Bagaimanakah kerja ransom wanacrypt berfungsi?

Wanacrypt mempunyai keupayaan cacing seperti ini dan ini bermakna ia cuba menyebarkan rangkaian. Untuk melakukan ini, ia menggunakan eksploitasi Eternalblue (MS17-010) dengan niat untuk menyebarkan kepada semua mesin yang tidak mempunyai kelemahan ini.

Indeks kandungan

Bagaimanakah Wanacrypt ransomware berfungsi?

Sesuatu yang menarik perhatian ransomware ini adalah bahawa ia bukan sahaja mencari dalam rangkaian tempatan mesin terjejas, tetapi juga meneruskan untuk mengimbas alamat IP awam di internet.

Semua tindakan ini dilakukan oleh perkhidmatan yang dipasang sendiri oleh ramsonware selepas pelaksanaannya. Setelah perkhidmatan dipasang dan dilaksanakan, 2 benang dibuat yang bertanggungjawab terhadap proses replikasi ke sistem lain.

Dalam analisis, para pakar di lapangan telah melihat bagaimana ia menggunakan kod yang sama persis yang digunakan oleh NSA. Satu-satunya perbezaan ialah mereka tidak perlu menggunakan eksploitasi DoublePulsar kerana niat mereka hanya menyuntik diri ke dalam proses LSASS (Perkhidmatan Subsistem Cagaran Pihak Berkuasa Tempatan).

Bagi mereka yang tidak tahu apa yang LSASS adalah, ia adalah proses yang membuat protokol keselamatan Windows berfungsi dengan betul, jadi proses ini selalu dilaksanakan. Seperti yang dapat kita ketahui, kod muatan EternalBlue tidak diubah.

Jika anda bandingkan dengan analisis sedia ada, anda dapat melihat bagaimana opcode adalah sama dengan opcode…

Apakah opcode?

Kod opcode, atau opcode, adalah serpihan arahan bahasa mesin yang menentukan operasi yang akan dijalankan.

Kami terus…

Dan ransomware ini membuat panggilan fungsi yang sama untuk akhirnya menyuntik pustaka.dll yang dihantar dalam proses LSASS dan melaksanakan fungsi "PlayGame" yang mereka mulakan proses jangkitan sekali lagi pada mesin yang diserang.

Dengan menggunakan eksploit kod kernel, semua operasi yang dilakukan oleh perisian hash mempunyai sistem atau keistimewaan sistem.

Sebelum memulakan enkripsi komputer, ransomware mengesahkan adanya dua mutex dalam sistem. Mutex adalah algoritma pengecualian bersama, ini berfungsi untuk menghalang dua proses dalam suatu program daripada mengakses bahagian pentingnya (yang merupakan sekeping kod di mana sumber yang dikongsi boleh diubahsuai).

Jika kedua-dua mutex ini wujud, ia tidak melakukan penyulitan mana-mana:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Ransomware, untuk bahagiannya, menghasilkan kunci rawak unik untuk setiap fail yang disulitkan. Kunci ini adalah 128 bit dan menggunakan algoritma penyulitan AES, kekunci ini disimpan disulitkan dengan kunci RSA awam dalam tajuk tersuai yang ransomware menambah kepada semua fail yang disulitkan.

Decryption of files hanya mungkin jika anda mempunyai kunci persendirian RSA yang sepadan dengan kunci awam yang digunakan untuk menyulitkan kunci AES yang digunakan dalam fail.

Kekunci AES rawak dihasilkan dengan fungsi Windows "CryptGenRandom" pada masa ini ia tidak mengandungi sebarang kelemahan atau kelemahan yang diketahui, sehingga kini tidak mungkin untuk membangunkan sebarang alat untuk mendekripsi fail ini tanpa mengetahui kunci persendirian RSA yang digunakan semasa serangan.

Bagaimanakah Wanacrypt ransomware berfungsi?

Untuk menjalankan semua proses ini, ransomware membuat beberapa benang eksekusi pada komputer dan mula menjalankan proses berikut untuk menjalankan penyulitan dokumen:

1. Baca fail asal dan salinnya dengan menambah lanjutan.wnryt Buat kunci AES 128 rawak Sulitkan fail disalin dengan AESA Tambah tajuk dengan AES utama yang disulitkan dengan kunci

   menerbitkan RSA yang membawa sampel. Menimpa fail asal dengan salinan yang disulitkan ini Akhirnya renames fail asal dengan ekstensi.wnry Untuk setiap direktori yang ransomware selesai menyulitkan, ia menghasilkan dua file yang sama:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Kami mengesyorkan membaca sebab-sebab utama untuk menggunakan Windows Defender dalam Windows 10.