Hur fungerar wanacrypt ransomware?

Wanacrypt har maskliknande funktioner och det betyder att det försöker sprida sig över nätverket. För att göra detta använder den Eternalblue exploit (MS17-010) i avsikt att sprida till alla maskiner som inte har denna sårbarhet korrigerad.

Innehållsindex

Hur fungerar Wanacrypt ransomware?

Något som uppmärksammar denna ransomware är att den inte bara söker i det lokala nätverket för den drabbade maskinen utan också fortsätter med att skanna offentliga IP-adresser på internet.

Alla dessa åtgärder utförs av den tjänst som ramsonware själv installerar efter dess körning. När tjänsten har installerats och genomförts skapas två trådar som ansvarar för replikationsprocessen till andra system.

I analysen har experter på området observerat hur den använder exakt samma kod som används av NSA. Den enda skillnaden är att de inte har något behov av att använda DoublePulsar-utnyttjandet eftersom deras avsikt är att helt enkelt injicera sig i LSASS-processen (Local Security Authority Subsystem Service).

För dem som inte vet vad LSASS är är det processen som får Windows-säkerhetsprotokoll att fungera korrekt, så denna process bör alltid köras. Som vi kan veta har kodexen för EternalBlue nyttolast inte ändrats.

Om du jämför med befintliga analyser kan du se hur opcode är identisk med opcode…

Vad är en opcode?

En opcode, eller opcode, är ett fragment av en maskininstruktionsinstruktion som anger den operation som ska utföras.

Vi fortsätter…

Och detta ransomware gör att samma funktionssamtal slutligen injicerar.dll-biblioteken som skickats in i LSASS-processen och kör sin "PlayGame" -funktion med vilken de startar infektionsprocessen igen på den angripna maskinen.

Genom att använda en kärnkodutnyttjande har alla operationer som utförs av skadlig programvara SYSTEM eller systembehörighet.

Innan datorns kryptering startar verifierar ransomware att det finns två mutexer i systemet. En mutex är en ömsesidig uteslutningsalgoritm, detta tjänar till att förhindra två processer i ett program från att få åtkomst till dess kritiska avsnitt (som är en kodkod där en delad resurs kan modifieras).

Om dessa två mutex existerar, utför den inte någon kryptering:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Ransomware genererar för sin del en unik slumpmässig nyckel för varje krypterad fil. Denna nyckel är 128 bitar och använder AES-krypteringsalgoritmen, denna nyckel hålls krypterad med en offentlig RSA-nyckel i en anpassad rubrik som ransomware lägger till till alla krypterade filer.

Avkryptering av filer är bara möjligt om du har den privata RSA-nyckeln som motsvarar den offentliga nyckeln som används för att kryptera AES-nyckeln som används i filerna.

Den slumpmässiga nyckeln till AES genereras med Windows-funktionen "CryptGenRandom" för tillfället innehåller den inga kända sårbarheter eller svagheter, så det är för närvarande inte möjligt att utveckla något verktyg för att dekryptera dessa filer utan att känna till den privata RSA-nyckeln som användes under attacken.

Hur fungerar Wanacrypt ransomware?

För att utföra hela denna process skapar ransomware flera exekveringstrådar i datorn och börjar utföra följande process för att utföra krypteringen av dokumenten:

1. Läs originalfilen och kopiera den genom att lägga till tillägget.wnryt Skapa en slumpmässig AES 128-nyckel Kryptera filen som kopierats med AESA Lägg till en rubrik med nyckeln AES krypterad med nyckeln

   publicerar RSA som bär exemplet. Överskriver originalfilen med den här krypterade kopian Dömer äntligen till originalfilen med tillägget.wnry För varje katalog som ransomware har slutfört kryptering genererar det samma två filer:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Vi rekommenderar att du läser de viktigaste anledningarna till att använda Windows Defender i Windows 10.