Как работает wanacrypt Ransomware?

Wanacrypt имеет червеобразные возможности, и это означает, что он пытается распространиться по сети. Для этого используется эксплойт Eternalblue (MS17-010) с целью распространения на все машины, для которых эта уязвимость не исправлена.

Указатель содержания

Как работает Wanacrypt Ransomware?

Что привлекает внимание этого вымогателя, так это то, что он не только выполняет поиск в локальной сети зараженного компьютера, но и выполняет сканирование общедоступных IP-адресов в Интернете.

Все эти действия выполняются сервисом, который сам ramsonware устанавливает после своего выполнения. После установки и запуска службы создаются 2 потока, отвечающие за процесс репликации в другие системы.

В ходе анализа эксперты в этой области наблюдали, как он использует точно такой же код, который используется АНБ. Единственное отличие состоит в том, что им не нужно использовать эксплойт DoublePulsar, поскольку их намерение состоит в том, чтобы просто внедрить себя в процесс LSASS (служба подсистемы локального органа безопасности).

Для тех, кто не знает, что такое LSASS, именно этот процесс обеспечивает правильную работу протоколов безопасности Windows, поэтому этот процесс всегда должен выполняться. Как мы можем знать, код полезной нагрузки EternalBlue не был изменен.

Если вы сравните с существующим анализом, вы можете увидеть, как код операции идентичен с кодом операции…

Что такое код операции?

Код операции, или код операции, является фрагментом инструкции машинного языка, которая определяет операцию, которая должна быть выполнена.

Мы продолжаем…

И этот вымогатель делает те же самые вызовы функций, чтобы, наконец, внедрить библиотеки.dll, отправленные в процессе LSASS, и выполнить функцию «PlayGame», с помощью которой они снова запускают процесс заражения на атакованной машине.

Используя эксплойт кода ядра, все операции, выполняемые вредоносными программами, имеют СИСТЕМУ или системные привилегии.

Перед началом шифрования компьютера вымогатель проверяет наличие двух мьютексов в системе. Мьютекс - это алгоритм взаимного исключения, он служит для предотвращения доступа двух процессов в программе к ее критическим разделам (которые представляют собой фрагмент кода, в котором общий ресурс может быть изменен).

Если эти два мьютекса существуют, он не выполняет шифрование:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Со своей стороны, вымогатель генерирует уникальный случайный ключ для каждого зашифрованного файла. Этот ключ 128 бит и использует алгоритм шифрования AES, этот ключ хранится в зашифрованном виде с открытым ключом RSA в пользовательском заголовке, который вымогатель добавляет ко всем зашифрованным файлам.

Расшифровка файлов возможна, только если у вас есть закрытый ключ RSA, соответствующий открытому ключу, используемому для шифрования ключа AES, используемого в файлах.

Случайный ключ AES генерируется с помощью функции Windows «CryptGenRandom», в настоящий момент он не содержит каких-либо известных уязвимостей или слабостей, поэтому в настоящее время невозможно разработать какой-либо инструмент для расшифровки этих файлов без знания закрытого ключа RSA, использованного во время атаки.

Как работает Wanacrypt Ransomware?

Чтобы выполнить весь этот процесс, вымогатель создает несколько потоков выполнения на компьютере и начинает выполнять следующий процесс, чтобы выполнить шифрование документов:

Прочитайте исходный файл и скопируйте его, добавив расширение.wnryt Создайте случайный ключ AES 128 Зашифруйте файл, скопированный с помощью AESA Добавьте заголовок с ключом AES, зашифрованным ключом

публикует RSA, содержащий образец. Перезаписывает исходный файл этой зашифрованной копией. Наконец, переименовывает исходный файл с расширением.wnry. Для каждого каталога, который программа-вымогатель закончила шифровать, создается два одинаковых файла:

@ Please_Read_Me @.txt

@ WanaDecryptor @.exe

Рекомендуем ознакомиться с основными причинами использования Защитника Windows в Windows 10.