Διαδίκτυο

Πώς λειτουργεί το wanacrypt ransomware;

2025
Πώς λειτουργεί το wanacrypt ransomware;

Πίνακας περιεχομένων:

Anonim

Το Wanacrypt έχει δυνατότητες τύπου worm και αυτό σημαίνει ότι προσπαθεί να εξαπλωθεί μέσω του δικτύου. Για να γίνει αυτό, χρησιμοποιεί το Eternalblue exploit (MS17-010) με σκοπό να εξαπλωθεί σε όλα τα μηχανήματα που δεν έχουν αυτό το τρωτό σημείο patched.

Ευρετήριο περιεχομένων

Πώς λειτουργεί το Wanacrypt ransomware;

Κάτι που προσελκύει την προσοχή αυτού του ransomware είναι ότι όχι μόνο αναζητά μέσα στο τοπικό δίκτυο του επηρεαζόμενου μηχανήματος, αλλά προχωρά επίσης στη σάρωση δημόσιων διευθύνσεων IP στο διαδίκτυο.

Όλες αυτές οι ενέργειες πραγματοποιούνται από την υπηρεσία που εγκαθιστά το ίδιο το ramsonware μετά την εκτέλεση του. Μόλις εγκατασταθεί και εκτελεστεί η υπηρεσία, δημιουργούνται 2 θέματα που είναι υπεύθυνα για τη διαδικασία αναπαραγωγής σε άλλα συστήματα.

Στην ανάλυση, εμπειρογνώμονες στον τομέα έχουν παρατηρήσει πώς χρησιμοποιεί τον ίδιο ακριβώς κώδικα που χρησιμοποιείται από την NSA. Η μόνη διαφορά είναι ότι δεν χρειάζεται να χρησιμοποιούν το DoublePulsar εκμεταλλευόμενοι, καθώς η πρόθεσή τους είναι απλώς να εισέλθουν στη διαδικασία LSASS (Υπηρεσία τοπικής ασφάλειας του υποσυστήματος).

Για όσους δεν γνωρίζουν τι είναι το LSASS, είναι η διαδικασία που κάνει τα πρωτόκολλα ασφαλείας των Windows να λειτουργούν σωστά, οπότε αυτή η διαδικασία θα πρέπει πάντα να εκτελείται. Όπως μπορούμε να γνωρίζουμε, ο κώδικας ωφέλιμου φορτίου EternalBlue δεν έχει τροποποιηθεί.

Αν συγκρίνετε με τις υπάρχουσες αναλύσεις, μπορείτε να δείτε πώς το opcode είναι ίδιο με τον opcode…

Τι είναι ένας κωδικός πρόσβασης;

Ένας κωδικοποιητής (opcode) ή ένας κωδικός πρόσβασης (opcode) είναι ένα κομμάτι μιας εντολής γλώσσας μηχανής που καθορίζει τη λειτουργία που πρέπει να εκτελεστεί.

Συνεχίζουμε…

Και αυτό το ransomware κάνει τις ίδιες κλήσεις για να εισάγουν τελικά τις βιβλιοθήκες.dll που αποστέλλονται στη διαδικασία LSASS και να εκτελέσουν τη λειτουργία "PlayGame" με την οποία ξεκινούν ξανά τη διαδικασία μόλυνσης στο επιτιθέμενο μηχάνημα.

Χρησιμοποιώντας μια εκμετάλλευση κώδικα πυρήνα, όλες οι λειτουργίες που εκτελούνται από κακόβουλο λογισμικό έχουν δικαιώματα συστήματος ή συστήματος.

Πριν ξεκινήσει η κρυπτογράφηση του υπολογιστή, το ransomware επιβεβαιώνει την ύπαρξη δύο mutexes στο σύστημα. Ένας mutex είναι ένας αλγόριθμος αμοιβαίου αποκλεισμού, ο οποίος χρησιμεύει για να αποτρέψει την πρόσβαση δύο διαδικασιών ενός προγράμματος στα κρίσιμα τμήματα του (τα οποία αποτελούν κομμάτι κώδικα όπου μπορεί να τροποποιηθεί ένας κοινός πόρος).

