Kaip veikia „wanacrypt“ išpirkos programa?

„Wanacrypt“ turi panašių į kirminus galimybių, o tai reiškia, kad jis bando plisti tinkle. Tam jis naudoja „Eternalblue“ išnaudojimą (MS17-010), norėdamas išplisti į visas mašinas, kuriose nėra šio pažeidžiamumo pataisų.

Turinio rodyklė

Kaip veikia „Wanacrypt“ išpirkos programa?

Ši išpirkos programa atkreipia dėmesį į tai, kad ji ne tik ieško paveikto kompiuterio vietiniame tinkle, bet ir nuskaito viešus IP adresus internete.

Visus šiuos veiksmus atlieka tarnyba, kurią pati „ramsonware“ įdiegia po jos vykdymo. Įdiegus ir įgyvendinus paslaugą, sukuriami 2 gijos, atsakingos už replikacijos procesą į kitas sistemas.

Atlikdami analizę, šios srities ekspertai pastebėjo, kaip ji naudoja tiksliai tą patį kodą, kurį naudoja NSA. Vienintelis skirtumas yra tas, kad jiems nereikia naudoti „DoublePulsar“ išnaudojimo, nes jų tikslas yra tiesiog įsileisti save į LSASS (vietinės saugos tarnybos posistemio tarnybos) procesą.

Tiems, kurie nežino, kas yra LSASS, būtent šis procesas verčia „Windows“ saugos protokolus veikti tinkamai, todėl šis procesas visada turėtų būti vykdomas. Kaip mes galime žinoti, „EternalBlue“ naudingos apkrovos kodas nebuvo pakeistas.

Jei palyginsite su esamomis analizėmis, pamatysite, kaip opcode yra identiškas opcode…

Kas yra opcode?

Opcode arba opcode yra mašininės kalbos instrukcijos, nurodančios atliktiną operaciją, fragmentas.

Mes tęsiame…

Ir ši išpirkos programa sukelia tas pačias funkcijų skambučius, kad galutinai sušvirkštų LSASS proceso metu išsiųstas.dll bibliotekas ir vykdytų „PlayGame“ funkciją, su kuria jie vėl pradeda užkrėtimo procesą užpultame kompiuteryje.

Naudojant branduolio kodo išnaudojimą, visos kenkėjiškų programų atliekamos operacijos turi SISTEMOS arba sistemos privilegijas.

Prieš pradėdamas šifruoti kompiuterį, išpirkos programa patikrina, ar sistemoje yra du „mutex“. „Mutex“ yra abipusio išskyrimo algoritmas, kuris skirtas neleisti dviem programos procesams pasiekti kritinių skyrių (kurie yra kodo dalis, kur galima modifikuoti bendrus išteklius).

Jei šie du mutex egzistuoja, jis neatlieka jokio šifravimo:

„Global \ MsWinZonesCacheCounterMutexA“

„Global \ MsWinZonesCacheCounterMutexW“

Savo ruožtu išpirkos programa sukuria unikalų atsitiktinį raktą kiekvienam užšifruotam failui. Šis raktas yra 128 bitų ir naudoja AES šifravimo algoritmą. Šis raktas laikomas šifruotu su viešuoju RSA raktu pasirinktinėje antraštėje, kurią „ransomware“ prideda prie visų užšifruotų failų.

Failų iššifravimas yra įmanomas tik tuo atveju, jei turite RSA privatųjį raktą, atitinkantį viešąjį raktą, naudojamą šifruoti failuose naudojamą AES raktą.

AES atsitiktinis raktas yra sugeneruotas su „Windows“ funkcija „CryptGenRandom“, šiuo metu jame nėra jokių žinomų pažeidžiamumų ar trūkumų, todėl šiuo metu neįmanoma sukurti jokio įrankio šifruoti šiuos failus nežinant RSA privataus rakto, naudojamo atakos metu.

Kaip veikia „Wanacrypt“ išpirkos programa?

Norėdami atlikti visą šį procesą, išpirkos programa sukuria keletą vykdymo gijų kompiuteryje ir pradeda vykdyti šį procesą šifruoti dokumentus:

1. Perskaitykite originalų failą ir nukopijuokite jį pridėdami plėtinį.wnryt Sukurkite atsitiktinį AES 128 raktą. Užšifruokite failą, nukopijuotą naudojant AESA. Pridėkite antraštę su raktu AES, užšifruotu raktu.

   skelbia RSA, kuriame yra pavyzdys. Originalų failą perrašydamas su šifruota kopija. Galiausiai pervardija originalų failą su plėtiniu.wnry. Kiekvienam aplankui, kurį „ransomware“ užšifravo, jis sukuria tuos pačius du failus:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Mes rekomenduojame perskaityti pagrindines „ Windows Defender“ naudojimo „Windows 10“ naudojimo priežastis.