Internet

Jak działa ransomware wanacrypt?

2024
Jak działa ransomware wanacrypt?

Spisu treści:

Anonim

Wanacrypt ma funkcje podobne do robaków, co oznacza, że ​​próbuje rozprzestrzeniać się w sieci. Aby to zrobić, wykorzystuje exploit Eternalblue (MS17-010) z zamiarem rozprzestrzeniania się na wszystkie komputery, które nie mają tej luki w łatach.

Indeks treści

Jak działa oprogramowanie ransomware Wanacrypt?

Coś, co zwraca uwagę tego oprogramowania ransomware, polega na tym, że nie tylko wyszukuje ono w lokalnej sieci zainfekowanego komputera, ale także skanuje publiczne adresy IP w Internecie.

Wszystkie te działania są przeprowadzane przez usługę, która sama ramsonware instaluje po jej wykonaniu. Po zainstalowaniu i uruchomieniu usługi tworzone są 2 wątki odpowiedzialne za proces replikacji do innych systemów.

W analizie eksperci w tej dziedzinie zaobserwowali, w jaki sposób używa dokładnie tego samego kodu używanego przez NSA. Jedyną różnicą jest to, że nie muszą korzystać z exploita DoublePulsar, ponieważ ich celem jest po prostu wstrzyknięcie się do procesu LSASS (usługa lokalnego podsystemu zabezpieczeń).

Dla tych, którzy nie wiedzą, czym jest LSASS, jest to proces, który powoduje, że protokoły bezpieczeństwa systemu Windows działają poprawnie, więc proces ten powinien zawsze być wykonywany. Jak wiemy, kod ładunku EternalBlue nie został zmieniony.

Jeśli porównasz z istniejącymi analizami, zobaczysz, jak opcode jest identyczny z opcode…

Co to jest kod operacyjny?

Opcode lub opcode to fragment instrukcji języka maszynowego określający operację do wykonania.

Kontynuujemy…

To oprogramowanie ransomware wykonuje te same wywołania funkcji, aby w końcu wstrzyknąć biblioteki.dll wysłane w procesie LSASS i uruchomić funkcję „PlayGame”, dzięki której ponownie rozpoczynają proces infekcji na zaatakowanym komputerze.

Korzystając z exploita jądra, wszystkie operacje wykonywane przez złośliwe oprogramowanie mają uprawnienia do systemu lub systemu.

Przed rozpoczęciem szyfrowania komputera oprogramowanie ransomware weryfikuje istnienie dwóch muteksów w systemie. Muteks jest algorytmem wzajemnego wykluczania, który zapobiega dostępowi dwóch procesów w programie do jego krytycznych sekcji (które są fragmentem kodu, w którym można modyfikować udostępnione zasoby).

Jeśli te dwa muteksy istnieją, nie wykonuje żadnego szyfrowania:

„Global \ MsWinZonesCacheCounterMutexA”

„Global \ MsWinZonesCacheCounterMutexW”

Ransomware ze swojej strony generuje unikalny losowy klucz dla każdego zaszyfrowanego pliku. Ten klucz ma 128 bitów i wykorzystuje algorytm szyfrowania AES. Klucz ten jest szyfrowany za pomocą publicznego klucza RSA w niestandardowym nagłówku dodawanym przez oprogramowanie ransomware do wszystkich zaszyfrowanych plików.

Odszyfrowanie plików jest możliwe tylko wtedy, gdy masz prywatny klucz RSA odpowiadający kluczowi publicznemu używanemu do szyfrowania klucza AES użytego w plikach.

Losowy klucz AES jest generowany za pomocą funkcji Windows „CryptGenRandom” w chwili, gdy nie zawiera żadnej znanej luki lub słabości, dlatego nie jest obecnie możliwe opracowanie żadnego narzędzia do odszyfrowywania tych plików bez znajomości klucza prywatnego RSA użytego podczas ataku.

Jak działa oprogramowanie ransomware Wanacrypt?

Aby przeprowadzić cały ten proces, ransomware tworzy na komputerze kilka wątków wykonawczych i zaczyna przeprowadzać następujący proces szyfrowania dokumentów:

  1. Przeczytaj oryginalny plik i skopiuj go, dodając rozszerzenie.wnryt Utwórz losowy klucz AES 128 Zaszyfruj plik skopiowany za pomocą AESA Dodaj nagłówek z kluczem AES zaszyfrowanym kluczem

    publikuje RSA, który przenosi próbkę. Nadpisuje oryginalny plik tą zaszyfrowaną kopią. Wreszcie zmienia nazwę oryginalnego pliku z rozszerzeniem.wnry Dla każdego katalogu, w którym ransomware zakończyło szyfrowanie, generuje te same dwa pliki:

    @ Please_Read_Me @.txt

    @ WanaDecryptor @.exe

Zalecamy przeczytanie głównych powodów używania programu Windows Defender w systemie Windows 10.

Jak działa dron

Jak działa dron

Drony to małe latające pojazdy zdalnie sterowane przez operatora. Aby magia się wydarzyła, ponieważ używają prostszych elementów sterowania,

Ip: co to jest, jak to działa i jak to ukryć

Ip: co to jest, jak to działa i jak to ukryć

Co to jest IP, jak to działa i jak mogę ukryć moje IP. Wszystko, co musisz wiedzieć o IP, aby bezpiecznie nawigować i ukryć się w Internecie. Znaczenie IP.

Co to jest oprogramowanie ransomware i jak działa

Co to jest oprogramowanie ransomware i jak działa

Co to jest i jak działa oprogramowanie ransomware. Dowiedz się wszystkiego o oprogramowaniu ransomware i jego działaniu, aby móc go wykryć na czas. Przeczytaj wszystko tutaj.

Internet

Wybór redaktorów

Czy HTC traci zainteresowanie Windows Phone?

Czy HTC traci zainteresowanie Windows Phone?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Zdjęcia tego, co może być nowym telefonem Nokia Lumia EOS

Zdjęcia tego, co może być nowym telefonem Nokia Lumia EOS

2024
Urządzenia z 2013 r.: czekają na producentów

Urządzenia z 2013 r.: czekają na producentów

2024
Back to top button