Εάν υπάρχουν αυτά τα δύο mutex, δεν εκτελείται κρυπτογράφηση:

'Παγκόσμια \ MsWinZonesCacheCounterMutexA'

'Παγκόσμια \ MsWinZonesCacheCounterMutexW'

Το ransomware, από την πλευρά του, δημιουργεί ένα μοναδικό τυχαίο κλειδί για κάθε κρυπτογραφημένο αρχείο. Αυτό το κλειδί είναι 128 bit και χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης AES, αυτό το κλειδί διατηρείται κρυπτογραφημένο με ένα δημόσιο κλειδί RSA σε μια προσαρμοσμένη κεφαλίδα που το ransomware προσθέτει σε όλα τα κρυπτογραφημένα αρχεία.

Η αποκρυπτογράφηση των αρχείων είναι δυνατή μόνο αν έχετε το ιδιωτικό κλειδί RSA που αντιστοιχεί στο δημόσιο κλειδί που χρησιμοποιείται για την κρυπτογράφηση του κλειδιού AES που χρησιμοποιείται στα αρχεία.

Το τυχαίο κλειδί AES δημιουργείται με τη λειτουργία των Windows "CryptGenRandom" τη στιγμή που δεν περιέχει γνωστά ευπάθειες ή αδυναμίες, οπότε δεν είναι δυνατόν να αναπτυχθεί κανένα εργαλείο για την αποκρυπτογράφηση αυτών των αρχείων χωρίς να γνωρίζει το ιδιωτικό κλειδί RSA που χρησιμοποιήθηκε κατά τη διάρκεια της επίθεσης.

Πώς λειτουργεί το Wanacrypt ransomware;

Προκειμένου να διεξαχθεί όλη αυτή η διαδικασία, το ransomware δημιουργεί αρκετές κλωστές εκτέλεσης στον υπολογιστή και αρχίζει να εκτελεί την ακόλουθη διαδικασία για να πραγματοποιήσει την κρυπτογράφηση των εγγράφων:

  1. Διαβάστε το αρχικό αρχείο και αντιγράψτε το προσθέτοντας την επέκταση.wnryt Δημιουργήστε ένα τυχαίο κλειδί AES 128 Κρυπτογράφηση του αρχείου που αντιγράψατε με AESA Προσθέστε μια κεφαλίδα με το κλειδί AES κρυπτογραφημένο με το κλειδί

    δημοσιεύει το RSA που φέρει το δείγμα Αντικαθιστά το πρωτότυπο αρχείο με αυτό το κρυπτογραφημένο αντίγραφο Τέλος μετονομάζει το πρωτότυπο αρχείο με την επέκταση.wnry Για κάθε κατάλογο που έχει ολοκληρωθεί η κρυπτογράφηση του ransomware δημιουργεί τα ίδια δύο αρχεία:

    @ Please_Read_Me @.txt

    @ WanaDecryptor @.exe

Συνιστούμε να διαβάσετε τους κύριους λόγους για να χρησιμοποιήσετε το Windows Defender στα Windows 10.

Πώς λειτουργεί ένα δαχτυλίδι

Πώς λειτουργεί ένα δαχτυλίδι

Τα αεροσκάφη είναι μικρά οχήματα που κινούνται από απόσταση από το χειριστή. Για να συμβεί μαγεία αφού χρησιμοποιούν απλούστερους ελέγχους,

Ip: τι είναι αυτό, πώς λειτουργεί και πώς να το κρύψει

Ip: τι είναι αυτό, πώς λειτουργεί και πώς να το κρύψει

Τι είναι το IP, πώς λειτουργεί και πώς μπορώ να κρύψω την IP μου. Όλα όσα πρέπει να γνωρίζετε σχετικά με την IP για πλοήγηση με ασφάλεια και κρυφή στο Διαδίκτυο. Σημασία IP.

Τι είναι το ransomware και πώς λειτουργεί

Τι είναι το ransomware και πώς λειτουργεί

Τι είναι και πώς λειτουργεί ένα ransomware. Μάθετε τα πάντα σχετικά με το ransomware και πώς λειτουργεί, ώστε να μπορείτε να το ανιχνεύσετε εγκαίρως. Διαβάστε τα πάντα εδώ.

Διαδίκτυο

Η επιλογή των συντακτών

Χάνει η HTC το ενδιαφέρον της για το Windows Phone;

Χάνει η HTC το ενδιαφέρον της για το Windows Phone;

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Εικόνες για το τι θα μπορούσε να είναι το νέο Nokia Lumia EOS

Εικόνες για το τι θα μπορούσε να είναι το νέο Nokia Lumia EOS

2025
Κατασκευή συσκευών 2013: αναμονή κατασκευαστών

Κατασκευή συσκευών 2013: αναμονή κατασκευαστών

2025
Back to top button