Wanacrypt Ransomware nasıl çalışır?

İçindekiler:

Wanacrypt fidye yazılımı nasıl çalışır?
Opcode nedir?
Devam ediyoruz ...
Wanacrypt fidye yazılımı nasıl çalışır?

Wanacrypt'in solucan benzeri özellikleri vardır ve bu, ağa yayılmaya çalıştığı anlamına gelir. Bunu yapmak için, bu güvenlik açığı yaması olmayan tüm makinelere yayılmak amacıyla Eternalblue istismarını (MS17-010) kullanır.

İçindekiler dizini

Wanacrypt fidye yazılımı nasıl çalışır?

Bu fidye yazılımının dikkatini çeken bir şey, yalnızca etkilenen makinenin yerel ağında arama yapmakla kalmaz, aynı zamanda internetteki genel IP adreslerini taramaya devam etmesidir.

Tüm bu eylemler, ramsonware'in yürütüldükten sonra kurduğu hizmet tarafından gerçekleştirilir. Hizmet yüklendikten ve yürütüldükten sonra, diğer sistemlere çoğaltma işleminden sorumlu 2 iş parçacığı oluşturulur.

Analizde, sahadaki uzmanlar NSA tarafından kullanılan kodun aynısını nasıl kullandığını gözlemlediler. Tek fark, DoublePulsar istismarını kullanmaya gerek duymamalarıdır, çünkü niyetleri kendilerini LSASS (Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti) sürecine enjekte etmektir.

LSASS'ın ne olduğunu bilmeyenler için, Windows güvenlik protokollerinin doğru çalışmasını sağlayan süreçtir , bu nedenle bu işlem her zaman yürütülmelidir. Bildiğimiz gibi, EternalBlue yük kodu değiştirilmedi.

Mevcut analizlerle karşılaştırırsanız, opcode'un opcode ile nasıl aynı olduğunu görebilirsiniz…

Opcode nedir?

Opcode veya opcode, gerçekleştirilecek işlemi belirten bir makine dili talimatının bir parçasıdır.

Devam ediyoruz…

Ve bu fidye yazılımı, LSASS işleminde gönderilen.dll kitaplıklarını enjekte etmek ve saldırı işlemini tekrar saldırıya uğrayan makinede başlattıkları "PlayGame" işlevini yürütmek için aynı işlev çağrılarını yapar.

Bir çekirdek kodu kötüye kullanımı kullanarak, kötü amaçlı yazılımlar tarafından gerçekleştirilen tüm işlemler SİSTEM veya sistem ayrıcalıklarına sahiptir.

Bilgisayarın şifrelemesine başlamadan önce, fidye yazılımı sistemde iki muteksin varlığını doğrular. Mutex, karşılıklı bir dışlama algoritmasıdır; bu, bir programdaki iki işlemin kritik bölümlerine (paylaşılan bir kaynağın değiştirilebileceği bir kod parçası olan) erişmesini önlemeye yarar.

Bu iki muteks varsa, herhangi bir şifreleme gerçekleştirmez:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Fidye yazılımı, kendi adına, her şifrelenmiş dosya için benzersiz bir rastgele anahtar oluşturur. Bu anahtar 128 bittir ve AES şifreleme algoritmasını kullanır, bu anahtar, fidye yazılımının tüm şifrelenmiş dosyalara eklediği özel bir başlıkta genel bir RSA anahtarı ile şifrelenmiş olarak tutulur.

Dosyaların şifresini çözme, yalnızca dosyalarda kullanılan AES anahtarını şifrelemek için kullanılan ortak anahtara karşılık gelen RSA özel anahtarına sahipseniz mümkündür.

AES rasgele anahtarı, bilinen herhangi bir güvenlik açığı veya zayıflık içermediği anda "CryptGenRandom" Windows işleviyle üretilir, bu nedenle saldırı sırasında kullanılan RSA özel anahtarını bilmeden bu dosyaların şifresini çözmek için herhangi bir araç geliştirmek mümkün değildir.

Wanacrypt fidye yazılımı nasıl çalışır?

Tüm bu işlemi gerçekleştirmek için, fidye yazılımı bilgisayarda birkaç yürütme iş parçacığı oluşturur ve belgelerin şifrelemesini gerçekleştirmek için aşağıdaki işlemi gerçekleştirmeye başlar:

Orijinal dosyayı okuyun ve.wnryt uzantısını ekleyerek kopyalayın Rasgele bir AES 128 anahtarı oluşturun AESA ile kopyalanan dosyayı şifreleyin AES anahtarıyla şifrelenmiş AES anahtarıyla bir başlık ekleyin

Bu şifrelenmiş kopyayla orijinal dosyanın üzerine yazar Son olarak, özgün dosyayı.wnry uzantısıyla yeniden adlandırır. Ransomware'in şifrelemeyi bitirdiği her dizin için aynı iki dosyayı oluşturur:

@ Please_Read_Me @.txt

@ WanaDecryptor @.exe

Windows 10'da Windows Defender'ı kullanmanın ana nedenlerini okumanızı öneririz.