Làm thế nào để wanacrypt ransomware hoạt động?

Wanacrypt có khả năng giống như sâu và điều này có nghĩa là nó cố gắng lan truyền trên mạng. Để làm điều này, nó sử dụng khai thác Eternalblue (MS17-010) với mục đích lây lan sang tất cả các máy không có lỗ hổng này được vá.

Chỉ số nội dung

Wanacrypt ransomware hoạt động như thế nào?

Một điều thu hút sự chú ý của ransomware này là nó không chỉ tìm kiếm trong mạng cục bộ của máy bị ảnh hưởng mà còn tiến hành quét các địa chỉ IP công cộng trên internet.

Tất cả những hành động này được thực hiện bởi dịch vụ mà ramsonware tự cài đặt sau khi thực hiện. Khi dịch vụ được cài đặt và thực thi, 2 luồng được tạo ra phụ trách quá trình sao chép sang các hệ thống khác.

Trong phân tích, các chuyên gia trong lĩnh vực này đã quan sát cách nó sử dụng chính xác cùng mã được NSA sử dụng. Sự khác biệt duy nhất là họ không có nhu cầu sử dụng khai thác DoublePulsar vì ý định của họ chỉ đơn giản là tự tiêm vào quy trình LSASS (Dịch vụ hệ thống phụ của cơ quan an ninh địa phương).

Đối với những người không biết LSASS là gì , đó là quá trình làm cho các giao thức bảo mật Windows hoạt động chính xác, vì vậy quy trình này phải luôn được thực thi. Như chúng ta có thể biết, mã tải trọng EternalBlue đã không bị thay đổi.

Nếu bạn so sánh với các phân tích hiện có, bạn có thể thấy opcode giống hệt với opcode.

Opcode là gì?

Opcode hay còn gọi là opcode là một đoạn của lệnh ngôn ngữ máy chỉ định thao tác được thực hiện.

Chúng tôi tiếp tục…

Và phần mềm ransomware này thực hiện chức năng tương tự để gọi các thư viện dll được gửi trong quy trình LSASS và thực hiện chức năng "PlayGame" mà chúng bắt đầu lại quá trình lây nhiễm trên máy bị tấn công.

Bằng cách sử dụng khai thác mã hạt nhân, tất cả các hoạt động được thực hiện bởi phần mềm độc hại đều có đặc quyền HỆ THỐNG hoặc hệ thống.

Trước khi bắt đầu mã hóa máy tính, ransomware xác minh sự tồn tại của hai mutexes trong hệ thống. Một mutex là một thuật toán loại trừ lẫn nhau, điều này phục vụ để ngăn hai quá trình trong một chương trình truy cập vào các phần quan trọng của nó (là một đoạn mã trong đó tài nguyên được chia sẻ có thể được sửa đổi).

Nếu hai mutex này tồn tại, nó không thực hiện bất kỳ mã hóa nào:

'Toàn cầu \ MsWinZonesCacheC gặpMutexA'

'Toàn cầu \ MsWinZonesCacheC gặpMutexW'

Về phần mình, phần mềm ransomware tạo ra một khóa ngẫu nhiên duy nhất cho mỗi tệp được mã hóa. Khóa này là 128 bit và sử dụng thuật toán mã hóa AES, khóa này được mã hóa bằng khóa RSA công khai trong một tiêu đề tùy chỉnh mà ransomware thêm vào tất cả các tệp được mã hóa.

Việc giải mã các tệp chỉ có thể nếu bạn có khóa riêng RSA tương ứng với khóa chung được sử dụng để mã hóa khóa AES được sử dụng trong các tệp.

Khóa ngẫu nhiên AES được tạo bằng chức năng Windows "CryptGenRandom" tại thời điểm hiện tại nó không chứa bất kỳ lỗ hổng hoặc điểm yếu nào đã biết, vì vậy hiện tại không thể phát triển bất kỳ công cụ nào để giải mã các tệp này mà không biết khóa riêng RSA được sử dụng trong cuộc tấn công.

Wanacrypt ransomware hoạt động như thế nào?

Để thực hiện tất cả quy trình này, ransomware tạo ra một số luồng thực thi trên máy tính và bắt đầu thực hiện quy trình sau để thực hiện mã hóa tài liệu:

1. Đọc tệp gốc và sao chép nó bằng cách thêm phần mở rộng.wnryt Tạo khóa AES 128 ngẫu nhiên Mã hóa tệp được sao chép bằng AESA Thêm tiêu đề bằng khóa AES được mã hóa bằng khóa

   xuất bản RSA mang mẫu. Ghi đè tệp gốc bằng bản sao được mã hóa này Cuối cùng đổi tên tệp gốc bằng phần mở rộng.wnry Với mỗi thư mục mà ransomware đã mã hóa xong, nó tạo ra hai tệp giống nhau:

   @ Xin vui lòng_Read_Me @.txt

   @ WanaDecryptor @.exe

Chúng tôi khuyên bạn nên đọc những lý do chính để sử dụng Windows Defender trong Windows 10.