkaisee alkuperäisen tiedoston tällä salatulla kopiolla. Viimeinkin nimeää alkuperäisen tiedoston tiedostotunnisteella.wnry. Jokaiselle hakemistolle, jonka ransomware on salannut, se luo samat kaksi tiedostoa:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Suosittelemme lukemaan Windows Defenderin käytön tärkeimmät syyt.